Det verkar som om varje cyber-säkerhetsrapport förklarar att dataöverträdelser blir större, vanligare och dyrare. När du tänker på det, borde det inte vara för mycket av en överraskning, för organisationer samlar mer och mer data och antalet rapporterade incidenter växer exponentiellt.
Det är emellertid otroligt att tro att de fem senaste dataöverträdelserna alla avslöjades under de senaste två åren.Här är de i sin ignorösa härlighet:
5. Myspace (2016) – 360 miljoner poster
I maj 2016 försökte en rysk hacker som kallades “Peace” sälja innehållet i flera gamla dataöverträdelser.Den största uppsättningen data involverade e-postadresser, användarnamn och svagt hackade lösenord från Myspace.
En lista över de mest populära lösenorden i överträdelsen innehöll hänvisningar till Michael Jordan och blink-182, vilket indikerar att överträdelsen inträffade i mitten av 2000-talet.Även om informationen var daterad, anses många av e-postadresserna fortfarande vara aktiva, till skillnad från de Myspace-konton som de tillhör.
4. Adult FriendFinder (2016) – 412 miljoner poster
I november 2016 avslöjade “sex and swingers” platsen Adult FriendFinder att den hade råkat ut för en överträdelse för andra gången på drygt ett år.Den första händelsen påverkade bara 3,5 miljoner användare, men den andra incidenten läckte information som tillhörde alla 412 miljoner människor som hade registrerat sig till FriendFinder Networks under dess 20-åriga historia, inklusive de som raderade sina konton.
Den komprometterade informationen inkluderar e-postadresser, lösenord, inloggningsaktivitet, webbläsarinformation, IP-adresser och medlemsstatus.
3. Yahoo (2016) – 500 miljoner poster
I september 2016 bekräftade Yahoo slutligen rapporter om att någon hade gjort en överträdelse mot företaget under 2014 och kommit åt användarnas namn, e-postadresser, telefonnummer, födelsedatum och hackade-lösenord.
Men, Yahoo korrigerade en sak som de tidigare rapporterat felaktigt om: överträdelsen påverkade 500 miljoner konton, inte 200 miljoner. I ett pressmeddelande, sade företaget att “de allra flesta” av de stulna lösenorden hade blivit hackade med hjälp av bcrypt, som hittills tros vara omöjligt att hacka.Det är de allra tunnaste silverkanterna.
2. River City Media (2017) – 1,37 miljarder poster
I mars 2017, berättade Chris Vickery, en säkerhetsforskare för MacKeeper, om en mammut dataöverträdelse som involverade mer än en miljard poster. Efter en helg av spekulation avslöjade han att offret var River City Media, ett “olagligt hantering av spam”.
Överträdelsen attraherade inte lika mycket uppmärksamhet som många mindre överträdelser (som per definition är nästan alla), förmodligen eftersom väldigt få människor hade hört talas om River City Media.Överträdelsen exponerade emellertid stora mängder data, inklusive människors fullständiga namn, e-postadresser, fysiska adresser och IP-adresser, samt information om River City Media, inklusive
domänregistreringsregister, infrastrukturplanering, produktionsanmärkningar och affärsförbindelser.
1. Yahoo (2016-2017) – 3 miljarder poster
I november 2016, tre månader efter att Yahoo meddelade att 500 miljoner användares register hade råkat ut för en överträdelse, bröt organisationen sitt eget oönskade rekord för tidernas största överträdelse någonsin genom att avslöja en orelaterad incident som drabbade en miljard poster.
Men det blir värre:Yahoo bekräftade att överträdelsen inträffade 2013, vilket innebar att det tog tre år för organisationen att identifiera och avslöja händelsen.
Och då blir det fortfarande sämre: I oktober 2017 reviderade Yahoo sin ursprungliga uppskattning och meddelade att överträdelsen drabbade alla tre miljarder av dess användare.
Framtiden för dataöverträdelser
Det är svårt att föreställa sig en mer omfattande överträdelse än Yahoos senaste katastrof, men ny historik tyder på att det bara är en tidsfråga till nästa enorma händelse.
För att stoppa det skapade lagstiftare EU General Data Protection Regulation(GDPR), som betonar organisationernas skyldighet att skydda registrerade uppgifter.
GDPR stärker befintliga krav på dataskydd, introducerar nya, och ger tillsynsmyndigheter större lagstiftningsbefogenheter.Böter för bristande efterlevnad kan vara så högt som 20 miljoner euro eller 4 % av organisationens årliga globala omsättning – beroende på vilket som är störst.
För att uttrycka detta i sammanhanget, om GDPR var i kraft under Yahoos rekord-överträdelse skulle organisationen ha varit ansvarig för 168 miljoner euro.
Beviljade, kontrafaktiska argument som detta förenklar övervakningsmyndighetens roll och missar i stor utsträckning poängen med GDPR.Enligt detta “vad om”-scenariot kan du likvärdigt hävda att Yahoo skulle ha vidtagit åtgärder för att följa GDPR och förhindra överträdelsen helt och hållet – vilket är exakt vad förordningens verkställighetsåtgärder är där för att göra.
Maximal böter eller inte, organisationer som misslyckas med att följa GDPR kommer att utsättas för allvarlig bestraffning och ryktesskada.Därför är det viktigt att vara så förberedd som möjligt.
Du kan granska hur förberedd du är med GDPR Gap-analys.Våra dataskyddskonsulter kommer att genomföra en noggrann utvärdering av din organisations integritetshantering och dataskyddspraxis.De kommer sedan att ge en detaljerad fördelning efter område av dina framsteg, och skapa en handlingsplan som beskriver och prioriterar de viktigaste frågorna som din organisation måste adressera.
