Articolo aggiornato

I data breach che colpiscono centinaia di milioni, o addirittura miliardi di utenti, purtroppo sono comuni. Basti pensare che sono bastate due violazioni di dati per mettere nelle mani dei cyber criminali i dati di circa 3,5 miliardi di persone. Un data breach di piccole dimensioni, al giorno d'oggi, si limita a coinvolgere i dati di "soli" 4 milioni di utenti.

Parliamo spesso di violazioni dei dati, ma le singole notizie, disseminate nel tempo, non consentono di avere un panorama completo della situazione. Soprattutto non permettono di comprendere la gravità della situazione nel suo complesso. Ricordiamo in questa pagina le più gravi violazioni di dati del 21mo secolo. Le potete leggere di seguito, in ordine crescente in base al numero di utenti coinvolti.

Un dato importante ai fini della selezione è stato il motivo scatenante del data breach. Un conto è se un'azienda ha "dimenticato" di proteggere i dati, che sono rimasti esposti. È un fatto grave, che comporta oggi sanzioni salate da parte delle autorità che vigilano sull'applicazione del GDPR. Però è differente dal furto intenzionale di dati a scopo criminale. I data breach inclusi nella lista di seguito riguardano solo la seconda categoria.

Data breach: come e perché investire in cybersecurity. Una ricerca commissionata da IBM Security calcola con precisione i costi degli investimenti in cybersicurezza e i benefici che apportano in caso di data breach.

Indice delle pagine:

• Canva, Heartland, Ebay, Equifax
• My Fitness Pal, Adobe, Dubsmash, LinkedIn
• Zynga, NetEase, My Space, Adult Friend Finder
• Marriott, Weibo, Yahoo

Canva, Heartland, eBay, Equifax

Canva

Nel maggio 2019 il sito web dello strumento grafico Canva subì un attacco che rivelò indirizzi e-mail, nomi utente, città di residenza, e password criptate di 137 milioni di utenti. In un primo momento sembrò che i cyber criminali fossero riusciti a visualizzare, ma non a rubare, file con i dati delle carte di credito e dei pagamenti. Fu sospettato il cyber criminale noto come Gnosticplayer, che rivendicò l'azione e fece sapere di avere ottenuto il token di accesso OAuth per gli utenti che avevano effettuato l'accesso tramite Google.

Canva esortò gli utenti a cambiare password e ripristinare i token OAuth. Tutto sembrava andato per il meglio, ma l'azienda si accorse in secondo momento che fu decifrato e condiviso online un elenco con circa 4 milioni di account, con le password in chiaro.

Heartland Payment Systems

Heartland Payment Systems era un'azienda statunitense che si occupa di elaborazione dei pagamenti. A marzo 2008 fu vittima di un attacco che espose i dati di 134 milioni di carte di credito. L'azienda elaborava 100 milioni di transazioni di carte di pagamento al mese per 175.000 commercianti, principalmente rivenditori di piccole e medie dimensioni. A gennaio 2009 Visa e MasterCard notificarono a Heartland transazioni sospette. Fu così che si scoprì uno dei più gravi data breach del nostro secolo. Indagini successive permisero di scoprire che i cyber criminali sfruttarono una vulnerabilità nota per eseguire un attacco di SQL Injection. Tale vulnerabilità era nota, gli analisti per la sicurezza avevano allertato le aziende da diverso tempo.

Le conseguenze per Heartland furono gravissime. La Payment Card Industry (PCI) non reputò Heartland conforme al proprio standard di sicurezza dei dati e non gli permise di elaborare i pagamenti dei principali fornitori di carte di credito fino a maggio 2009. L'azienda inoltre fu condannata a pagare una cifra nell'intorno dei 145 milioni di dollari a titolo di risarcimento. Nel 2016 fu acquisita da Global Payments per 3,5 miliardi di dollari.

L'unica nota positiva fu che questo fu uno dei rari casi in cui le autorità riuscirono ad assicurare i responsabili alla giustizia. Albert Gonzalez fu condannato nel marzo 2010 a 20 anni di prigione.

eBay

A maggio 2014 eBay riferì di avere subito un attacco che espose l'intero elenco di 145 milioni di utenti. Includeva nomi, indirizzi, date di nascita e password crittografate. Stando alle informazioni ufficiali, i criminali informatici utilizzarono le credenziali di tre dipendenti per accedere alla rete aziendale. L'accesso non fu una toccata e fuga: si protrasse per 229 giorni, un tempo più che sufficiente per compromettere l'intero database degli utenti.

eBay chiese a tutti i clienti di cambiare le loro password. Fortunatamente le informazioni finanziarie, come i numeri di carta di credito, erano memorizzate separatamente e non furono compromesse.

Equifax

Il caso di Equifax è ancora vivo nella memoria di tutti. Correva il 7 settembre 2017 quando Equifax, uno dei maggiori uffici di credito negli Stati Uniti, dovette annunciare che il 29 luglio dello stesso anno si verificò una violazione dei dati che espose informazioni sensibili di circa 147,9 milioni di consumatori.

La colpa fu addebitata a una vulnerabilità, non patchata, dell'applicazione in uno dei siti Web. Peggio ancora, la scoperta risaliva al 29 luglio, ma probabilmente il data leak era iniziato a metà maggio. Furono compromesse informazioni personali, compresi i numeri di previdenza sociale, le date di nascita, gli indirizzi e in alcuni casi i numeri di patente di guida, di 143 milioni di consumatori. Furono esposti anche i dati delle carte di credito di 209.000 consumatori. Numero che è poi lievitato a 147,9 milioni nell'ottobre 2017.

Equifax fu aspramente criticata sia per la mancata applicazione della patch, sia per la segmentazione inadeguata del sistema che facilità l'opera degli aggressori.

My Fitness Pal, Adobe, Dubsmash, LinkedIn

My Fitness Pal

150 milioni di account utente sottratti all'app di fitness di UnderArmor, MyFitnessPal, nel 2018 furono messi in vendita nel Dark Web in un pacchetto onnicomprensivo insieme a quelli di Dubsmash e altri siti (16 in tutto). Il "pacchetto" proposto su Dream Market comprendeva 617 milioni di account clienti.

Quelli di MyFitnessPal includevano, nel dettaglio, nomi utente, indirizzi email, indirizzi IP e password. MyFitnessPal ha richiesto ai clienti di modificare le proprie password, ma non ha comunicato la modalità dell'attacco.

Adobe

A ottobre 2013 un attacco permise ai cyber criminali di introdursi nel sistema di Adobe e di rubare i dati relativi a 153 milioni di utenti. Inizialmente Adobe diffuse notizia di un furto di "solo" 3 milioni di record con i dati crittografati delle carte di credito dei clienti. Il numero di per sé sembrò esagerato, ma indagini successive portarono alla luce anche il furto di ID e password crittografate di 38 milioni di "utenti attivi".

Un esperto di sicurezza trovò invece online un file pubblicato poco dopo l'attacco, che conteneva più di 150 milioni di username e password trafugate da Adobe. Settimane di ricerca rilevarono in definitiva che i cyber criminali responsabili del data breach avevano pubblicato nomi di clienti, ID Adobe, password e informazioni sulle carte di credito.

Oltre al danno d'immagine, Adobe patteggiò nell'agosto 2015 una multa pari a 1,1 milioni di dollari e un importo analogo (secondo indiscrezioni) agli utenti coinvolti, per avere violato il Customer Records Act. Ossia per non avere vigilato adeguatamente sui dati sensibili che aveva in custodia e per non avere adottato strumenti abbastanza efficaci per proteggerli.

I costi aziendali dei data breach sono in crescita, come investire in sicurezza. Da un sondaggio di Kaspersky sui costi delle violazioni di dati alle aziende emerge che le spese sono in crescita. Danni contenuti per chi investe in figure professionali specializzate.

Dubsmash

Un altro capitolo oscuro della cyber sicurezza fu quello che si verificò a dicembre 2018 ai danni del servizio di messaggistica video di New York Dubsmash. Furono rubati 162 milioni di account utente contenenti indirizzi email, nomi utente, password, date di nascita e altri dati personali. I dati furono decifrati e messi in vendita sul Dark Web il dicembre successivo.

La vendita avvenne per pacchetti di dati onnicomprensivi che includeva anche quelli oggetto dei furti ai danni di MyFitnessPal, MyHeritage (92 milioni), ShareThis, Armor Games e l'app di appuntamenti CoffeeMeetsBagel.Dubsmash non ha mai capito come gli aggressori abbiano violato la rete e non ha mai confermato il numero esatto degli utenti coinvolti.

LinkedIn

Nel 2012 LinkedIn annunciò un data breach che non sembrava particolarmente grave. La violazione sembrava interessare 6,5 milioni di password non associate, che furono pubblicate su un forum di hacker russo. La questione sembrava chiusa, quando nel 2016 arrivò una doccia fredda: i cyber criminali che avevano messo in vendita i pacchetti di dati frutto del data breach di MySpace offrivano anche indirizzi email e le password di circa 165 milioni di utenti LinkedIn. Il prezzo era stracciato, 5 bitcoin. A LinkedIn non rimase altro da fare se non ripristinare le password di tutti gli account interessati.

Zynga, NetEase, MySpace, Adult  Friend Finder

Zynga

A settembre 2019 il cyber criminale pakistano noto come Gnosticplayers ha affermato di aver violato il database di Zynga, che includeva i dati dei giocatori di Draw Something e di Words with Friends. Ha ottenuto l'accesso a 218 milioni di account e prelevato indirizzi email, password, numeri di telefono e ID utente. Zynga rassicura sul fatto che non sono stati esposti dati finanziari o di pagamento.

NetEase

NetEase è un fornitore di servizi di posta elettronica. A ottobre 2015 fu soggetto a un data leak che compromise 235 milioni di account utente. L'azienda ha sempre negato ogni addebito, quindi l'hacking è da ritenersi non verificato. Almeno ufficialmente. Quello che è noto è che indirizzi email e password in chiaro dei clienti NetEase furono messi in vendita sul sito del dark web DoubleFlag. Lo stesso "venditore" commerciava anche informazioni rubate ai colossi cinesi QQ.com (Tencent), Sina Corporation e Sohu Inc.

My Space

Nel 2016 My Space non era più il social media gettonato dei tempi d'oro. Ma tornò all'onore delle cronache quando trapelarono online 360 ​​milioni di account dei suoi utenti. Erano in vendita su The Real Deal (un sito del dark web) al prezzo di 6 bitcoin.

Stando a quanto ricostruito, il furto di dati interessò una parte degli account creati prima dell'11 giugno 2013, sulla vecchia piattaforma Myspace. La refurtiva comprendeva indirizzi e-mail, password e nomi utente.

Adult Friend Finder

Nell'ottobre 2016 fu violata la rete Friend Finder, che offriva l'accesso a siti Web con contenuti per adulti come Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.com. L'intrusione fu possibile a causa di una vulnerabilità LFI (Local File Inclusion) in un modulo dei server usati da Adult Friend Finder. Inoltre, la maggior parte dei dati era crittografata con un algoritmo debole. Per questo si stima che fu esposto il 99% dei dati di 412,2 milioni di account violati.

Marriott, Weibo e Yahoo

Marriott International

Quella ai danni della catena di hotel Marriott fu una violazione dei dati prolungata nel tempo. E soprattutto ereditata. Quella presa di mira infatti fu la rete degli hotel Starwood a partire dal 2014. Marriott acquisì Starwood nel 2016, e con la catena alberghiera si "portò in casa" anche i cyber criminali.  La violazione dei dati fu scoperta solo nel 2018. Nel frattempo, i criminali informatici avevano rubato dati di circa 500 milioni di clienti.

Fra le informazioni dei clienti rubate ci furono numeri di passaporto, numeri Starwood Preferred Guest, informazioni di viaggio e altre. Si ritiene che furono sottratti anche i numeri delle carte di credito e le date di scadenza di oltre 100 milioni di clienti. Marriott non fu in grado di stabilire con certezza se le informazioni siano state decifrate. Il colpevole non è mai stato preso. Fu incolpato un gruppo di intelligence cinese che cerca di raccogliere dati sui cittadini statunitensi, ma è solo un'ipotesi.

Aggiornamento: a febbraio 2020 è stato scoperto un altro data breach, che ha interessato 5,3 milioni di clienti Marriott. I criminali informatici sarebbero entrati in possesso dei dati personali dei clienti, fra cui dati anagrafici, programmi fedeltà, preferenze di compagnie aeree, soggiorno e lingua. Per maggiori informazioni leggete questa notizia.

Weibo

A fine marzo 2020 i dettagli personali di oltre 538 milioni di utenti del social network cinese Weibo sono finiti in vendita sul Dark Web. Un cyber criminale ha rivendicato la violazione di dati ai danni di Weibo, che sarebbe avvenuta a metà del 2019. In quell'occasione avrebbe avuto accesso al database degli utenti dell'azienda, che includeva i dati di 538 milioni di persone. Fra questi nomi reali, nomi utente, sesso, posizione e - per 172 milioni di utenti - numeri di telefono. Il criminale informatico, soprannominato "@weibo" dai media cinesi, ha anche fornito campioni dei dati, che gli utenti di Weibo hanno confermato essere autentici. La buona notizia è che non sono incluse le password, per questo il prezzo di vendita della refurtiva è di soli ​250 dollari.

Weibo ha dichiarato ai media cinesi che i numeri di telefono dei suoi utenti sarebbero stati rubati alla fine del 2018. A quel tempo fu rilevato che molti account utente caricavano grandi quantità di contatti nel tentativo di abbinarli ai rispettivi numeri di telefono. Sull'accaduto regna ancora confusione, fra le informazioni contrastanti fornite dall'azienda e le indagini delle forze dell'ordine che sono solo all'inizio. Per quest'ultima attività ci sono buone speranze: grazie al controllo quasi totalitario su Internet, finora la polizia cinese è stata in grado di rintracciare la maggior parte degli hacker locali con relativa facilità.

Yahoo

Era il 2016 quando Yahoo dovette fare due annunci che non avrebbe mai voluto fare. Si accorse che nel 2014 fu vittima di una violazione di dati che espose nomi reali degli utenti, indirizzi email, date di nascita e numeri di telefono di 500 milioni di utenti.

E che nel 2013 fu bersagliata da un altro attacco, che compromise nomi, date di nascita, indirizzi email, password e domande/risposte di sicurezza di 1 miliardo di account utente. La stima, già esagerata, fu riveduta nell'ottobre 2017: il numero corretto era 3 miliardi di account utente. Diventò così la più grande violazione di dati di tutti i tempi.