Redaktor:Matúš Fogoš/pieskovisko
Porušenie ochrany údajov (Data Breach)
[upraviť | upraviť zdroj]Porušenie bezpečnosti údajov je porušenie bezpečnosti, pri ktorom sú citlivé, chránené alebo dôverné údaje kopírované, prenášané, prezerané, odcudzené alebo používané neoprávnenou osobou. Ďalšie pojmy sú neúmyselné zverejnenie informácií, únik údajov alebo únik informácií. Incidenty siahajú od koordinovaných útokov jednotlivcov, ktorí sa nabúravajú s cieľom osobného prospechu alebo zlého úmyslu (tzv. black hats), organizovaného zločinu, politických aktivistov alebo národných vlád, až po zle nakonfigurované zabezpečenie systému alebo neopatrnú likvidáciu použitého počítačového vybavenia alebo nosičov údajov. Únik informácií môže siahať od záležitostí ohrozujúcich národnú bezpečnosť až po informácie o činnostiach, ktoré vláda alebo úradník považuje za nepríjemné a chce ich utajiť. Ako "únik" sa častejšie označuje úmyselné narušenie údajov osobou, ktorá je do nich zasvätená, zvyčajne na politické účely.
Úniky údajov sa môžu týkať finančných informácií, ako sú údaje o kreditných a debetných kartách, bankové údaje, osobné zdravotné údaje] (PHI), osobné identifikačné údaje (PII), obchodné tajomstvá spoločností alebo duševné vlastníctvo. Úniky údajov môžu zahŕňať nadmerne vystavené a zraniteľné neštruktúrované údaje - súbory, dokumenty a citlivé informácie.
Úniky údajov môžu byť pre organizácie pomerne nákladné, a to v súvislosti s priamymi nákladmi (náprava, vyšetrovanie atď.) a nepriamymi nákladmi poškodenie dobrého mena, zabezpečenie kybernetickej bezpečnosti pre obete ohrozených údajov atď.).
Podľa neziskovej spotrebiteľskej organizácie Privacy Rights Clearinghouse bolo v Spojených štátoch v období od januára 2005 do mája 2008 narušených celkovo 227 052 199 individuálnych záznamov obsahujúcich citlivé osobné údaje, pričom do tohto počtu nie sú zahrnuté incidenty, pri ktorých citlivé údaje zjavne neboli v skutočnosti odhalené.
Mnohé jurisdikcie prijali zákony o oznamovaní porušenia ochrany údajov, ktoré vyžadujú, aby spoločnosť, ktorá bola vystavená porušeniu ochrany údajov, informovala zákazníkov a podnikla ďalšie kroky na nápravu prípadných škôd.
V rámci jedného z najväčších únikov údajov spoločnosti Twitter boli údaje 400 miliónov používateľov Twitteru ponúknuté na predaj na dark webe. K tomuto odhaleniu došlo deň po tom, ako írska Komisia pre ochranu údajov (DPC) oznámila vyšetrovanie predchádzajúceho úniku údajov zo služby Twitter, ktorý sa týkal viac ako 5,4 milióna používateľov. Predchádzajúce porušenie bolo zistené koncom novembra.
Podľa Alona Gala, spoluzakladateľa a technického riaditeľa izraelskej spoločnosti Hudson Rock, ktorá sa zaoberá spravodajstvom o kybernetickej kriminalite, boli údaje pravdepodobne získané zo zraniteľnosti API, ktorá umožňuje aktérovi hrozby vyžiadať si akýkoľvek e-mail alebo telefón a získať profil Twitteru.
Definícia
[upraviť | upraviť zdroj]Porušenie ochrany údajov môže zahŕňať incidenty, ako je krádež alebo strata digitálnych médií, napríklad počítačových pások, pevných diskov alebo prenosných počítačov s nezašifrovanými informáciami, zverejnenie takýchto informácií na celosvetovej sieti bez náležitých opatrení na zabezpečenie informácií, prenos takýchto informácií do systému, ktorý nie je úplne otvorený, ale nie je vhodne alebo formálne akreditovaný z hľadiska bezpečnosti, napríklad nešifrovaný e-mail, alebo prenos takýchto informácií do informačných systémov prípadne nepriateľskej agentúry, napríklad konkurenčnej korporácie alebo cudzieho štátu, kde môžu byť vystavené intenzívnejším dešifrovacím technikám.
Norma ISO/IEC 27040 definuje porušenie bezpečnosti údajov ako: narušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému zverejneniu alebo prístupu k prenášaným, uchovávaným alebo inak spracovávaným chráneným údajom.
Dôvera a súkromie
[upraviť | upraviť zdroj]Pojem dôveryhodného prostredia je trochu premenlivý. Odchod dôveryhodného zamestnanca s prístupom k citlivým informáciám sa môže stať porušením ochrany údajov, ak si zamestnanec po ukončení vzťahu dôvery zachová prístup k údajom. V distribuovaných systémoch k tomu môže dôjsť aj pri rozpade siete dôvery. Kvalita údajov je jedným zo spôsobov, ako znížiť riziko porušenia ochrany údajov, čiastočne aj preto, že umožňuje vlastníkovi údajov ohodnotiť údaje podľa dôležitosti a poskytnúť lepšiu ochranu dôležitejším údajom.
Väčšina takýchto incidentov zverejnených v médiách sa týka súkromných informácií o jednotlivcoch, napr. čísla sociálneho poistenia. Strata firemných informácií, ako sú obchodné tajomstvá, citlivé firemné informácie a podrobnosti o zmluvách, alebo vládnych informácií sa často neoznamuje, pretože na to nie je žiadny presvedčivý dôvod, ak neexistuje potenciálna škoda pre súkromné osoby, a publicita okolo takejto udalosti môže byť škodlivejšia ako samotná strata údajov.
Vnútorné a vonkajšie hrozby
[upraviť | upraviť zdroj]Osoby pracujúce vo vnútri organizácie sú významnou príčinou narušení bezpečnosti údajov. Odhaduje sa, že počet narušení spôsobených náhodnými chybami "ľudského faktora" sa podľa správy Verizon 2021 Data Breach Investigations Report pohybuje okolo 20 %. Do kategórie vonkajších hrozieb patria hackeri, kybernetické zločinecké organizácie a štátom sponzorovaní aktéri. Profesijné združenia pre správcov IT aktív intenzívne spolupracujú s IT profesionálmi, aby ich vzdelávali v oblasti osvedčených postupov znižovania rizík v prípade interných aj externých hrozieb pre IT aktíva, softvér a informácie. Hoci bezpečnostná prevencia môže odvrátiť vysoké percento pokusov, v konečnom dôsledku si motivovaný útočník pravdepodobne nájde cestu do každej siete. Jeden z desiatich hlavných citátov generálneho riaditeľa spoločnosti Cisco Johna Chambersa znie: "Existujú dva typy spoločností: tie, ktoré boli hacknuté, a tie, ktoré nevedia, že boli hacknuté." Špeciálny agent FBI pre špeciálne kybernetické operácie Leo Taddeo v televízii Bloomberg varoval: "Predstava, že môžete chrániť svoj perimeter, sa dostáva do úzadia & detekcia je teraz rozhodujúca."
Porušenie ochrany lekárskych údajov
[upraviť | upraviť zdroj]Niektoré známe osobnosti sa stali obeťami nevhodného narušenia prístupu k zdravotným záznamom, aj keď skôr individuálne, nie ako súčasť zvyčajne oveľa väčšieho narušenia. Vzhľadom na sériu prípadov narušenia prístupu k zdravotným údajom a nedostatok dôvery verejnosti niektoré krajiny prijali zákony, ktoré vyžadujú zavedenie bezpečnostných opatrení na ochranu bezpečnosti a dôvernosti zdravotných informácií pri ich elektronickom zdieľaní a poskytujú pacientom niektoré dôležité práva na sledovanie svojich zdravotných záznamov a prijímanie oznámení v prípade straty a neoprávneného získania zdravotných informácií. Spojené štáty a EÚ zaviedli povinné oznamovanie porušenia ochrany zdravotníckych údajov.
Následky
[upraviť | upraviť zdroj]Hoci takéto incidenty predstavujú riziko krádeže identity alebo iných vážnych následkov, vo väčšine prípadov nedochádza k trvalým škodám; buď sa narušenie bezpečnosti odstráni skôr, ako sa k informáciám dostanú bezohľadní ľudia, alebo sa zlodej zaujíma len o ukradnutý hardvér, nie o údaje, ktoré obsahuje. Napriek tomu, keď sa takéto incidenty stanú verejne známymi, je zvykom, že sa vinník pokúsi zmierniť škody napríklad tým, že poskytne obeti predplatné úverovej agentúry, nové kreditné karty alebo iné nástroje. V prípade spoločnosti Target stálo porušenie ochrany osobných údajov v roku 2013 spoločnosť Target výrazný pokles zisku, ktorý sa v 4. štvrťroku tohto roka prepadol odhadom o 40 %. koncom roka 2015 spoločnosť Target zverejnila správu, v ktorej tvrdí, že celková strata na poplatkoch súvisiacich s porušením ochrany osobných údajov dosiahla 290 miliónov USD.
Narušenie bezpečnosti v spoločnosti Yahoo odhalené v roku 2016 môže byť jedným z najdrahších v súčasnosti. Môže znížiť cenu jeho akvizície spoločnosťou Verizon o 1 miliardu USD. 20. Spoločnosť Verizon neskôr zverejnila svoje opätovné rokovania so spoločnosťou Yahoo, v ktorých súhlasila so znížením konečnej ceny zo 4,8 na 4,48 miliardy USD. 21. Kybernetická kriminalita stála energetické a komunálne spoločnosti v priemere 12 USD. 8 miliónov USD každý rok na stratách v podnikaní a poškodených zariadeniach podľa DNV GL, medzinárodného certifikačného orgánu a klasifikačnej spoločnosti so sídlom v Nórsku. podľa štúdie Ponemon stáli úniky údajov zdravotnícke organizácie za posledné dva roky (pravdepodobne 2014 a 2015) 6,2 miliardy USD.
V oblasti zdravotnej starostlivosti bolo odcudzených viac ako 25 miliónov zdravotných údajov, čo viedlo ku krádeži identity viac ako 6 miliónov ľudí, a náklady, ktoré obete zaplatili z vlastného vrecka, sa blížia k 56 miliardám dolárov. Organizácia Privacy Rights Clearinghouse (PRC) vykázala záznamy od januára 2005 do decembra 2018, že došlo k viac ako 9000 prípadom narušenia. Tiež to, aké príčiny viedli k jednotlivým narušeniam, ako napríklad, útok zvnútra, podvody s platobnými kartami, strata alebo krádež prenosného zariadenia, infikovaný malvér a odoslanie e-mailu nesprávnej osobe (DISC). Z toho vyplýva, že mnoho bežných chýb, ktoré vedú k porušeniu ochrany údajov, sú ľudia, ktorí robia chyby umožňujúce hackerom využiť ich a vykonať útok.
Je známe, že je veľmi ťažké získať informácie o priamych a nepriamych hodnotových stratách vyplývajúcich z narušenia ochrany údajov. Bežným prístupom k hodnoteniu vplyvu narušení bezpečnosti údajov je skúmanie reakcie trhu na takýto incident ako zástupného ukazovateľa ekonomických dôsledkov. Zvyčajne sa to vykonáva pomocou štúdií udalostí, pri ktorých sa miera hospodárskeho vplyvu udalosti môže vytvoriť pomocou cien cenných papierov pozorovaných v relatívne krátkom časovom období. Bolo publikovaných niekoľko takýchto štúdií s rôznymi výsledkami, vrátane prác Kannana, Reesa a Sridhara (2007), Cavusoglua, Mishru a Raghunathana (2004), Campbella, Gordona, Loeba a Leia (2003), ako aj Schatza a Bashrousha (2017).
Keďže objem dát v digitálnej ére exponenciálne narastá a k únikom dát dochádza častejšie ako kedykoľvek predtým, prevencia úniku citlivých informácií k neoprávneným stranám sa stáva jedným z najpálčivejších bezpečnostných problémov podnikov. Na ochranu dát a financií musia podniky a spoločnosti často vynakladať dodatočné náklady na preventívne opatrenia pri potenciálnych únikoch dát. Od roku 2017 do roku 2021 sa predpokladajú celosvetové výdavky na internetovú bezpečnosť vo výške viac ako 1 bilión USD.
Závažné incidenty
[upraviť | upraviť zdroj]Pozri tiež: Zoznam prípadov porušenia ochrany údajov
Medzi významné incidenty patria:
2005
[upraviť | upraviť zdroj]- Ameriprise Financial, ukradnutý notebook, 24. decembra, 260 000 záznamov o zákazníkoch
- ChoicePoint, február, 163 000 záznamov o spotrebiteľoch
2006
[upraviť | upraviť zdroj]- Škandál s údajmi z vyhľadávania AOL (niekedy označovaný ako "Data Valdez" vzhľadom na jeho rozsah)
- Ministerstvo pre záležitosti veteránov, Máj, 28 600 000 veteránov, záloh a aktívnych vojakov.
- Ernst & Young, Máj, 234 000 zákazníkov spoločnosti Hotels.com (po podobnej strate údajov o 38 000 zamestnancoch klientov Ernst & Young vo februári).
- Boeing, december, 382 000 zamestnancov (po podobnej strate údajov o 3 600 zamestnancoch v apríli a 161 000 zamestnancoch v novembri 2005).
2007
[upraviť | upraviť zdroj]- D. A. Davidson & Co. 192 000 mien klientov, čísla zákazníckych účtov a sociálneho poistenia, adresy a dátumy narodenia
- Strata údajov o štátoch Ohio a Connecticut spoločnosťou Accenture v roku 2007
- TJ Maxx, údaje o 45 miliónoch kreditných a debetných účtov.
- Škandál s údajmi o detských prídavkoch v Spojenom kráľovstve v roku 2007
- CGI Group, august, 283 000 dôchodcov z New Yorku.
- The Gap, september, 800 000 uchádzačov o zamestnanie
- Memorial Blood Center, december, 268 000 darcov krvi.
- Volebná komisia okresu Davidson, december, 337 000 voličov
2008
[upraviť | upraviť zdroj]- V januári 2008 GE Money, divízia spoločnosti General Electric, zverejnila, že z úložiska spoločnosti Iron Mountain Incorporated sa stratila magnetická páska obsahujúca 150 000 čísel sociálneho zabezpečenia a informácie o kreditných kartách 650 000 maloobchodných zákazníkov. Medzi 230 postihnutými maloobchodníkmi je aj spoločnosť J.C. Penney.
- Horizon Blue Cross and Blue Shield of New Jersey, január, 300 000 členov.
- Lifeblood, február, 321 000 darcov krvi.
- Únik zoznamu členov Britskej národnej strany.
- Začiatkom roka 2008 sa spoločnosť Countrywide Financial (odvtedy získaná Bank of America) údajne stala obeťou úniku údajov, keď podľa správ a súdnych dokumentov zamestnanec Rene L. Rebollo Jr. ukradol a predal až 2,5 milióna osobných údajov zákazníkov vrátane čísel sociálneho poistenia: "Od roku 2008 - zhodou okolností po tom, ako predali svoje hypotekárne portfóliá v rámci neoprávnených a podvodných "sekuritizačných skupín", a zhodou okolností po tom, ako sa ich hypotekárne portfólio v dôsledku toho dostalo do masívneho zlyhania - sa spoločnosť Countrywide dozvedela, že finančným informáciám potenciálne miliónov zákazníkov ukradli niektorí agenti, zamestnanci alebo iné osoby spoločnosti Countrywide."V júli 2010 spoločnosť Bank of America urovnala viac ako 30 súvisiacich hromadných žalôb tým, že ponúkla bezplatné monitorovanie úverov, poistenie proti krádeži identity a náhradu strát až 17 miliónom spotrebiteľov, ktorých sa údajné porušenie ochrany údajov dotklo. Urovnanie sa odhadovalo na 56,5 milióna USD bez súdnych trov.
2009
[upraviť | upraviť zdroj]- V decembri 2009 bola narušená databáza hesiel RockYou!, ktorá obsahovala 32 miliónov používateľských mien a hesiel v otvorenom texte, čo ďalej ohrozilo používanie slabých hesiel na akýkoľvek účel.
- V máji 2009 odhalil denník The Daily Telegraph škandál s parlamentnými výdavkami v Spojenom kráľovstve. Pevný disk obsahujúci naskenované účtenky poslancov britského parlamentu a peerov v Snemovni lordov bol koncom apríla ponúknutý rôznym britským novinám, pričom ho nakoniec získal denník The Daily Telegraph. Podrobnosti uverejňovali po častiach od 8. mája. Hoci parlament mal v úmysle údaje zverejniť, malo to byť v redigovanej podobe, pričom údaje, ktoré jednotliví poslanci považovali za "citlivé", mali byť vypustené. Noviny uverejnili neredigované skeny, ktoré ukazovali podrobnosti o žiadostiach, z ktorých mnohé sa zdali byť v rozpore s pravidlami a naznačovali rozsiahle zneužívanie systému štedrých výdavkov. Výsledná mediálna búrka viedla k odstúpeniu predsedu Dolnej snemovne a k trestnému stíhaniu a uväzneniu niekoľkých poslancov a lordov za podvody. Systém výdavkov bol prepracovaný a sprísnený, pričom sa viac priblížil systémom súkromného sektora. Metropolitná polícia naďalej vyšetruje možné podvody a Korunná prokuratúra zvažuje ďalšie trestné stíhanie. Niekoľko poslancov a lordov sa ospravedlnilo a nahradilo škodu v plnej výške, čiastočne alebo vôbec a zachovalo si svoje kreslá. Ďalší, ktorí boli zahanbení v médiách, sa neponúkli na opätovné zvolenie v parlamentných voľbách v Spojenom kráľovstve v roku 2010. Hoci išlo o menej ako 1 500 osôb, kauza mala najväčší celosvetový mediálny ohlas spomedzi všetkých prípadov porušenia ochrany údajov (k februáru 2012).
- V januári 2009 spoločnosť Heartland Payment Systems oznámila, že sa stala "obeťou narušenia bezpečnosti v rámci svojho spracovateľského systému", ktoré bolo pravdepodobne súčasťou "globálnej operácie kybernetického podvodu". narušenie bolo označené za najväčšie kriminálne narušenie údajov o kartách v histórii, pričom sa odhaduje, že bolo ohrozených až 100 miliónov kariet od viac ako 650 spoločností poskytujúcich finančné služby.
2010
[upraviť | upraviť zdroj]- V priebehu roka Chelsea Manningová zverejnila veľké množstvo tajných vojenských údajov.
2011
[upraviť | upraviť zdroj]- V apríli 2011 došlo v sieti PlayStation Network k porušeniu ochrany údajov spoločnosti Sony. Odhaduje sa, že boli ohrozené informácie 77 miliónov používateľov.
- V marci 2011 došlo v spoločnosti RSA SecurID k narušeniu skladu zárodočných kľúčov systému SecurID, pričom boli odcudzené zárodočné kľúče pre ich systém dvojfaktorovej autentifikácie, čo útočníkom umožnilo replikovať hardvérové tokeny používané na zabezpečený prístup v podnikovom a vládnom prostredí.
- V júni 2011 spoločnosť Citigroup zverejnila únik údajov v rámci svojej prevádzky kreditných kariet, ktorý sa týkal približne 210 000 alebo 1 % účtov jej zákazníkov.
2012
[upraviť | upraviť zdroj]- V lete 2012 Mat Honan, vedúci spisovateľ portálu Wired.com, tvrdí, že "hackeri zničili celý môj digitálny život v priebehu jednej hodiny", keď sa nabúrali do jeho hesiel pre Apple, Twitter a Gmail, aby získali prístup k jeho účtu na Twitteri, a pritom tvrdia, že hackeri zničili všetky jeho zariadenia, vymazali všetky jeho správy a dokumenty vrátane všetkých fotografií jeho 18-mesačnej dcéry, ktoré kedy urobil. Zneužitie bolo dosiahnuté kombináciou informácií, ktoré hackerom poskytla technická podpora spoločnosti Amazon prostredníctvom sociálneho inžinierstva, a systému na obnovu hesiel spoločnosti Apple, ktorý tieto informácie využil . v súvislosti so svojimi skúsenosťami Mat Honan napísal článok, v ktorom načrtol, prečo heslá nedokážu zabezpečiť bezpečnosť používateľov.
- V októbri 2012 sa na ministerstvo financií Južnej Karolíny (South Carolina Department of Revenue - DoR) obrátil orgán činný v trestnom konaní s dôkazom, že boli odcudzené osobné identifikačné údaje (PII) troch osôb. neskôr bolo oznámené, že bolo ohrozených približne 3,6 milióna čísel sociálneho zabezpečenia spolu s 387 000 záznamami o kreditných kartách.
2013
[upraviť | upraviť zdroj]- V októbri 2013 spoločnosť Adobe Systems odhalila, že jej firemná databáza bola napadnutá hackermi a bolo ukradnutých približne 130 miliónov záznamov o používateľoch. Podľa spoločnosti Adobe "autentifikačný systém spoločnosti Adobe viac ako rok kryptograficky hashoval heslá zákazníkov pomocou algoritmu SHA-256, vrátane solenia hesiel a viac ako 1 000-násobného opakovania hashu. Tento systém nebol predmetom útoku, ktorý sme zverejnili 3. októbra 2013. Autentifikačný systém, ktorého sa útok týkal, bol záložným systémom a bol určený na vyradenie z prevádzky. Systém, ktorého sa útok týkal, používal na ochranu všetkých uložených informácií o heslách šifrovanie Triple DES."
- Ďalšie informácie: "Údaj o útoku na internetový server, ktorý sa nachádza v databáze, je v súčasnosti v platnosti: Adobe Systems § Únik údajov zákazníkov
- Koncom novembra až začiatkom decembra 2013 spoločnosť Target Corporation oznámila, že boli odcudzené údaje z približne 70 miliónov kreditných a debetných kariet. Ide o druhé najväčšie porušenie ochrany údajov o kreditných a debetných kartách po porušení ochrany údajov spoločnosti TJX Companies, kde bolo zasiahnutých takmer 46 miliónov kariet.
- V roku 2013 Edward Snowden zverejnil sériu tajných dokumentov, ktoré odhalili rozsiahlu špionáž Národnej bezpečnostnej agentúry Spojených štátov a podobných agentúr v iných krajinách.
2014
[upraviť | upraviť zdroj]- V auguste 2014 bolo z účtov Apple iCloud ukradnutých takmer 200 fotografií celebrít, ktoré boli zverejnené na webovej stránke 4chan. Vyšetrovanie spoločnosti Apple zistilo, že snímky boli získané "veľmi cieleným útokom na používateľské mená, heslá a bezpečnostné otázky".
- V septembri 2014 došlo v spoločnosti Home Depot k úniku údajov o 56 miliónoch čísel kreditných kariet.
- V októbri 2014 spoločnosť Staples utrpela únik údajov 1,16 milióna platobných kariet zákazníkov.
- V novembri 2014 a niekoľko týždňov po tom utrpela spoločnosť Sony Pictures Entertainment únik údajov, ktorý zahŕňal osobné údaje zamestnancov spoločnosti Sony Pictures a ich rodín, e-maily medzi zamestnancami, informácie o platoch vedúcich pracovníkov spoločnosti, kópie (predtým) nezverejnených filmov spoločnosti Sony a ďalšie informácie. Zapojení hackeri tvrdia, že zo spoločnosti Sony získali viac ako 100 TB údajov.
2015
[upraviť | upraviť zdroj]- V októbri 2015 došlo k úniku údajov britského poskytovateľa telekomunikačných služieb TalkTalk, keď skupina 15-ročných hackerov ukradla informácie o 4 miliónoch jeho zákazníkov. Cena akcií spoločnosti v dôsledku tohto problému výrazne klesla - približne o 12 % - najmä kvôli zlej publicite, ktorá únik sprevádzala.
- V júli 2015 došlo k narušeniu údajov webovej stránky pre dospelých Ashley Madison, keď skupina hackerov ukradla informácie o 37 miliónoch jej používateľov. Hackeri hrozili, že prezradia používateľské mená a konkrétne údaje, ak spoločnosť Ashley Madison a ďalšia stránka EstablishedMen.com nezaniknú natrvalo.
- Vo februári 2015 došlo v spoločnosti Anthem k úniku takmer 80 miliónov záznamov vrátane osobných údajov, ako sú mená, čísla sociálneho poistenia, dátumy narodenia a ďalšie citlivé údaje.
- V júni 2015 došlo k úniku údajov v Úrade personálneho manažmentu vlády USA, v rámci ktorého boli hacknuté a ukradnuté záznamy 22,1 milióna súčasných a bývalých federálnych zamestnancov Spojených štátov.
2016
[upraviť | upraviť zdroj]- Vo februári 2016 15-ročný britský hacker Kane Gamble zverejnil osobné údaje viac ako 20 000 zamestnancov FBI, vrátane mien zamestnancov, ich pracovných pozícií, telefónnych čísel a e-mailových adries. Sudca uviedol, že Gamble sa dopustil "politicky motivovaného kyberterorizmu".
- V marci 2016 bola webová stránka filipínskej volebnej komisie poškodená hackerskou skupinou "Anonymous Philippines". Väčší problém nastal, keď skupina s názvom LulzSec Pilipinas nasledujúci deň nahrala na Facebook celú databázu COMELEC.
- V apríli 2016 priniesli spravodajské médiá informácie odcudzené z úspešného sieťového útoku stredoamerickej právnickej firmy Mossack Fonseca a výsledné "Panama Papers" vyvolali ohlasy po celom svete. Možno ide o oprávnené ospravedlnenie nezákonnej alebo neetickej činnosti, napriek tomu to ilustruje vplyv tajomstiev, ktoré sa dostanú na svetlo sveta. Premiér Islandu bol nútený odstúpiť a v tak vzdialených krajinách, ako je Malta, došlo k veľkým zmenám na politických postoch. V krajinách po celom svete sa okamžite začalo viacero vyšetrovaní vrátane prísneho preskúmania medzinárodných alebo offshore bankových pravidiel v USA. Je zrejmé, že dôsledky sú obrovské pre schopnosť organizácie - či už ide o právnickú firmu alebo vládny rezort - uchovávať tajomstvá.
- V septembri 2016 spoločnosť Yahoo oznámila, že v roku 2014 došlo k narušeniu až 500 miliónov účtov pri zjavnom "štátom sponzorovanom" úniku údajov. Neskôr v októbri 2017 bolo oznámené, že narušené boli 3 miliardy účtov, čo v tom čase predstavovalo každý účet Yahoo.
2017
[upraviť | upraviť zdroj]- Vault 7, hackerské techniky CIA odhalené pri úniku údajov. Uniknuté dokumenty s kódovým označením Vault 7 z rokov 2013 - 2016 podrobne opisujú schopnosti CIA vykonávať elektronický dohľad a kybernetickú vojnu, napríklad schopnosť kompromitovať operačné systémy väčšiny smartfónov (vrátane iOS od spoločnosti Apple a Android od spoločnosti Google), ako aj iných operačných systémov, ako sú Microsoft Windows, macOS a Linux. Joshua Adam Schulte, bývalý zamestnanec CIA, bol odsúdený za únik hackerských tajomstiev CIA do WikiLeaks.
- Equifax, júl 2017, 145 500 000 záznamov spotrebiteľov, v tom čase najväčší známy únik údajov v histórii, čo viedlo k potenciálne najväčšej hromadnej žalobe v histórii. Od začiatku októbra 2017 podali mestá Chicago a San Francisco a štát Massachusetts žaloby na vymáhanie práva proti spoločnosti Equifax v nadväznosti na únik údajov z júla 2017, pri ktorom hackeri údajne zneužili zraniteľnosť v softvéri s otvoreným zdrojovým kódom, ktorý sa používal na vytvorenie online portálu Equifax na riešenie spotrebiteľských sporov. Hackeri mali k dispozícii nielen informácie obyvateľov USA, ale aj Veľkej Británie a Kanady.
- Utajované vojenské dokumenty Spojených štátov a Južnej Kórey, október 2017. Juhokórejský zákonodarca tvrdil, že severokórejskí hackeri ukradli v septembri 2016 viac ako 235 gigabajtov vojenských dokumentov z integrovaného obranného dátového centra. Uniknuté dokumenty obsahovali vojnové operačné plány Južnej Kórey a USA.
- Paradise Papers, november 2017.
2018
[upraviť | upraviť zdroj]- Facebook a škandál s údajmi spoločnosti Cambridge Analytica v marci.
- V marci spoločnosť Google identifikovala zraniteľnosť, ktorá odhalila osobné údaje takmer pol milióna používateľov. Hoci zraniteľnosť opravila, o odhalení používateľov informovala až po šiestich mesiacoch, keď o probléme informoval denník The Wall Street Journal.
- Dňa 29. marca spoločnosť Under Armour zverejnila porušenie ochrany údajov 150 miliónov účtov v službe MyFitnessPal, pričom ohrozené údaje pozostávali z mien používateľov, e-mailových adries používateľov a zaheslovaných hesiel. Spoločnosť Under Armour bola o narušení informovaná v týždni od 19. do 25. marca a uviedla, že k úniku došlo niekedy vo februári.
- Dňa 1. apríla bolo oznámené, že došlo k porušeniu ochrany údajov v spoločnosti Saks Fifth Avenue / Lord & Taylor. V obchodoch v Severnej Amerike mohlo dôjsť k zneužitiu údajov približne 5 miliónov držiteľov kreditných kariet.
- Dňa 20. júla bolo oznámené, že 4. júla došlo k porušeniu ochrany údajov v SingHealth, jednej z najväčších singapurských zdravotníckych organizácií, pričom bolo ohrozených približne 1,5 milióna osobných údajov (vrátane údajov niektorých ministrov vrátane singapurského premiéra Lee Hsien Loonga). Ministri na tlačovej konferencii označili únik údajov za "najvážnejšie porušenie ochrany osobných údajov".
- Spoločnosť Reddit 1. augusta zverejnila, že bola napadnutá hackermi. Hackerovi sa podarilo kompromitovať účty zamestnancov aj napriek tomu, že používali dvojfaktorovú autentifikáciu založenú na SMS. Spoločnosť Reddit odmietla zverejniť počet postihnutých používateľov.
- 7. septembra bolo oznámené, že spoločnosť British Airways zaznamenala krádež údajov o približne 380 000 záznamoch zákazníkov vrátane úplných bankových údajov.
- Dňa 19. októbra americké Centrum pre zdravotné a lekárske služby (CMS) oznámilo únik údajov, ktorý odhalil súbory 75 000 osôb.
- Dňa 3. decembra spoločnosť Quora ohlásila únik údajov, ktorý sa dotkol údajov 100 miliónov jej používateľov.
- Koncom roka 2018 sa zistilo, že hra Fortnite od spoločnosti Epic Games má bezpečnostnú chybu, ktorá by útočníkovi umožnila použiť údaje o platobných kartách obetí. odhaduje sa, že toto a ďalšie narušenia viedli k tomu, že ukradnuté účty Fortnite sa na podzemných fórach nelegálne predávali v hodnote viac ako milión amerických dolárov ročne. V roku 2019 sa formovala hromadná žaloba proti spoločnosti Epic Games.
2019
[upraviť | upraviť zdroj]- V máji boli odhalené osobné údaje približne 139 miliónov používateľov služby Canva pre grafický dizajn vrátane skutočných mien používateľov, používateľských mien, adries a geografických informácií a hesiel.
- Dňa 16. júla bola odhalená bulharská Národná agentúra pre príjmy, pobočka ministerstva financií krajiny.
- V septembri došlo k narušeniu osobných údajov celej 17-miliónovej populácie Ekvádoru spolu so zosnulými osobami po tom, ako z nezabezpečeného servera spravovaného marketingovou analytickou firmou Novestrat unikli celé mená, dátumy, miesta narodenia, vzdelanie, telefónne čísla a národné identifikačné čísla.
2020
[upraviť | upraviť zdroj]- 7. júla došlo na stránke Wattpad k veľkému úniku údajov zo strany spoločnosti ShinyHunters, ktorý sa týkal viac ako 270 miliónov používateľov; údaje používateľov vrátane hesiel boli predané na fóre v darknete.
- V polovici decembra 2020 bolo oznámené, že viaceré federálne vládne subjekty USA a mnohé súkromné organizácie po celom svete, ktoré používali produkty SolarWinds, Microsoft a VMWare, sa stali obeťami rozsiahleho úniku údajov a hackerského útoku.
2021
[upraviť | upraviť zdroj]2022
[upraviť | upraviť zdroj]- Marec: Anonym zverejnil obsah databázy Roscosmosu uprostred ruskej invázie na Ukrajinu v roku 2022.
- Júl: Únik databázy šanghajskej národnej polície.
- September: Užívateľ GTAForums unikol záznam 90 videí z hry Gta 6.
Pozri tiež:
[upraviť | upraviť zdroj]- Úplné zverejnenie (počítačová bezpečnosť)
- Zoznam prípadov porušenia ochrany údajov
- Kapitalizmus dohľadu
Externé odkazy
[upraviť | upraviť zdroj]- Databáza strát údajov je výskumný projekt zameraný na zdokumentovanie známych a nahlásených prípadov strát údajov na celom svete.
- "Breaches Affecting 500 or More Individuals" (Porušenia, ktoré sa týkajú 500 alebo viac osôb), porušenia, ktoré (HIPAA pokryté) subjekty nahlásili americkému ministerstvu zdravotníctva a sociálnych služieb