Οι δέκα μεγαλύτερες επιθέσεις χάκερ της ιστορίας
- 22/07/2020, 14:15
- SHARE
Πριν από λίγο καιρό, μια παραβίαση που έθεσε σε κίνδυνο τα δεδομένα μερικών εκατομμυρίων ανθρώπων θα ήταν μεγάλη είδηση. Τώρα, οι παραβιάσεις που επηρεάζουν εκατοντάδες εκατομμύρια ή ακόμη και δισεκατομμύρια ανθρώπους είναι πολύ συχνές. Περίπου 3,5 δισεκατομμύρια άνθρωποι είδαν τα προσωπικά τους δεδομένα κλεμμένα μόνο στις δύο από τις 15 μεγαλύτερες παραβιάσεις αυτού του αιώνα μόνο. Το μικρότερο περιστατικό σε αυτήν τη λίστα αφορούσε τα δεδομένα μόνο 134 εκατομμυρίων ανθρώπων.
Η πιο πρόσφατη περίπτωση hacking είναι αυτή που συνέβη στο Twitter όπου χάκερς απέκτησαν πρόσβαση στα εσωτερικά της συστήματα και υπέκλεψαν την «ταυτότητα» ορισμένων από τους πιο ενεργούς χρήστες της περιλαμβανομένων διάφορων διασήμων όπως του ράπερ Κάνιε Γουέστ, του ιδρυτή της Amazon.com Inc Τζεφ Μπέζος, του επενδυτή Ουόρεν Μπάφετ, του συνιδρυτή της Microsoft Μπιλ Γκέιτς, καθώς και των εταιρικών λογαριασμών της Uber Technologies Inc και της Apple Inc.
Οι χάκερς απέκτησαν πρόσβαση στα εσωτερικά συστήματα της Twitter και μέσω αυτών σε λογαριασμους προσωπικοτήτων και τους χρησιμοποίησαν για να ζητήσουν ψηφιακά νομίσματα.
Οι χάκερς που ενορχήστρωσαν μια εντυπωσιακή επίθεση σε λογαριασμούς διασημοτήτων και πολιτικών στο Twitter «χειραγώγησαν με επιτυχία μικρό αριθμό εργαζομένων» της πλατφόρμας, όπως ανακοίνωσε η ίδια η εταιρεία. To Twitter διευκρίνισε ότι συνολικά οι κυβερνοπειρατές στοχοθέτησαν 130 λογαριασμούς και κατάφεραν να «σπάσουν» τους 45 από αυτούς, χρησιμοποιώντας «εργαλεία που είναι διαθέσιμα μόνο στην εσωτερική ομάδα υποστήριξης».
Με αφορμή, λοιπόν, την περίπτωση του Twitter σάς παρουσιάζουμε μερικά από τα πιο γνωστά «χακαρίσματα» της δεκαετίας.
1. Yahoo
Πότε: 2013-14
Πόσοι επηρεάστηκαν: 3 δισ. λογαριασμοί χρηστών
Η Yahoo ανακοίνωσε τον Σεπτέμβριο του 2016 ότι το 2014 ήταν το θύμα της μεγαλύτερης παραβίασης δεδομένων στην ιστορία. Οι επιτιθέμενοι, τους οποίους η εταιρεία πίστευε ότι ήταν«κρατικοί φορείς», απέκτησαν πρόσβαση σε ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ημερομηνίες γέννησης και αριθμούς τηλεφώνου 500 εκατομμυρίων χρηστών. Η Yahoo ισχυρίστηκε ότι οι περισσότεροι από τους κωδικούς πρόσβασης είχαν παραβιαστεί.
Στη συνέχεια, τον Δεκέμβριο του 2016, η Yahoo αποκάλυψε μια άλλη παραβίαση από το 2013 από έναν διαφορετικό εισβολέα που έθεσε σε κίνδυνο τα ονόματα, τις ημερομηνίες γέννησης, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους κωδικούς πρόσβασης, καθώς και ερωτήσεις και απαντήσεις ασφαλείας 1 δισ. λογαριασμών χρηστών. Η Yahoo αναθεώρησε αυτήν την εκτίμηση τον Οκτώβριο του 2017 λέγοντας ότι 3 δισ. λογαριασμοί χρηστών δέχθηκαν επίθεση.
2. Marriott International
Πότε: 2014-18
Πόσοι επηρεάστηκαν: 500 εκατ. λογαριασμοί χρηστών
Η Marriott International ανακοίνωσε τον Νοέμβριο του 2018 ότι εισβολείς είχαν κλέψει δεδομένα περίπου 500 εκατ. πελατών. Η παραβίαση συνέβη αρχικά σε συστήματα που υποστηρίζουν τις μάρκες ξενοδοχείων Starwood από το 2014. Οι επιτιθέμενοι παρέμειναν στο σύστημα μετά την απόκτηση της Starwood το 2016 από το Marriott και δεν ανακαλύφθηκαν μέχρι τον Σεπτέμβριο του 2018.
3. eBay
Πότε: 2014
Πόσοι επηρεάστηκαν: 145 εκατ. λογαριασμοί χρηστών
Το eBay ανέφερε ότι μια επίθεση εξέθεσε 145 εκατ. λογαριασμούς χρηστών τον Μάιο του 2014, συμπεριλαμβανομένων ονομάτων, διευθύνσεων, ημερομηνιών γέννησης και κρυπτογραφημένων κωδικών πρόσβασης. Η εταιρεία είπε ότι οι χάκερ χρησιμοποίησαν τα διαπιστευτήρια τριών εταιρικών υπαλλήλων για πρόσβαση στο δίκτυό του και είχαν πλήρη πρόσβαση για 229 ημέρες.
Η εταιρεία ζήτησε από τους πελάτες να αλλάξουν τους κωδικούς πρόσβασης. Οικονομικές πληροφορίες, όπως οι αριθμοί πιστωτικών καρτών, αποθηκεύτηκαν χωριστά και δεν είχαν παραβιαστεί. Η εταιρεία επικρίθηκε τότε για την έλλειψη επικοινωνίας με τους χρήστες της και την κακή εφαρμογή της διαδικασίας ανανέωσης κωδικού πρόσβασης.
4. LinkedIn
Πότε: 2012 (και 2016)
Πόσοι επηρεάστηκαν: 165 εκατ. λογαριασμοί χρηστών
Ως το μεγάλο κοινωνικό δίκτυο για επαγγελματίες, το LinkedIn έχει γίνει ένας ελκυστικός στόχος για τους χάκερς. Ωστόσο, έχει επίσης πέσει θύμα διαρροής δεδομένων χρηστών στο παρελθόν.
Το 2012 η εταιρεία ανακοίνωσε ότι 6,5 εκατ. μη συσχετισμένοι κωδικοί πρόσβασης είχαν κλαπεί από χάκερς και δημοσιεύτηκαν σε ένα ρωσικό φόρουμ. Ωστόσο, μόλις το 2016 αποκαλύφθηκε όλη η έκταση του συμβάντος. Ο ίδιος χάκερ που πουλούσε τα δεδομένα του MySpace βρέθηκε να προσφέρει διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους κωδικούς πρόσβασης περίπου 165 εκατ. χρηστών του LinkedIn για μόλις 5 bitcoin (περίπου 2.000 δολάρια εκείνη τη στιγμή). Το LinkedIn αναγνώρισε ότι είχε ενημερωθεί για την παραβίαση και είπε ότι είχε επαναφέρει τους κωδικούς πρόσβασης των λογαριασμών που επηρεάστηκαν.
5. Adobe
Πότε: 2013
Πόσοι επηρεάστηκαν: 153 εκατ. λογαριασμοί χρηστών
Όπως αναφέρθηκε στις αρχές Οκτωβρίου του 2013 από τον blogger ασφαλείας Brian Krebs, η Adobe ανέφερε αρχικά ότι οι χάκερ είχαν κλέψει σχεδόν 3 εκατ. κρυπτογραφημένα αρχεία πιστωτικών καρτών πελατών, καθώς και δεδομένα σύνδεσης για έναν απροσδιόριστο αριθμό λογαριασμών χρηστών.
Αργότερα τον ίδιο μήνα, η Adobe ανακοίνωσε πως 38 εκατ. «ενεργοί χρήστες» έχουν επηρεαστεί. Ο Krebs ανέφερε ότι περισσότερα από 150 εκατ. ονόματα χρηστών και κωδικοί πρόσβασης χακαρίστηκαν.
6. Twitter
Πότε: 2020
Πόσοι επηρεάστηκαν: 130 λογαριασμοί χρηστών
Δεν έχουν περάσει πολλές ημέρες από τότε που το Twitter ανακοίνωσε ότι χάκερς απέκτησαν πρόσβαση στα εσωτερικά του συστήματα και υπέκλεψαν την «ταυτότητα» ορισμένων από τους πιο ενεργούς χρήστες του περιλαμβανομένων του Δημοκρατικού υποψηφίου για τις προεδρικές εκλογές Τζο Μπάιντεν, του πρώην προέδρου των ΗΠΑ Μπαράκ Ομπάμα, του δισεκατομμυριούχου Ίλον Μασκ, του ράπερ Κάνιε Γουέστ και της συζύγου του τηλεπερσόνας Κιμ Καρντάσιαν, του μεγιστάνα επενδυτή Γουόρεν Μπάφετ, του ιδρυτή της Amazon Τζεφ Μπέζος, του μεγιστάνα των μίντια Μάικ Μπλούμπεργκ, αλλά και των εταιρειών Uber και Apple.
Σύμφωνα με την πλατφόρμα, οι χάκερς απέκτησαν πρόσβαση στους λογαριασμούς αυτούς εμφανιζόμενοι με τα διαπιστευτήρια διαχειριστών της πλατφόρμας και στη συνέχεια τους χρησιμοποίησαν για να ζητήσουν ποσά σε ψηφιακό νόμισμα και συγεκριμένα στο bitcoin, τα οποία ισχυρίζονταν ότι θα τα επιστρέψουν στο διπλάσιο.
7. Equifax
Πότε: 2017
Πόσοι επηρεάστηκαν: 147 εκατ. λογαριασμοί χρηστών
Η παραβίαση δεδομένων Equifax ήταν μία από τις μεγαλύτερες στην ιστορία. Η εταιρεία ανακοίνωσε την παραβίαση δεδομένων τον Σεπτέμβριο του 2017, αναφέροντας τελικά ότι επηρεάστηκαν 147 εκατ. καταναλωτές, περίπου το 56% των Αμερικανών. Οι χάκερς μπόρεσαν να αποκτήσουν πρόσβαση στα ονόματα των ανθρώπων, τους αριθμούς κοινωνικής ασφάλισης, τις ημερομηνίες γέννησης, τους αριθμούς πιστωτικών καρτών και ακόμη και τους αριθμούς αδειών οδήγησης.
Κατά τη διάρκεια της έρευνας για την παραβίαση, η Equifax αναγνώρισε ότι η εταιρεία ενημερώθηκε τον Μάρτιο ότι οι χάκερς θα μπορούσαν να εκμεταλλευτούν μια αδυναμία στο σύστημά της, αλλά απέτυχαν να εγκαταστήσουν τα απαραίτητα patches.
Τον Ιούλιο, η Equifax συμφώνησε να πληρώσει 700 εκατ. δολάρια για να διευθετήσει τις ομοσπονδιακές και κρατικές έρευνες για τον χειρισμό της μαζικής παραβίασης των δεδομένων. Ένας εκπρόσωπος από την Equifax είπε κατά τη στιγμή της διευθέτησης ότι τα στοιχεία από την παραβίαση του 2017 δεν είχαν ακόμη ανακαλυφθεί προς πώληση στο dark web.
8. Under Amour
Πότε: 2018
Πόσοι επηρεάστηκαν: 143,6 εκατ. λογαριασμοί χρηστών
Η εταιρεία ενδυμάτων Fitness UnderAmour ανακοίνωσε τον Μάρτιο του 2018 ότι οι χάκερς είχαν πρόσβαση στη βάση δεδομένων backend για τη δημοφιλή εφαρμογή fitness MyFitnessPal. Οι χάκερς ήταν σε θέση να ανακτήσουν ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους hashed κωδικούς πρόσβασης. Οι hashed κωδικοί πρόσβασης είναι κρυπτογραφημένοι, επομένως πρέπει να τους σπάσουν πριν μπορέσουν να χρησιμοποιηθούν.
9. MySpace
Πότε: 2013
Πόσοι επηρεάστηκαν: 360 εκατ. λογαριασμοί χρηστών
Παρόλο που το MySpace έχει χάσει την αίγλη του, έγινε πρωτοσέλιδο το 2016 μετά από διαρροή 360 εκατ. λογαριασμών χρηστών και στο LeakedSource (μια βάση δεδομένων κλεμμένων λογαριασμών με δυνατότητα αναζήτησης) και στο dark web όπου διατέθηκαν προς πώληση.
Σύμφωνα με την εταιρεία, τα χαμένα δεδομένα περιελάμβαναν διευθύνσεις email, κωδικούς πρόσβασης και ονόματα χρήστη για «ένα τμήμα λογαριασμών που δημιουργήθηκαν πριν από τις 11 Ιουνίου 2013, στην παλιά πλατφόρμα Myspace».
10. Zynga
Πότε: 2019
Πόσοι επηρεάστηκαν: 218 εκατ. λογαριασμοί χρηστών
Ο κατασκευαστής κινητών παιχνιδιών Zynga ανακοίνωσε τον Οκτώβριο ότι ένας χάκερ είχε πρόσβαση στις πληροφορίες σύνδεσης στις 12 Σεπτεμβρίου του 2019 πελατών που παίζουν τα δημοφιλή παιχνίδια «Draw Something» και «Words with Friends».
Εκτός από τα διαπιστευτήρια σύνδεσης, ο χάκερ είχε πρόσβαση σε ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αναγνωριστικά σύνδεσης, ορισμένα Facebook IDs, μερικούς αριθμούς τηλεφώνου και αναγνωριστικά λογαριασμού Zynga περίπου 218 εκατ. πελατών, οι οποίοι εγκατέστησαν εκδόσεις iOS και Android πριν από τις 2 Σεπτεμβρίου 2019.