De 5 største brud på datasikkerhed nogensinde

Det lader til at enhver rapport om cybersikkerhed påstår, at brud på datasikkerheden bliver større og større, mere og mere almindelige og dyrere. Hvis du tænker over det, så burde det ikke være for stor en overraskelse, for organisationer samler flere og flere oplysninger og antallet af rapporterede hændelser vokser eksponentielt.

Ikke desto mindre er det utroligt at tænke på, at de aktuelt fem største brud på datasikkerheden alle er blevet afsløret indenfor de sidste to år. Her er de i al deres skændige pragt:

5. Myspace (2016) – 360 millioner oplysninger

I maj 2016 prøvede en russisk hacker med navnet “Peace” at sælge indholdet af adskillelige gamle brud på datasikkerhed. Den største samling af oplysninger involverede e-mail addresser, brugernavne og ugentligt hacked kodeord fra Myspace.

En liste over de mest populære kodeord i bruddet inkluderede reference til Michael Jordan og Blink-182, hvilket indikerer at bruddet skete midt i 00’erne. Selvom oplysningerne var forældede, menes mange af e-mail adresserne stadig at være aktive til forskel fra de Myspace konti, som de hørte til.

4. Adult FriendFinder (2016) – 412 million records

I November 2016 afslørede “sex and swingers” siten Adult FriendFinder, at den havde haft et indbrud for anden gang indenfor lidt over et år. Den første hændelse påvirkede “kun” 3,5 millioner brugere, men den anden hændelse lækkede oplysninger tilhørende alle 412 millioner personer, som havde registreret sig på FriendFinder netværk i dets 20-årige historie, inklusive dem som havde slettet deres konti.

De kompromitterede oplysninger inkluderede e-mail adresse, kodeord, log-in aktivitet, browserinformationer, IP addresser og medlemsstatus.

3. Yahoo (2016) – 500 millioner oplysninger

I september 2016 bekræftede Yahoo meldinger om, at nogen havde brudt ind i firmaet i 2014 og fået tilgang til brugeres navne, e-mail adresse, telefonnumre, fødselsdatoer og hackede kodeord.

Dog berigtigede Yahoo en ting, som de tidligere meldinger havde fået galt i halsen: Indbruddet påvirkede 500 millioner konti, ikke 200 millioner. I en pressemeddelelse sagde firmaet, at “størstedelen” af de stjålne kodeord var blevet hackede ved at bruge bcrypt, hvilket man indtil da troede var umulig at cracke. Det er det mindst mulige glimt af håb.

2. River City Media (2017) – 1.37 milliarder oplysninger

I marts 2017 drillede Chris Vickery, en sikkerhedsefterforsker for MacKeeper, et mammut brud på datasikkerhed involverende mere end en milliard oplysninger. Efter en uges spekulation afslørede han, at ofret var River City Media, en “illegal spam operation”.

Dette brud tiltrak sig ikke nær så megen opmærksom som mange mindre brud (hvilket pr definition er næsten alle), nok fordi meget få mennesker havde hørt om River City Media. Ikke desto mindre eksponerede enorme mængder af data, inklusive folks fulde navn, e-mail adresser, fysiske addresser og IP adresser så vel som informationer om River City Media, inklusive domæneregistrationsdata, planer over infrastruktur, produktionsnoter og forretningsforbindelser.

1. Yahoo (2016–2017) – 3 milliarder oplysninger

I november 2016, tre måneder efter Yahoo annoncerede at 500 millioner brugeres oplysninger var blevet stjålet, brød organisationen deres egen uønskede record for det største brud på datasikkerhed nogensinde ved at afsløre en ubeslægtet hændelse, som påvirkede en milliard oplysninger.

Men det bliver værre: Yahoo bekræftede, at bruddet skete i 2013, hvilket betyder at det tog tre år for organisationen at identificere og afsløre hændelsen.

Og så bliver det endnu værre: I oktober 2017 reviderede Yahoo deres oprindelig skøn og annoncerede, at bruddet påvirkede alle tre milliarder af deres brugere.

Fremtiden for brud på datasikkerheden

Det er svært at forestille sig et mere altomfattende brud end Yahoos mest aktuelle katastrofe, men den seneste historik viser, at det nok kun er et spørgsmål om tid, før den næste enorme hændelse sker.

I et forsøg på at forhindre det har lovgivere skabt EU databeskyttelsesforordningen (GDPR), hvilket fremhæver organisationers pligt til at beskytte berørte parters informationer.

GDPR styrker eksisterende databeskyttelseskrav, indfører nye og giver overvågende myndigheder større regulativ magt. Bøder for ikke at være conform kan være så store som 20 millioner € eller 4% af organisationens globale årlige omsætning – hvad end der er større.

For at sætte det i kontekst; havde GDPR været i kraft under Yahoos rekord brud på datasikkerheden, ville organisationen have hæftet for 168 millioner €.

Godt nok over-forenkler sådanne kontrafaktiske argumenter den overvågende myndigheds rolle og går i store dele forbid idéen med GDPR. Med dette “hvad nu hvis”-scenarie kunne man lige så godt argumentere, at Yahoo ville have indledt tiltag til at overholde GDPR og forhindret bruddet i det hele taget – hvad er nøjagtigt hvad forordningens håndhævelsesforanstaltninger er til for.

Maksimal bøde eller ej, organisationer som ikke er konforme med GDPR vil stå overfor hårde straffe og skader på deres omdømme. Det er derfor, det er så vigtigt at være så godt forberedt som muligt.

Du kan vurdere, hvor forberedt du er med vores GDPR analyse af mangler. Vores databeskyttelseskonsulenter gennemfører en grundig on-site vurdering af din organisations privatssfære-management og praktikker angående databeskyttelse. De giver så en detaljeret inddeling efter arealer af dit fremskridt og skaber en aktionsplan, som oplister og prioriserer nøgleproblemstillingerne, som din organisation skal tage hånd om.

Find ud af mere om vores GDPR analyse af mangler >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.