Les plus grandes violations de données de l'histoire (mises à jour quotidiennement)
Depuis que les premières violations majeures de données en ligne ont été signalées en 2005 (dont la plus importante concernait 92 millions via AOL), ce sont pas moins de 52,5 milliards d’enregistrements qui ont été touchés par des violations affectant au moins 10 millions d’enregistrements – et ce n’est pas fini.
Au fil des années, les pirates ont non seulement envahi les systèmes pour voler des données et les publier sur le dark web, mais les entreprises ont également exposé par inadvertance les données de leurs clients en ligne, parfois pendant des années.
Alors, comment les violations de données se sont-elles développées au fil des années ? Combien de dossiers ont été concernés ? Et quels secteurs ont été les plus touchés ?
Consultez nos tableaux de bord et tableaux interactifs ci-dessous pour découvrir où se sont produites les plus grandes violations de données au monde.
Définitions des types de violations :Disque (divulgation involontaire, par exemple laisser une base de données non sécurisée), Hack (attaque par une source externe ou avec un logiciel malveillant), Insd (vol par un employé, un contrat ou un tiers), Port (perte ou vol d'un appareil portable, par ex. ordinateur portable), Rans (perte de données via une attaque de ransomware) et Unknwn (source inconnue de perte de données).
Les 10 plus grandes violations de données de tous les temps
- CAM4 — 10,88 milliards d'enregistrements concernés :Lors de la plus grande violation de données jamais enregistrée, CAM4, un site Web pour adultes, a laissé une base de données ElasticSearch non sécurisée avant qu'elle ne soit découverte par des chercheurs en sécurité en mars 2020. Les données étaient composées de 7 To de données, soit un total de 10,88 milliards d'enregistrements. Les noms, adresses e-mail, journaux de paiement, adresses IP, préférences sexuelles et transcriptions de discussions faisaient tous partie de l'ensemble de données. Les experts estiment qu'environ 6,6 millions d'utilisateurs américains, 5,4 millions d'utilisateurs brésiliens, 4,9 millions d'utilisateurs italiens et 4,2 millions d'utilisateurs français faisaient partie de la violation. CAM4 a déclaré que rien n'indiquait que des acteurs malveillants avaient accédé à la base de données avant sa suppression.
- Cognyte — 5 milliards d'enregistrements concernés :En mai 2021, Bob Diachenko, qui dirige l'équipe de recherche sur la sécurité de Comparitech, découvert une base de données exposée qui était accessible à tous les utilisateurs sans aucune forme d'authentification. Ironiquement, la base de données était stockée par la société d’analyse de cybersécurité Cognyte. Il faisait partie de son service de cyber-renseignement, qui alertait les utilisateurs si leurs données faisaient partie d'une exposition de données à des tiers. Parmi les 5 milliards d’enregistrements figuraient des noms, des mots de passe, des adresses e-mail et la source originale de la fuite.
- Yahoo — 3 milliards d'enregistrements concernés :En août 2013, des pirates ont attaqué Yahoo et compromis les comptes d'utilisateurs. Dans sa première reconnaissance de la violation, datant seulement de décembre 2016, Yahoo a déclaré qu'un milliard de comptes d'utilisateurs avaient été affectés. Mais en 2017, l’entreprise a mis à jour ses données en indiquant qu’elle estimait que les 3 milliards de comptes de ses utilisateurs avaient été touchés. Ces chiffres actualisés en font la plus grande violation de l’histoire des États-Unis.
- Dropbox, LinkedIn et. Al. — 2,2 milliards d'enregistrements concernés :Plus de 2,2 milliards d’enregistrements ont été volés sur un certain nombre de grands sites Web, notamment Dropbox et LinkedIn. Les pirates ont jeté les enregistrements volés sur le dark web en 2019 pour tenter de les vendre. Surnommée « Collection n°1 », il semble que les données aient été collectées sur plusieurs années et comprenaient des noms d'utilisateur et des mots de passe.
- Verifications.io — 2,07 milliards d'enregistrements concernés :Une autre base de données non sécurisée a été découverte par Bob Diachenko en février 2019. Elle contenait 808,5 millions d'enregistrements qui, outre des adresses e-mail, contenaient également des informations personnellement identifiables. Après une analyse plus approfondie, les chercheurs ont suggéré que jusqu'à 2,07 milliards d'enregistrements avaient été exposés au total. La base de données remonte à vérifications.io, une société de marketing par courrier électronique.
- Comcast — 1,5 milliard d'enregistrements concernés :Au total, 1 507 301 521 enregistrements, y compris les adresses e-mail Comcast, les adresses IP des clients et les mots de passe hachés, ont été trouvés dans une base de données non protégée par mot de passe. Elle a été découverte par des chercheurs en sécurité en décembre 2020. Ce n’était pas non plus la première violation de données Comcast. Un incident de données en 2018 a vu les numéros de sécurité sociale et les adresses personnelles de 26,5 millions d’utilisateurs de Comcast Xfinity être exposés. Et, en 2014, un employé a donné par erreur à deux personnes non autorisées l'accès à un outil qui a conduit au vol de 24,5 millions de dossiers contenant des informations personnelles identifiables (PII).
- River City Media — 1,34 milliard de documents concernés :Une sauvegarde mal configurée a conduit à l'exposition de 1,34 milliard d'adresses e-mail en 2017. Certains enregistrements contenaient également des adresses IP, des adresses physiques et des noms, tandis que les informations commerciales sensibles de River City Media, par ex. les comptes et les journaux Hipchat étaient également accessibles à tous. Il y avait cependant du bon à tirer de cette fuite, car elle a révélé les techniques illicites de piratage IP de River City Media qui leur avaient permis de créer des campagnes de spam.
- People Data Labs (PDL) et OxyData.Io (OXY) – 1,2 milliard d’enregistrements concernés :Une autre découverte de Bob Diachenko a révélé une énorme collection de profils disponibles sur un serveur Elasticsearch non sécurisé. Les données ont été retracées jusqu'à PLD et OXY, mais les deux sociétés ont nié que la base de données leur appartenait, ce qui a accru les problèmes de confidentialité des données. Il est suggéré que la base de données a été divulguée par un tiers qui avait acheté les listes (qui contenaient des noms, des numéros de téléphone, des adresses e-mail, des profils sociaux, etc.) auprès des entreprises.
- Aadhaar — 1,1 milliard d'enregistrements concernés :En 2018, la base de données d’identité du gouvernement indien, Aadhaar, a été touchée par un certain nombre de violations qui ont laissé les 1,1 milliard de citoyens enregistrés dans la base de données vulnérables à l’exploitation. Des rapports indiquent qu'en janvier 2018, des criminels accordaient l'accès à la base de données pendant 10 minutes pour un coût de 500 roupies (environ 8 dollars à l'époque).
- Taobao (Alibaba) — 1,1 milliard d'enregistrements concernés :À la violation d’Aaadhaar s’ajoute le piratage du site commercial d’Alibaba, Taobao. Pendant huit mois (à partir de novembre 2019), un logiciel d'exploration du Web a été utilisé par un développeur pour collecter des informations sur les clients, notamment des numéros de téléphone portable et des identifiants d'utilisateur.
Méthodologie
Pour dresser cette liste des plus grandes violations de données, nous avons effectué des recherches dans l’actualité du secteur et les annonces d’entreprises du monde entier. Nous avons enregistré toutes les violations affectant plus de 10 millions d’enregistrements depuis 2005 jusqu’à aujourd’hui.
Certains des utilisateurs touchés par ces violations de données peuvent se trouver dans d’autres pays, mais nous avons utilisé le siège social des sociétés comme emplacement pour les cartes et les données. Ces emplacements sont cependant uniquement à des fins d’illustration et peuvent ne pas correspondre à l’emplacement précis.
De même, le nombre d’« enregistrements » n’indique pas nécessairement le nombre de personnes touchées par la violation. Les enregistrements comprennent souvent une multitude de choses, par ex. adresses e-mail, documents, coordonnées bancaires, numéros de sécurité sociale, etc. Par conséquent, un utilisateur peut inclure un certain nombre d’enregistrements, ou l’enregistrement peut être un document professionnel qui ne divulgue pas de données utilisateur mais des données privées pour l’entreprise.
Pour créer une carte géolocalisée, nous avons utilisé le siège social de l'entreprise. Ces emplacements sont à titre indicatif uniquement. Les attaques contre « Dropbox, et. Al.' et « Evite, et. Al.' n’ont pas été inclus dans la carte en raison de plusieurs emplacements impliqués.
La date de la violation est souvent la date à laquelle elle a été signalée/découverte.
Chercheur de données :Georges Maugrey
Pour une liste complète des sources, veuillez demandez l’accès ici.