Nous utilisons des cookies pour garantir que nous vous offrons la meilleure expérience sur notre site Web.

17 plus grandes violations du 21e siècle

Les violations de données ont un impact dévastateur sur les victimes, qu'il s'agisse d'individus, d'organisations ou de gouvernements. Essentiellement, elles pourraient entraîner de graves pertes financières, des conséquences juridiques, une atteinte à la réputation, une perte de vie privée ou même une menace pour la sécurité nationale. Pire encore, les cybercriminels conçoivent des techniques plus sophistiquées pour voler des données. Vous devez donc faire attention au stockage et à la protection de vos données, car leur perte pourrait être préjudiciable.

Cet article fournit une discussion détaillée des plus grandes violations dans le monde, de la manière dont elles se produisent, des types de violations de données, des cibles des violations de données, des dommages et bien plus encore.

Liste rapide des plus grandes violations de données depuis 2000

  1. Yahoo: Une violation s'est produite en 2013-2014, affectant 3 milliards de comptes d'utilisateurs, mais est restée non détectée au cours des trois années suivantes.
  2. Aadhaar: Les pirates ont réussi à accéder aux informations sensibles de plus de 1,2 milliard d'Indiens enregistrés et à les vendre sur des groupes WhatsApp.
  3. LinkedIn: Le service de réseautage professionnel a exposé les données d'environ 700 millions d'utilisateurs à des pirates informatiques criminels.
  4. Sina Weibo: Le géant chinois des médias sociaux a exposé les informations personnelles de 538 millions d’utilisateurs aux pirates qui ont exploité l’API de la plateforme.
  5. Facebook: Bien qu'il ait connu de nombreuses failles de sécurité au cours de son histoire, l'incident le plus dévastateur s'est produit en 2019, affectant 533 millions d'utilisateurs.
  6. Marriott International (Starwood): Le géant de l'hôtellerie a exposé les informations personnelles et financières sensibles de 500 millions de clients aux pirates.
  7. Recherche d'amis: Le site de rencontres a subi un piratage en 2016, exposant les données sensibles de plus de 400 millions de clients.
  8. MonEspace: L'incident a attiré l'attention après que les pirates ont mis en vente les données de plus de 360 ​​millions d'utilisateurs de MySpace sur le dark web.
  9. Adobe: Les pirates ont non seulement volé le code source des produits Adobe, mais ont également exfiltré les identifiants de compte et les identifiants de plus de 150 millions d'utilisateurs.
  10. Équifax: L'entreprise a fait face à de sévères critiques et à des réactions négatives à la suite de la faille de sécurité de 2017 qui a touché 147 millions d'utilisateurs.
  11. eBay: Parmi les deux violations de données subies, le piratage d'eBay en 2014 a été un piratage grave qui a touché 145 millions de clients.
  12. Toile: Le service de conception graphique australien a exposé les données de 139 millions d'utilisateurs aux attaquants, qui ont ensuite publié les données sur le dark web.
  13. Capitale un: L'incident a pris de l'ampleur après que les attaquants ont confirmé avoir volé les informations personnelles et financières de plus de 106 millions de clients.
  14. JP Morgan Chase: L'incident a touché aussi bien les particuliers que les petites entreprises, car les attaquants ont exploité les données volées pour usurper l'identité.
  15. Uber: Le service de transport populaire a payé 100 000 $ aux attaquants pour supprimer les données volées d'environ 57 millions d'utilisateurs d'Uber.
  16. Dépôt à domicile: Les pirates ont infecté le système de paiement de l’entreprise avec un malware pour voler les données de plus de 56 millions de clients.
  17. Magasins cibles: Les pirates ont accédé aux points de vente des fournisseurs pour voler les données personnelles et financières d'environ 40 millions de clients.

Qu’est-ce qu’une violation de données ?

Une violation de données fait référence à un incident au cours duquelles informations privées ou les données protégées sont consultées, utilisées ou divulguées sans l'autorisation des personnes détenant les informations. Une violation de données peut survenir en raison du comportement de l'utilisateur ou de faiblesses dans la technologie utilisée pour stocker les informations et peut entraîner des dommages juridiques, financiers et de réputation.

Dans cette optique, une violation de données peut survenir par le biais d’une cyberattaque, d’une élimination inappropriée des données ou de fuites accidentelles de données. Lorsque cela se produit, toute une série d’informations privées sont exposées, notamment les noms, adresses e-mail, numéros de sécurité sociale, informations de carte de crédit et emplacement.

Types de violations de données

Voici les types courants de violations de données :

1. Rançongiciel

Cybercriminelschiffrer votre fichier ou appareil et demandez une rançon pour restaurer l'accèsou autrement infecter, supprimer ou divulguer les données au public.Rançongicielpeut se propager rapidement sur l’ensemble d’un réseau et entraîner de graves pertes de données.

2. Logiciels malveillants

Les cybercriminels ciblent votre appareil et installent unprogramme malveillant dans votre appareil. Le programme infecte le système permettant au pirate informatique demanipuler ou voler vos données.

3. Phishing

Dans le cadre de ce type de violation de données,les pirates envoyer de faux e-mails ou messages qui semblent légitimeset vous inciter à révéler des données sensibles telles que des informations de carte de crédit ou des informations de connexion.

4. Déni de service (DoS)

Le déni de service (DoS) impliqueinonder un système d'attaquespour le manipuler. Ces attaques surchargent le trafic du système, le rendant inaccessible aux utilisateurs légitimes.

5. Attaque de script intersite (XSS)

Sous cette attaque, le hackerinjecte du code malveillant dans votre site Web,leur permettant de voler des informations privées telles que les informations de connexion, d’infecter votre appareil ou de vous rediriger vers un site Web de phishing.

6. Attaque par injection SQL

Cela impliqueinjecter du code malveillant dans la base de données SQL (Structured Query Language) d'un site Web. Les cybercriminels insèrent du code malveillant dans une requête de base de données pour obtenir un accès non autorisé ou manipuler les données stockées.

7. Attaque de l'homme du milieu

Abréger enMITM, ce type implique lepirate informatique interceptant le processus de communication entre deux parties et se déguisant en l'autre partie.Le cybercriminel joue le rôle de relais, transmettant des informations entre les deux parties et accédant à des informations sensibles.

8. Violation physique des données

Cybercriminelsaccéder physiquement à vos systèmes ou appareils,comme un ordinateur portable ou un disque dur externe, et voler des informations sensibles.

9. Menace interne

Salariés ou autrespersonnes initiées ayant accès à des informations privéesexposer intentionnellement ou non des données sensibles.

10. Deviner le mot de passe/force brute

Les pirates tentent de déchiffrer le mot de passe d'un utilisateur enessayer de nombreuses combinaisons possibles. Ces tentatives peuvent être physiques ou automatisées à l’aide d’outils logiciels exécutant des milliers de combinaisons possibles.

11. Enregistrement des frappes

Les cybercriminels utilisent des stratégies telles quedes enregistreurs de frappe pour suivre et enregistrer ce que vous tapez sur le clavier de votre appareil.Enregistreurs de frappe matériels et logicielsexécuter en arrière-plan et enregistrer les touches saisies. Par conséquent, les pirates l’utilisent pour obtenir des informations sensibles, telles que les informations de connexion.

12. Attaques d’écoute

Le pirate informatiqueintercepte la communication transmisesur unréseau non sécurisé. Cybercriminelsaccéder aux données privéesvia leattaque de reniflement.

Les dégâts qu’une violation de données peut causer

Les violations de données peuvent avoir un impact dévastateur sur les individus, les entités ou le gouvernement :

Particuliers

La perte d'informations personnelles telles que le numéro de sécurité sociale, l'adresse e-mail et le numéro de téléphone peut entraînerde graves conséquences financières, de réputation et juridiques pour les individus.

Organisations

Une violation de données dans une organisation peut causer de graves dommages. Perte de données protégées telles que des informations sur les utilisateurs, des informations financières ou des accords commerciaux secretspeut nuire à la réputation, à la situation financière et même à l’avantage concurrentiel de l’entreprise.

Gouvernement

La perte d’informations gouvernementales hautement confidentiellesmenace la sécurité de la nation et la position internationale. Une violation de données peut exposer des opérations militaires, des données économiques, des informations politiques et d’autres données essentielles à la stabilité d’un pays.

17 plus grandes failles de sécurité dans l'histoire

Voici quelques-unes des violations de données les plus dévastatrices du 21Stsiècle:

1. Yahoo

Le Yahoo! des violations de données se sont produites en2013 et 2014 et a touché 3 milliards de comptes.Les violations ont étépas découvert avant 2016, lorsque Yahoo a révélé que les données privées des utilisateurs, notamment les noms, adresses e-mail, dates de naissance et questions et réponses de sécurité, avaient été compromises par des cybercriminels.

Lel'entreprise a fait face à plusieurs poursuites et enquêtes réglementairesen raison des violations. En outre, l’incident a entraîné une baisse significative de la valeur de l’entreprise, à 350 millions de dollars.

2. Aadhaar

En 2018, un groupe de hackers a eu accès audonnées personnelles et biométriquesde plus que1 milliard d'Indiens enregistré auprès du système national d’identification Aadhaar du pays. Les noms, adresses, numéros de téléphone, empreintes digitales et numéros d’identification Aadhaar à 12 chiffres de chaque inscrit faisaient partie des données personnelles perdues par les pirates.

Leles données ont été vendues pour aussi peu que 7 $via les groupes WhatsApp. Le gouvernement indien a été critiqué pourmesures de sécurité insuffisantespour protéger les informations personnelles des inscrits à Aadhaar.

3. LinkedIn

En 2012, près de 700 millions de comptes utilisateurs LinkedInleurs noms, adresses e-mail et mots de passe ont été compromis en raison de la violation de données. Les pirates ont volé les informations de connexion via un site Web tiers.

Par la suite, LinkedIn a invalidé les mots de passe divulgués et a contacté les membres concernés pour demander de nouveaux mots de passe. La société a été critiquée pour ne pas avoirchiffrerles mots de passe des utilisateurs et pour ne pas avoir alerté les clients du piratage pendant plusieurs jours.

4. Sina Weibo

Sina Weibo est une plateforme de médias sociaux chinoise comparable à Twitter. LeIncident de Sina Weibode 2019 a touché plus de 538 millions de comptes, conduisant à laperte de données privées, y compris les noms d'utilisateur, le sexe, le lieu, les noms officiels et les numéros de téléphone.

L'attaquant a exploité l'API Sina Weibo lors du piratage, lui permettant de comparer les contacts avec le carnet d'adresses accessible via le point de terminaison de l'API. Les données des utilisateurs étaient vendues sur le Web pour environ 250 dollars.

5.Facebook

Facebook a subi plusieurs violations de données, la plus récente remontant à 2019. Lors de cet incident,plus de 533 millions d'utilisateurs ont été concernés, accédant à leurs informations personnelles, y compris leurs numéros de téléphone et leurs emplacements. L'entreprise a puidentifier et corriger la vulnérabilité, mais les données des utilisateurs avaient déjà été compromises.

6. Marriott International

Le système de réservation de Starwood, une société hôtelière appartenant à Marriott, a été touché par la violation de données en 2018. Lors du piratage, des noms, des adresses postales, des numéros de téléphone, des adresses e-mail, des numéros de passeport et des informations de carte de crédit ont été exposés, ainsi que des informations personnelles et personnelles.données financières de plus de 500 millions de visiteurs.

On pensait que les hackers travaillant pour leLe gouvernement chinois était responsablepour la brèche, qui n'a pas été constatée depuis quatre ans. Cependant, Marriott a été fortement critiqué pour la façon dont il a géré la violation et a fait l'objet de nombreuses enquêtes et poursuites judiciaires à la suite de l'événement.

7. Recherche d'amis adultes

En 2016, plus de 412 millions de comptes sur le site de rencontres pour adultes avait leurinformations personnelles compromisesdans la violation de données d’Adult FriendFinder. Les noms, adresses e-mail, mots de passe et autres données privées telles que les préférences sexuelles et si les individus étaient intéressés par des relations extraconjugales faisaient partie des informations personnelles volées par les pirates.

L’événement a eu de graves répercussions sur l’entreprise, notamment le départ du PDG, et a suscité des questions sur la sécurité des informations des utilisateurs sur les services de rencontres.

8. Mon Espace

La violation de données MySpace s'est produite en 2013, entraînantplus de 360 ​​millions d'utilisateurs perdent des données privées. Une annonce de vente des données a été publiée sur le dark web pour 6 BTC (environ 3 000 à l'époque). Les données perdues comprenaient des noms, des adresses e-mail et des mots de passe. MySpace a invalidé tous les mots de passe des utilisateurs et a demandé aux utilisateurs de s'authentifier et de réinitialiser leurs profils.

9. Adobe

La fuite de données Adobe de 2013où les pirates ont volé des noms, des adresses e-mail, des mots de passe cryptés et le code source de divers produits Adobe. Le compromis a été trouvé après ledes pirates ont mis en ligne le code source voléet a rendu les données personnelles deplus de 150 millions de clientsdisponible à l'achat sur le dark web.

Des frais juridiques s'élevant à 1,1 million de dollars ont été engagés à la suite du manquement. En outre, la sécurité des données personnelles conservées par les éditeurs de logiciels et les violations du code source étaient également une préoccupation.

10. Équifax

La violation de données d'Equifax en 2017 était une cyberattaque qui a violé leinformations confidentielles de 147 millions, y compris les noms, les numéros de sécurité sociale, les dates de naissance, les adresses et les informations financières. La violation de données n'a pas été remarquée pendant plusieurs mois après que les pirates ont eu accès aux données parprofiter d’une faille dans le logiciel du site Internet de l’entreprise.

Les répercussions importantes de l'incident sur l'entreprise comprenaient des poursuites judiciaires, des enquêtes réglementaires et la démission de plusieurs hauts dirigeants. De plus, cela a suscité des appels à davantage de réglementation dans le secteur et des inquiétudes quant à la confidentialité et à la sécurité des informations personnelles stockées par les organismes d'évaluation du crédit.

11. eBay

Il y a eu deux violations de données importantes chez eBay, l'une en 2014 et l'autre en 2018.La violation de données en 2014 a touché 145 millions de clientsaprès que le réseau d'entreprise d'eBay ait été compromis.Les pirates ont obtenu l'accès à une base de donnéescomprenant les noms d’utilisateur, les adresses e-mail, les adresses physiques et les dates de naissance. Les pirates ont accédé à la base de données de l’entreprise en utilisant les informations de connexion de trois employés d’eBay.

Un nombre bien moindre d'utilisateurs, en gros1,5 million de personnes ont été touchées par la fuite de données de 2018. Au cours de l’incident, les cybercriminels ont eu accès à une base de données contenant les noms, adresses e-mail et adresses physiques des personnes. Par mesure de précaution, eBay a encouragé les utilisateurs vulnérables à modifier leurs mots de passe.

12. Toile

Le populaire service de conception graphique Canva a également subi une terrible violation de données en 2019, marquant l’une des plus grandes failles de sécurité de la décennie.

L'incident a fait surface en ligne lorsque l'entreprise a admis une « attaque en cours » après qu'un groupe deLes hackers « GnosticPlayers » ont revendiqué la responsabilité de l’attaque..

La brèchea impacté 139 millions d'utilisateurs de Canva, divulguant leurs noms d'utilisateur, leurs vrais noms, leurs adresses e-mail, leurs adresses physiques et même les hachages de mots de passe pour certains comptes.

13. Capitale Un

L'incident a eu lieuen 2019 et touché plus de 106millions de clients. Diversinformations personnelles, y compris les noms, adresses, numéros de téléphone et informations de carte de crédit, ont été volés par des cybercriminels lorsqu'ilsa eu accès au système de carte de paiement de l’entreprise. La violation a été découverte lorsqu’un pirate informatique a revendiqué la responsabilité de la violation et mis en ligne les données volées.

14. JP Morgan Chase

Autour76 millions de foyers et 7 millions de petites entreprisesa compromis leurs données privées lors de la violation de données de JP Morgan Chase en 2014. Les pirates ont obtenu des noms, des adresses, des numéros de téléphone, des numéros de compte et des adresses e-mail. À l’époque, l’événement était l’un des plus importants jamais enregistrés. Les données perdues lors de l'incident ont été utilisées à des fins d'usurpation d'identité et de blanchiment d'argent.

15. Uber

Plus de 57 millions d’informations personnelles de clients et chauffeurs Uber ont été compromisesdans leViolation de données Uber en 2016. Environ 600 000 numéros de permis de conduire, noms, adresses e-mail et numéros de téléphone portable ont été volés par des cybercriminels. La violation n’a été identifiée qu’un an plus tard, lorsqu’Uber a déclaré avoir payé 100 000 $ aux pirates informatiques pour supprimer les données qu’ils avaient obtenues et dissimuler l’incident.

Après l’incident, la valeur nette d’Uber est tombée de 68 milliards de dollars à 48 milliards de dollars, ce qui a conduit à sa vente à Softbank.

16. Dépôt à domicile

L'incident de Home Depot s'est produit en 2014, entraînant la perte des informations de carte de crédit et de débit de plus de56 millions de clients.Les cybercriminelsa infiltré le système de paiement par carte de l’entrepriseen utilisant des logiciels malveillants personnalisés. L'année suivante, Home Depot a accepté un règlement financier pour les dommages résultant de la violation.

17. Magasins cibles

Plus de 40 millions d’informations personnelles et financières de clients ont été compromises en 2013.Cibler la violation de données. Les piratesa pris diverses informations personnelles, y compris les noms, adresses, numéros de téléphone et informations de carte de crédit, lorsqu’ils ont eu accès au système de point de vente des fournisseurs de CVC de Target.

L'incident a de multiples conséquences, dont 162 millions de dollars de pertes et la démission du PDG et du CIO.

Qu’est-ce qui est visé par les violations de données ?

Bien que les cybercriminels utilisent un large éventail de méthodes pour accéder à des informations privées, il existe généralement un modèle lors de leurs attaques. Les piratesidentifier les points faibles et les exploitereux pour accéder à votre appareil et à vos données. Voici quelques cibles courantes des violations de données :

  • Faibles références

La plupart des pirates informatiques s'appuient sur des informations d'identification faibles, telles que des combinaisons de mots de passe faciles à deviner, pour accéder aux informations sensibles.

  • Données volées

Les informations d'identification volées constituent une menace pourvotre vie privée et votre sécurité. Siles pirates ont accès à vos informations d'identification volées, vous risquez une attaque.

  • Programmes compromis

Cible des cybercriminelsactifs compromis, tels que les outils logicielsnormalement destiné à protéger votre appareil.

  • Fraude par carte de crédit/débit

Les piratescibler les cartes de crédit/débit pour obtenir des informations sur la cartetels que les numéros de carte et le CVV. De plus, les cybercriminels utilisent des méthodes telles que le survol de carte pour lire les informations de la carte chaque fois que le propriétaire glisse sur un PDQ ou un guichet automatique.

  • Accès tiers

Malgré l'utilisation de toutoutils de confidentialité et de sécuritépour vous protéger, certaines attaques peuvent provenir d'accès de tiers, tels que des initiés.

  • Appareils mobiles

Les appareils transportés par les employés sur le lieu de travail peuvent constituer le point initial de l'attaque.Les appareils non sécurisés installent des applications chargées de logiciels malveillants que les pirates utilisent pour accéder aux e-mails et aux fichiers professionnels.

Comment se produisent les violations de données ?

Voici quelques exemples courants de violations de données :

  • Fuites de données accidentelles: Un employé consultant des informations non autorisées peut être considéré comme une violation de données.
  • Un initié malveillant: Un individu accède intentionnellement à des informations privées pour causer des dommages.
  • Appareils perdus/volés: Une clé USB, un ordinateur portable ou un disque dur externe contenant des données sensibles peut se trouver entre de mauvaises mains.
  • Des étrangers malveillants: inclut les cybercriminels qui utilisent diverses techniques, telles que le phishing, les logiciels malveillants et l'injection SQL, pour obtenir un accès non autorisé à des informations sensibles.

Comment prévenir les fuites de données ?

1. Accès limité aux données sensibles

La mise en œuvre de mesures strictes de contrôle d’accès telles que l’accès biométrique permet de protéger vos informations sensibles. De plus, la classification et la séparation des données garantissent queseul le personnel autorisé accède aux donnéesen fonction de leur niveau d'autorisation.

2. Conformité par des tiers

Veiller à ce que des mesures de conformité strictes soient en place est primordial pour prévenir les violations de données. Tous les tiers devraientrespecter les réglementations du propriétaire des donnéespour éviter les risques de violation de données.

3. Formation de sensibilisation à la sécurité des employés

La formation des employés à la sensibilisation à la sécurité et aux meilleures pratiques est essentielle pour protéger les données sensibles. Une telle formation enseigne aux travailleurs commentreconnaître et prévenir diverses menaces de sécurité,comme les logiciels malveillants,hameçonnage, homme du milieu, etc., sur place.

4. Mises à jour régulières du logiciel et de la sécurité

Pour vous protéger contre les violations de données, assurez-vous que tous vos programmes, y comprisLe système d'exploitation et les logiciels de sécurité sont à jour. Les correctifs de sécurité sur les programmes récemment mis à jour sont essentiels à la protection des données. Les mises à jour logicielles s'accompagnent d'améliorations de performances, de corrections de bugs et de correctifs de sécurité qui font partie intégrante de la résolution des principales vulnérabilités susceptibles de faciliter les violations de données.

5. Plan de réponse aux cyberattaques

Détails d'un plan de réponse aux cyberattaques un guide étape par étape surque faire lors d'une violation de données. Avoir un tel plan aide à désamorcer l’incident, évitant ainsi d’autres dommages. Le plan doit inclure une liste d'experts, des procédures et des mesures, un plan de communication et un processus d'examen et de mise à jour pour garantir qu'il reste efficace.

6. Mots de passe forts

Créez des mots de passe fortspour tous les comptes etutiliser des mots de passe différentspour différents profilséviter de deviner le mot de passe. Les mots de passe forts doivent être longs, complexes et uniques et ne doivent pas inclure de modèles évidents tels que des nombres consécutifs.

7. Surveillance à distance

Assurez-vous d'avoir des outils de surveillance en place 24h/24 et 7j/7 pourdétecter et répondre à toute menace de donnéessur votre réseau. La méthode vous permet de surveiller la sécurité du système et des appareils en temps réel, ce qui peut aider à identifier, dépanner et répondre à tout problème rapidement et efficacement.

8. Cryptage, sauvegarde et récupération des données

Le cryptage des données code les informations. Parties qui souhaitent décrypter les donnéesdoit utiliser une clé de décryptage. La méthode protège les informations sensibles du personnel non autorisé et garantit la confidentialité des données. De plus, il est important d'effectuer des sauvegardes régulières carpermet la récupération de données en cas de violation ou de perte de données.

9. Élimination appropriée des données

Une élimination appropriée des données est primordiale pour protéger les informations sensibles. Pour protéger les informations privées, vous devezidentifier la méthode d’élimination appropriée, quelles informations vous devez éliminer et suivez les procédures d'élimination appropriées. De plus, surveillez régulièrement le processus d’élimination pour vous assurer qu’il est effectué correctement et en toute sécurité.

10. Embaucher des experts

Vous pourriez envisager d'embaucherun expert pour protégervous contre les violations de données. Les experts peuvent être de forme humaine ou non humaine. La forme humaine implique des experts humains tels que des spécialistes de la sécurité des données, tandis que la forme non humaine inclut des outils logiciels tels quelogiciel antivirusetoutils de cryptage. Les deux jouent un rôle important dans votre protection contre les violations de données.

11. Protéger les appareils physiques et portables

Pour protéger les appareils physiques et portables, assurez-vous que vousstocker les données en toute sécurité et utiliser des mots de passesi possible. De même, faites de votre mieux pourstocker tous les enregistrements physiques dans une zone restreinteet loin des dommages potentiels. Activez les fonctionnalités de sécurité telles que le cryptage des données et la protection par mot de passe sur les périphériques de stockage portables tels que les disques durs externes.

Lire aussi