8 violations de données historiques qui ont secoué le monde

Alors que chaque organisation s'efforce de corriger toutes les failles possibles dans ses logiciels, les pirates informatiques n'arrêtent pas d'exploiter les vulnérabilités pour en exposer de nouvelles. Et avec la récente multiplication des rapports sur les violations de données, il semble que la menace ne s'arrêtera pas de si tôt.

Ce sont quelques-unes des violations de données les plus choquantes de l'histoire qui sont inoubliables, y compris celles liées au gouvernement.

1. Violation de données en série par le gouvernement fédéral américain (2020)

En décembre 2020, le gouvernement américain a découvert une violation de données majeure et choquante qui aurait initialement affecté quelques organisations.

Peu de temps après la découverte, il est devenu clair que jusqu'à 200 organisations de premier plan, même en dehors de la juridiction des États-Unis, y compris l'OTAN et le Parlement européen, avaient été perforées dans une attaque de chaîne d'approvisionnement qui fonctionne en cachant du code malveillant dans un logiciel mis à jour.

Tout en ruminant sur la cause et la source de ce piratage de données sans précédent, il s'est vite avéré que les attaquants signifiaient l'accord et avaient coordonné l'attaque sans être détectée pendant plus de huit mois dans ce qu'on appelle une menace persistante avancée (APT).

Les attaquants ont exploité des failles dans l'infrastructure cloud de Microsoft, le logiciel de VMware et une mise à jour du logiciel de surveillance gouvernementale et militaire publiée par SolarWind Corps. Des sources ont affirmé que la violation était une attaque ciblée parrainée par la nation visant à divulguer des informations sensibles appartenant à diverses entités parapubliques aux États-Unis, y compris son armée.

À ce jour, il s'agit toujours de l'une des cyberattaques les plus sérieusement coordonnées contre les États-Unis et certaines des principales multinationales du monde.

2. MyFitnessPal (2018)

Les pirates informatiques ne reculeront devant rien pour mettre à genoux des applications populaires. En 2018, les attaquants ont obtenu un accès non autorisé à la base de données de MyFitnessPal et ont ainsi obtenu des millions d'informations sur des utilisateurs.

Selon Under Amour, la violation sans précédent a touché environ 150 millions de comptes. Par mesure de précaution, les experts en sécurité de l'entreprise ont informé les utilisateurs de la violation et leur ont demandé de changer leurs mots de passe.

Bien que la société ait instantanément réinitialisé les mots de passe de tous les utilisateurs concernés, malheureusement, les e-mails des utilisateurs ont également été divulgués. Cela les expose donc à d'éventuelles attaques de phishing et d'usurpation d'identité.

La conséquence de cette violation de données deviendrait plus tard plus inquiétante après un an lorsque les informations obtenues, y compris les e-mails, les noms d'utilisateur et les mots de passe cryptés, ont fait surface sur le dark web . Et cette fois, ils ont été mis en vente pour un prix estimé à 20 000 $.

3. Violation de données de l'Agence suédoise des transports (2017)

Bien que la plupart des violations de données impliquent le piratage délibéré du logiciel d'une victime, ce n'était pas le cas dans la violation de données de l'agence de transport suédoise. En raison d'un traitement imprudent des données, l'agence de transport du pays a été durement touchée en 2017 par des fuites de données après avoir externalisé son infrastructure informatique et la gestion de ses bases de données à IBM.

La gravité aurait été minime si elle s'était limitée aux milliers d'informations sur les permis de conduire qui ont été exposées. Mais le gouvernement a affirmé qu'en plus de divulguer des informations sur les routes et les ponts nationaux, l'identité d'agents infiltrés travaillant avec l'unité de renseignement et l'armée avait été révélée.

Cet événement a cependant entraîné le limogeage de Maria Ågren, la directrice générale de l'agence à l'époque. En fin de compte, il a été décrit par les affaires de sécurité comme la fuite de données gouvernementale la plus connue qui ait jamais affecté le gouvernement suédois.

4. Yahoo! (2013 et 2014)

L'annonce de Yahoo! en 2016 selon laquelle des pirates informatiques ont obtenu un accès non autorisé à sa base de données et volé les informations personnelles de plus de 500 millions d'utilisateurs sur sa plate-forme en 2014 a été un choc.

Plus tard cette année-là, l'espace Internet a reçu la bombe lorsque la société a révélé qu'il y avait eu une violation distincte de sa base de données en 2013, affectant plus d'un milliard d'utilisateurs.

Il est devenu flagrant que le mur de sécurité de Yahoo! a été fortement compromis lorsque la société a confirmé plus tard en 2017 que la violation de données de 2013 avait affecté ses trois milliards d'utilisateurs.

Dans les deux cas, les pirates avaient falsifié et utilisé des cookies de navigateur malveillants, qui ont trompé le système de sécurité de Yahoo!, pour obtenir un accès non autorisé au compte de n'importe quel utilisateur à tout moment sans utiliser de mot de passe.

Ainsi, des questions de sécurité, des numéros de téléphone et des e-mails non cryptés ont été divulgués lors de ce raid, qui à ce jour est considéré comme la pire violation de sécurité jamais connue sur Internet.

Par conséquent, plus tard au début de 2017, Verizon, qui avait auparavant proposé d'acheter Yahoo! au taux de 4,8 milliards de dollars, ce qui a ramené la plate-forme à 350 millions de dollars de moins que le prix convenu. Yahoo! a été contraint de vendre à ce nouveau prix, Mayer ayant démissionné de son poste de PDG.

5. Facebook (2019)

Facebook a fait face à de nombreuses critiques pour son insécurité, des critiques appelant ses utilisateurs à supprimer l'application. De plus, la plate-forme a été impliquée dans une pléthore de violations de données.

En 2019, la plate-forme de médias sociaux a subi une faille de sécurité majeure qui a entraîné l'exposition de plus de 500 millions d'informations personnelles d'utilisateurs. Plus tard cette année-là, une autre base de données contenant les informations personnelles de 267 millions d'utilisateurs a fait surface en ligne. Les spéculations étaient que la base de données était disponible gratuitement sur le Dark Web pendant près de deux semaines.

Ces violations se sont produites seulement un an après que Facebook a subi une violation de données distincte qui a touché environ 50 millions d'utilisateurs.

En relation: Raisons légitimes de ne pas supprimer Facebook

Les informations volées dans les deux cas étaient des identifiants Facebook, des noms d'utilisateur et des numéros de téléphone. Selon Facebook, les violations résultaient d'une faille de sécurité qu'il avait corrigée plus tôt cette année-là.

6. Recherche d'amis adultes (2016)

AdultFriendFinder, l'un des plus grands sites de rencontres au monde, peu de temps après une faille de sécurité en 2015, s'en est attaqué à un autre en 2016. Et cette fois, les experts l'ont décrit comme le pire piratage de base de données de l'histoire de 2016.

Au cours de la faille de sécurité de 2015, plus de 3,5 millions d'informations d'utilisateurs ont été volées et publiées sur le Dark Web dans plusieurs fichiers CSV. Mais la faille de sécurité de 2016 a touché plus de 400 millions d'utilisateurs, y compris les anciens utilisateurs. Ils ont tous eu leurs informations, y compris les noms d'utilisateur, les mots de passe et les e-mails volés en un seul balayage.

La vulnérabilité sur AdultFriendFinder était surprenante, car les mots de passe trouvés dans les données divulguées étaient soit en texte brut, soit mal cryptés. Plus tard cette année-là, un pirate informatique a révélé une autre faille d'inclusion de fichiers locaux sur le site Web.

7. Violation massive de données sur Sony PlayStation (2011)

La saga Sony PlayStation Network 2011 est peut-être la pire violation de données de l'histoire de l'industrie du jeu vidéo. Les pirates ont eu accès à sa base de données, obtenant diverses informations appartenant à 77 millions d'utilisateurs.

Bien que Sony n'ait pas divulgué cet événement malheureux immédiatement, il a fermé son réseau instantanément, empêchant les gens d'accéder à la plate-forme de jeu en ligne. Les données obtenues comprenaient, entre autres, les noms, les dates de naissance, les noms d'utilisateur et les mots de passe.

Il n'était pas clair comment les pirates avaient accédé au serveur de l'entreprise, mais les spéculations étaient qu'ils y ont eu accès en hameçonnant l'un des administrateurs système de Sony. À la suite de la fermeture inévitable de son réseau, Sony perdrait plus tard jusqu'à 171 millions de dollars à cause de la violation.

8. Violation de la National Archives and Records Administration (NARA) (2009)

Si vous aimez vous débarrasser de vos disques durs sans les formater au préalable, alors l'événement dramatique qui a entraîné la violation des données des Archives nationales vous fera retracer vos actions.

L'agence, en 2009, a été touchée par une violation de données qui a affecté des millions d'informations sur le personnel militaire américain et le personnel de la Maison Blanche.

Une violation de données n'aurait peut-être pas été douloureuse si elle était soudaine et inévitable. Mais la fuite d'informations des Archives nationales a résulté d'un disque dur défectueux envoyé à leur partenaire de réparation.

Après avoir dépanné et constaté que le disque dur était endommagé, l'entreprise de réparation l'a envoyé au recyclage sans contacter la NARA. Ils pensaient que les informations sur le disque avaient été sauvegardées et formatées plus tôt par NARA avant de l'envoyer pour réparation.

Il s'agissait donc plus d'une perte de données que d'une violation. Et c'est devenu plus déroutant lorsque la NARA a déposé un rapport sur un disque dur manquant contenant des informations de plusieurs vétérans de l'armée. Par erreur, ils n'avaient pas formaté le disque endommagé et ne l'avaient pas sauvegardé sur un nouveau avant de l'envoyer pour réparation. Malheureusement, la responsabilité de sécuriser leurs données n'incombait pas à l'entreprise de réparation.

Bien que l'agence ne sache pas s'il y avait eu une utilisation malveillante des données, les personnes concernées ont dû commencer à surveiller le vol d'identité imminent. En effet, il s'agissait de l'un des pires incidents de sécurité des données de tous les temps, résultant de l'imprudence d'une agence publique américaine.

Il y a toujours une faille

Bien que de nombreux pipelines de développement de logiciels suivent les normes de sécurité fournies pour maintenir la sécurité Internet, de nouvelles vulnérabilités continuent de se développer.

Comme vous l'avez vu, les géants de l'Internet ont subi une violation de données ou une autre, et même les installations appartenant au gouvernement ont eu leur part. Ainsi, aucun produit technologique n'est à l'abri des violations, tant qu'il est accessible via Internet.