Há pouco
tempo, uma violação que comprometesse os dados de milhões de pessoas seria uma
grande notícia. Agora, violações que afetam centenas de milhões ou mesmo
bilhões de pessoas são muito comuns.
Cerca de
3,5 bilhões de pessoas viram seus dados pessoais roubados se levarmos em conta
apenas duas das 15 maiores violações deste século. O menor incidente nesta lista
envolveu os dados de meros 134 milhões de pessoas.
Nesta
lista das maiores violações de dados do século XXI usamos critérios simples: o
número de pessoas cujos dados foram comprometidos.
Também
fizemos uma distinção entre os incidentes em que os dados foram roubados por
intenção maliciosa e aqueles em que uma organização inadvertidamente deixou os
dados desprotegidos e expostos.
O Twitter,
por exemplo, deixou as senhas de seus 330 milhões de usuários desmascaradas em
um log, mas não havia evidências de uso indevido. Portanto, o Twitter não faz
parte dessa lista.
Sem mais
delongas, aqui, listadas em ordem alfabética, estão as 15 maiores violações de
dados da história recente, incluindo quem foi afetado, quem foi responsável e
como as empresas reagiram:
1 - Adobe
Data: outubro de 2013 | Impacto:
153 milhões de registros de usuários
Conforme
relatado no início de outubro de 2013 pelo blogueiro de segurança Brian Krebs,
a Adobe disse originalmente que os hackers haviam roubado quase 3
milhões de registros criptografados de cartões de crédito de clientes, além de
dados de login de um número indeterminado de contas de usuário.
No final
daquele mês, a Adobe elevou essa estimativa para incluir IDs e senhas
criptografadas, o que elevou para 38 milhões de "usuários ativos"
expostos.
Krebs
relatou que um arquivo publicado poucos dias antes "parecia incluir mais
de 150 milhões de nomes de usuário e pares de senhas extraídos da Adobe".
Semanas de pesquisa mostraram que o hack também expôs nomes de clientes, IDs,
senhas e informações de cartão de débito e crédito.
2 - Adult Friend Finder
Data: outubro de 2016 | Impacto: 412,2
milhões de contas
Essa
violação foi particularmente sensível. A rede FriendFinder, que incluía
sites de adultos como o Adult Friend Finder, Penthouse.com, Cams.com, iCams.com
e Stripshow.com, foi violada em meados de outubro de 2016.
Os dados
roubados pegaram 20 anos de informação de seis bancos de dados e incluiu nomes,
endereços de email e senhas.
3 - Canva
Data: maio de 2019 | Impacto: 137
milhões de contas de usuário
Em maio
de 2019, o Canva sofreu um ataque que expôs endereços de e-mail, nomes
de usuários, nomes, cidades de residência de 137 milhões de usuários. O Canva
diz que os hackers conseguiram visualizar, mas não roubaram, arquivos com
cartão de crédito parcial e dados de pagamento.
A empresa
confirmou o incidente e, posteriormente, notificou os usuários, solicitando que
eles alterassem senhas e redefinissem os tokens do OAuth. No entanto, de acordo
com uma publicação posterior do Canva, uma lista de aproximadamente 4 milhões
de contas do Canva contendo senhas roubadas de usuários foi posteriormente descriptografada
e compartilhada online, levando a empresa a invalidar senhas inalteradas e a
notificar os usuários com senhas não criptografadas na lista.
4 - eBay
Data: maio de 2014 | Impacto:
145 milhões de usuários
Um ataque
expôs as contas de 145 milhões de usuários em maio de 2014, incluindo nomes,
endereços, datas de nascimento e senhas criptografadas.
A gigante
dos leilões online disse que os hackers usaram as credenciais de três
funcionários corporativos para acessar sua rede e tiveram acesso completo por
229 dias - tempo mais do que suficiente para comprometer o banco de dados dos
usuários.
A empresa
pediu aos clientes que mudassem suas senhas. Informações financeiras, como
números de cartão de crédito, foram armazenadas separadamente e não foram comprometidas.
A empresa foi criticada na época por falta de comunicação com seus usuários.
5 - Equifax
Data: 29 de julho de 2017 | Impacto:
147,9 milhões de consumidores
A Equifax,
uma das maiores agências de crédito dos EUA disse em 7 de setembro de 2017 que
uma vulnerabilidade de aplicativo em um de seus sites levou a uma violação de
dados que expôs cerca de 147,9 milhões de consumidores. A violação foi
descoberta em 29 de julho, mas a empresa diz que provavelmente tudo começou em
meados de maio.
A
violação comprometeu as informações pessoais (incluindo números do Seguro
Social, datas de nascimento, endereços e, em alguns casos, números da carteira
de motorista) de 143 milhões de consumidores. Esse número foi aumentado para
147,9 milhões em outubro de 2017.
6 - Dubsmash
Data: dezembro de 2018 | Impacto: 162
milhões de contas de usuário
Em
dezembro de 2018, o serviço de mensagens de vídeo Dubsmash, com sede em
Nova York, teve 162 milhões de endereços de e-mail, nomes de usuários e outros
dados pessoais, como datas de nascimento roubadas. Tudo isso foi colocado à
venda no Dream Market, mercado da dark web.
A empresa
reconheceu que a violação e a venda de informações ocorreram - e forneceu
conselhos sobre a alteração de senha - mas não conseguiu dizer como os
invasores entraram ou confirmaram quantos usuários foram afetados.
7 - Sistemas de pagamento Heartland
Data: março de 2008 | Impacto:
134 milhões de cartões de crédito expostos
Na época
da violação, a Heartland processava 100 milhões de transações com cartão
de pagamento por mês para 175 mil comerciantes - principalmente pequenos e
médios varejistas.
A
violação foi descoberta em janeiro de 2009, quando a Visa e a MasterCard
notificaram a Heartland de transações suspeitas das contas processadas. Devido
à violação, o PCI (Payment Card Industry) considerou Heartland fora de
conformidade com o DSS (Data Security Standard) e não permitiu processar
pagamentos dos principais fornecedores de cartões de crédito até maio de 2009.
A empresa
também pagou US$ 145 milhões em compensação por pagamentos fraudulentos.
8 - LinkedIn
Data: 2012 (e 2016) | Impacto:
165 milhões de contas de usuário
Principal
rede social de profissionais de negócios, o LinkedIn, em 2012, anunciou
que 6,5 milhões de senhas não associadas foram roubadas e postadas em um fórum
de hackers russos.
No
entanto, só em 2016 que toda a extensão do incidente foi revelada. O mesmo
hacker que vendia os dados do MySpace estava oferecendo os endereços de e-mail
e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins
(cerca de US$ 2.000 na época).
O
LinkedIn reconheceu que havia sido informado da violação e disse que havia
redefinido as senhas das contas afetadas.
9 - Marriott International
Data: Entre 2014- e 2018 | Impacto:
500 milhões de clientes
O Marriott
International anunciou em novembro de 2018 que haviam sido roubado dados de
aproximadamente 500 milhões de clientes. A violação ocorreu inicialmente em
sistemas que suportam as marcas de hotéis Starwood a partir de 2014. Os
atacantes permaneceram no sistema depois que a Marriott adquiriu a Starwood em
2016 e não foram descobertos até setembro de 2018.
Os
invasores conseguiram reunir algumas informações de contato, número do
passaporte, informações de viagens e outras informações pessoais. Acredita-se
que os números dos cartões de crédito e as datas de vencimento de mais de 100
milhões de clientes tenham sido roubados, mas a
Marriott não tem certeza se os
hackers conseguiram descriptografar os números dos cartões de crédito.
10 - My Fitness Pal
Data: fevereiro de 2018 | Impacto:
150 milhões de contas de usuário
Além do
Dubsmash, o aplicativo de fitness pertencente à UnderArmor, MyFitnessPal,
estava entre o imenso despejo de informações de 16 sites comprometidos que
tiveram cerca de 617 milhões de contas de clientes vazadas e oferecidas para
venda no Dream Market.
Em
fevereiro de 2018, os nomes de usuário, endereços de email, endereços IP e
senhas de cerca de 150 milhões de clientes foram roubados e colocados à venda
um ano depois, ao mesmo tempo que Dubsmash et al.
O
MyFitnessPal reconheceu a violação e exigiu que os clientes alterassem suas
senhas, mas não compartilhou quantas contas foram afetadas ou como os invasores
obtiveram acesso aos dados.
11 - MySpace
Data: 2013 | Impacto: 360
milhões de contas de usuário
Embora
tivesse deixado de ser a potência que era antes, o site de mídia social MySpace
chegou às manchetes em 2016, depois que 360 milhões de contas de usuários foram
vazadas para o LeakedSource (um banco de dados pesquisável de contas roubadas)
e colocado à venda na dark web.
De acordo
com a empresa, os dados perdidos incluíam endereços de email, senhas e nomes de
usuários para "uma parte das contas criadas antes de 11 de junho de 2013,
na antiga plataforma do Myspace".
12 - NetEase
Data: outubro de 2015 | Impacto:
235 milhões de contas de usuário
O NetEase
é um provedor de serviços de e-mail. Foi relatado que os endereços de
e-mail e senhas em texto sem formatação de cerca de 235 milhões de contas dos
clientes da NetEase estavam sendo vendidos por um fornecedor de mercado da dark
web.
O mesmo
fornecedor também estava vendendo informações obtidas de outros gigantes
chineses, como QQ.com da Tencent, Sina Corporation e Sohu, Inc. A NetEase negou
qualquer violação.
13 - Sina Weibo
Data: março 2020 | Impacto: 538
milhões de contas
Com mais
de 500 milhões de usuários, Sina Weibo é a resposta da China para o
Twitter. No entanto, em março de 2020, foi relatado que os nomes reais, nomes
de usuários do site, sexo, localização e - para 172 milhões de usuários -
números de telefone foram postados para venda nos mercados da dark web. As
senhas não foram incluídas, o que pode indicar porque os dados estavam
disponíveis por apenas ¥ 1.799 (US $ 250).
14 - Yahoo
Data: Entre 2013 e 2014 | Impacto:
3 bilhões de contas de usuário
O Yahoo
anunciou em setembro de 2016 que em 2014 havia sido vítima do que seria a
maior violação de dados da história. Os ladrões comprometeram os nomes reais,
endereços de email, datas de nascimento e números de telefone de 500 milhões de
usuários.
Então, em
dezembro de 2016, o Yahoo divulgou outra violação a partir de 2013 por um
invasor diferente que comprometia os nomes, datas de nascimento, endereços de
email e senhas de 1 bilhão de contas de usuários. O Yahoo revisou essa
estimativa em outubro de 2017 para incluir todas as suas 3 bilhões de contas de
usuário.
15 - Zynga
Data: setembro de 2019 | Impacto:
218 milhões de contas de usuário
O criador
de Farmville, Zynga foi alvo em setembro de 2019 de um hacker que alegou
ter invadido o banco de dados da Zynga de jogadores do Draw Something and Words
with Friends e ganho acesso às 218 milhões de contas registradas lá.
A Zynga
confirmou mais tarde que endereços de e-mail, números de telefone e
identificações de usuário para contas do Facebook e da Zynga foram roubadas.
Fonte: Portal Computer World.