15 Pelanggaran Keamanan Data Terburuk

Pelanggaran keamanan data terjadi setiap hari di banyak tempat. CSO menyusun daftar 15 pelanggaran terbesar atau paling signifikan di abad ke-21.

Daftar ini didasarkan tidak harus pada jumlah data yang didapatkan oleh hacker, namun juga seberapa besar risiko atau dampak kerusakan yang ditimbulkan terhadap perusahaan, perusahaan asuransi dan pengguna atau pemilik akun. Dalam beberapa kasus, password dan informasi lainnya terlindungi dengan baik oleh enkripsi, jadi penyetelan ulang password menghilangkan sebagian besar risikonya.

1. Yahoo

Tanggal: 2013-14
Dampak: 1,5 miliar akun pengguna

Pada bulan September 2016, raksasa internet yang dulu dominan, saat melakukan negosiasi untuk menjual dirinya ke Verizon, mengumumkan bahwa mereka telah menjadi korban pelanggaran data terbesar dalam sejarah, kemungkinan oleh “aktor yang disponsori negara,” pada tahun 2014. Serangan tersebut berhasil mendapatkan data nama asli, alamat email, tanggal lahir dan nomor telepon dari 500 juta pengguna. Perusahaan mengatakan “mayoritas besar” password yang didapatkan oleh hacker telah dilengkapi dengan algoritma bcrypt yang kuat.

Beberapa bulan kemudian, pada bulan Desember, Yahoo mengubur catatan sebelumnya dengan pengungkapan bahwa sebuah pelanggaran pada tahun 2013, oleh sekelompok hacker yang berbeda telah mendapatkan 1 miliar akun. Selain nama, tanggal lahir, alamat email dan password yang tidak terlindungi dengan baik seperti pada tahun 2014, pertanyaan dan jawaban keamanan juga dikompromikan.

Pelanggaran tersebut diperkirakan bernilai $ 350 juta dari harga jual Yahoo. Verizon akhirnya membayar $ 4,48 miliar untuk bisnis internet inti Yahoo. Kesepakatan tersebut meminta kedua perusahaan tersebut untuk berbagi kewajiban peraturan dan hukum dari pelanggaran tersebut. Penjualan tersebut tidak memasukkan investasi yang dilaporkan di Alibaba Group Holding sebesar $ 41,3 miliar dan kepemilikan di Yahoo Japan sebesar $ 9,3 miliar.

Yahoo, didirikan pada tahun 1994, pernah dihargai $ 100 miliar. Setelah penjualan, perusahaan berganti nama menjadi Altaba, Inc.

2. Adult Friend Finder

Tanggal: Oktober 2016
Dampak: Lebih dari 412,2 juta akun

Jaringan FriendFinder, yang mencakup situs Adult Friend Finder, Penthouse.com, Cams.com, iCams.com dan Stripshow.com, telah mengalami pelanggaran keamanan sekitar pertengahan Oktober 2016. Hacker mengumpulkan data 20 tahun pada enam database yang menyertakan nama, alamat email dan password.

Sebagian besar password hanya dilindungi oleh algoritma hash SHA-1 yang lemah, yang berarti 99 persen di antaranya telah diretas pada saat LeakedSource.com menerbitkan analisis keseluruhan data pada 14 November.

Steve Ragan CSO Online melaporkan pada saat itu, “seorang peneliti dengan akun Twitter 1×0123 dan Revolver memasang tangkapan layar yang diambil pada Adult Friend Finder yang menunjukkan kerentanan Local File Inclusion (LFI).” Kerentanan ditemukan dalam modul pada server produksi yang digunakan oleh Adult Friend Finder, telah dieksploitasi.

Wakil Presiden AFF Diana Ballou mengeluarkan sebuah pernyataan yang mengatakan, “Kami mengidentifikasi dan memperbaiki kerentanan yang terkait dengan kemampuan untuk mengakses kode sumber melalui injection vulnerability.”

3. eBay

Tanggal: Mei 2014
Dampak: 145 juta pengguna

Raksasa lelang online tersebut melaporkan sebuah serangan cyber pada bulan Mei 2014 yang mengatakan bahwa nama, alamat, tanggal lahir dan sandi terenkripsi terungkap 145 juta pengguna. Perusahaan tersebut mengatakan bahwa hacker masuk ke jaringan perusahaan dengan menggunakan kredensial tiga karyawan perusahaan, dan memiliki akses internal perusahaan yang lengkap selama 229 hari, selama waktu tersebut mereka dapat mencapai database pengguna.

eBay meminta pelanggannya untuk mengganti kata sandinya, namun mengatakan informasi keuangan, seperti nomor kartu kredit, disimpan terpisah dan tidak dikompromikan. Perusahaan ini dikritik pada saat kurangnya komunikasi yang menginformasikan penggunanya dan penerapan proses pembaharuan password yang buruk.

CEO John Donahue mengatakan bahwa pelanggaran tersebut mengakibatkan penurunan aktivitas pengguna, namun berdampak kecil pada bottom line – pendapatan Q2-nya naik 13 persen dan pendapatan naik 6 persen, sejalan dengan ekspektasi analis.

4. Heartland Payment Systems

Tanggal: Maret 2008
Dampak: 134 juta kartu kredit terkena dampak

Pada saat pelanggaran tersebut, Heartland memproses 100 juta transaksi kartu pembayaran per bulan untuk 175.000 pedagang – pengecer berukuran kecil sampai menengah. Tidak ditemukan sampai Januari 2009, saat Visa dan MasterCard memberi tahu Heartland tentang transaksi mencurigakan dari akun yang telah diprosesnya.

Salah satu konsekuensinya adalah bahwa Heartland dianggap tidak memenuhi Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard/PCI DSS) dan tidak diizinkan untuk memproses pembayaran penyedia kartu kredit utama sampai Mei 2009. Perusahaan tersebut juga membayar sekitar $ 145 juta kompensasi untuk pembayaran curang.

Juri agung federal mendakwa Albert Gonzalez dan dua orang antek Rusia yang tidak disebutkan namanya pada tahun 2009. Gonzalez, seorang Kuba-Amerika, diduga telah mendalangi operasi internasional yang mencuri kartu kredit dan kartu debit. Pada bulan Maret 2010 dia dijatuhi hukuman 20 tahun di penjara federal. Kerentanan terhadap injeksi SQL dipahami dengan baik dan analis keamanan telah memperingatkan peritel tentang hal itu selama beberapa tahun. Namun, kerentanan yang terus berlanjut dari banyak aplikasi yang dihadapi oleh web membuat injeksi SQL merupakan bentuk serangan yang paling umum terhadap situs web saat itu.

5. Target Store

Tanggal: Desember 2013
Dampak: Informasi kartu kredit/debit/informasi kontak hingga 110 juta orang dikompromikan.

Pelanggaran itu sebenarnya dimulai sebelum Thanksgiving, namun tidak ditemukan sampai beberapa minggu kemudian. Raksasa ritel tersebut pada awalnya mengumumkan bahwa hacker telah mendapatkan akses melalui pihak ketiga HVAC ke pembaca kartu pembayaran point-of-sale (POS), dan telah mengumpulkan sekitar 40 juta kartu kredit dan kartu debit.

Pada Januari 2014, bagaimanapun, perusahaan menaikkan estimasi tersebut, melaporkan bahwa informasi pribadi (Personally Identifiable Information/PII) dari 70 juta pelanggannya telah disusupi. Itu termasuk nama lengkap, alamat, alamat email dan nomor telepon. Perkiraan terakhir adalah bahwa pelanggaran tersebut mempengaruhi sebanyak 110 juta pelanggan.

Target CIO mengundurkan diri pada bulan Maret 2014, dan CEO-nya mengundurkan diri pada bulan Mei. Perusahaan baru-baru ini memperkirakan biaya pelanggaran sebesar $ 162 juta.

Perusahaan membuat perbaikan keamanan yang signifikan. Namun, sebuah penyelesaian yang diumumkan pada bulan Mei 2017 yang memberi Target 180 hari untuk membuat perbaikan keamanan yang spesifik dijelaskan oleh Tom Kellermann, CEO Strategic Cyber ​​Ventures dan mantan CSO dari Trend Micro, sebagai “tamparan di pergelangan tangan.” Dia juga mengatakannya, “Mewakili paradigma keamanan kemarin,” karena persyaratannya berfokus pada penyadapan dan tidak memperbaiki respons insiden.

6. TJX Companies, Inc.

Tanggal: Desember 2006
Dampak: 94 juta kartu kredit

Ada pertentangan tentang bagaimana ini terjadi. Seseorang menduga bahwa sekelompok hacker memanfaatkan sistem enkripsi data yang lemah dan mencuri data kartu kredit selama perpindahan nirkabel antara dua toko Marshall di Miami, Fla. Pendapat lain, jaringan dibobol TJX melalui kios di dalam toko yang memungkinkan orang-orang untuk melamar pekerjaan secara elektronik.

Albert Gonzalez, legenda hacking dan pemimpin insiden Heartland, dihukum pada 2010 karena memimpin kelompok pencuri yang mencuri kartu kredit tersebut, dan dijatuhi hukuman 20 tahun penjara, sementara 11 lainnya ditangkap. Dia telah bekerja sebagai informan berbayar untuk Dinas Rahasia AS, dengan gaji $ 75.000 pada saat kejahatan tersebut terjadi. Pemerintah mengklaim dalam memo tersebut bahwa perusahaan, bank dan perusahaan asuransi kehilangan hampir $ 200 juta.

7. JP Morgan Chase

Tanggal: Juli 2014
Dampak: 76 juta rumah tangga dan 7 juta usaha kecil

Bank terbesar di negara ini adalah korban hack selama musim panas 2014 yang membahayakan data lebih dari separuh dari seluruh rumah tangga AS – 76 juta – ditambah 7 juta usaha kecil. Data termasuk informasi kontak, nama, alamat, nomor telepon dan alamat email serta informasi internal tentang pengguna, sesuai dengan pengarsipan dengan Securities and Exchange Commission.

Bank tersebut mengatakan bahwa tidak ada uang pelanggan yang dicuri dan bahwa “tidak ada bukti bahwa informasi akun pelanggan yang terkena dampak tersebut, nomor rekening, password, ID pengguna, tanggal lahir atau nomor jaminan sosial telah dikompromikan selama serangan ini.”

Namun, para peretas dilaporkan dapat memperoleh hak “root” di lebih dari 90 server bank, yang berarti mereka dapat mengambil tindakan termasuk mentransfer dana dan menutup rekening. Menurut Institut SANS, JP Morgan menghabiskan $ 250 juta untuk keamanan setiap tahun.

Pada bulan November 2015, pemerintah federal mendakwa empat orang, membebankan mereka dengan JP Morgan hack ditambah lembaga keuangan lainnya. Gery Shalon, Joshua Samuel Aaron dan Ziv Orenstein menghadapi 23 tuduhan, termasuk akses komputer yang tidak sah, pencurian identitas, sekuritas dan penipuan dan pencucian uang yang menghasilkan sekitar $ 100 juta. Seorang hacker keempat yang membantu mereka melanggar jaringan tidak diidentifikasi.

Shalon dan Orenstein, keduanya orang Israel, mengaku tidak bersalah pada Juni 2016. Aaron ditangkap di Bandara JFK di New York Desember lalu.

8. Kantor Manajemen Personalia AS

Tanggal: 2012-2014
Dampak: Informasi pribadi 22 juta pegawai federal

Hacker, yang dikatakan berasal dari China, berada di dalam sistem manajemen personalia AS mulai tahun 2012, namun tidak terdeteksi sampai 20 Maret 2014. Seorang hacker kedua, atau grup, memperoleh akses ke OPM (Office of Personnel Management) melalui kontraktor pihak ketiga pada bulan Mei 2014, namun tidak ditemukan sampai hampir setahun kemudian. Para penyusup mengeksploitasi data pribadi termasuk dalam banyak kasus informasi keamanan dan data sidik jari yang terperinci.

Tahun lalu, mantan direktur FBI James Comey berbicara tentang informasi yang terkandung dalam formulir SF-86, yang digunakan untuk melakukan pemeriksaan latar belakang untuk keamanan karyawan. “Pada form SF-86, saya mencantumkan setiap tempat yang pernah saya jalani sejak berusia 18 tahun, setiap perjalanan luar biasa yang pernah saya lakukan, semua keluarga saya, alamat mereka,” katanya. “Jadi bukan hanya identitas saya yang terpengaruh. Aku punya saudara kandung. Aku punya lima anak. Semua itu ada di sana.”

9. Sony PlayStation Network

Tanggal: 20 April 2011
Dampak: 77 juta akun PlayStation Network

Ini dilihat sebagai pelanggaran data game terburuk yang pernah terjadi sepanjang masa. Dari lebih dari 77 juta akun yang terkena dampak, 12 juta memiliki nomor kartu kredit yang tidak dienkripsi. Hacker mendapatkan akses ke nama lengkap, kata sandi, e-mail, alamat rumah, riwayat pembelian, nomor kartu kredit dan login dan kata kunci PSN / Qriocity. Pada tahun 2014, Sony menyetujui penyelesaian awal sebesar $ 15 juta dalam gugatan class action atas pelanggaran tersebut.

10. Anthem

Tanggal: Februari 2015
Dampak: Pencurian informasi pribadi hingga 78,8 juta pelanggan

Perusahaan asuransi kesehatan terbesar kedua di A.S., yang sebelumnya dikenal dengan nama WellPoint, mengatakan sebuah serangan cyber telah mengungkapkan nama, alamat, nomor jaminan sosial, tanggal lahir dan riwayat kerja dari pelanggan saat ini dan mantan nasabah – segala sesuatu yang diperlukan untuk mencuri identitas.

Fortune melaporkan pada bulan Januari bahwa sebuah penyelidikan nasional menyimpulkan bahwa pemerintah asing kemungkinan merekrut hacker, dikatakan sebagai pelanggaran data terbesar dalam riwayat kesehatan. Ini dilaporkan dimulai setahun sebelum diumumkan, ketika seorang pengguna tunggal di sebuah anak perusahaan Anthem mengklik sebuah tautan di email phishing. Total biaya pelanggaran belum diketahui, namun diperkirakan akan melebihi $ 100 juta.

Anthem mengatakan pada tahun 2016 bahwa tidak ada bukti bahwa data anggota telah terjual, dibagikan atau digunakan untuk penipuan. Kartu kredit dan informasi medis juga diduga belum diambil.

11. RSA Security

Tanggal: Maret 2011
Dampak: 40 juta catatan karyawan dicuri.

Dampak dari serangan cyber yang mencuri informasi pada token otentikasi SecurID raksasa keamanan masih diperdebatkan. RSA, divisi keamanan EMC, mengatakan dua kelompok hacker terpisah bekerja sama dengan pemerintah asing untuk meluncurkan serangkaian serangan phishing terhadap pegawai RSA, yang menyamar sebagai orang yang dipercaya oleh karyawannya, untuk menembus jaringan perusahaan.

EMC melaporkan Juli lalu bahwa mereka telah menghabiskan setidaknya $ 66 juta untuk perbaikan. Menurut eksekutif RSA, tidak ada jaringan pelanggan yang dilanggar. John Linkous, wakil presiden, kepala petugas keamanan dan kepatuhan eIQnetworks, Inc. tidak membelinya. “RSA tidak membantu masalah ini karena awalnya tidak jelas tentang kedua vektor serangan tersebut, dan (yang lebih penting lagi) data yang dicuri,” katanya. “Itu hanya masalah waktu sebelum serangan berikutnya terhadap Lockheed-Martin, L3 dan lainnya terjadi, yang semuanya diyakini sebagian diaktifkan oleh pelanggaran RSA.” Di balik itu terjadi kerusakan psikologis. Di antara pelajaran tersebut, katanya, apakah perusahaan keamanan yang baik seperti RSA tidak kebal terhadap hacking.

Jennifer Bayuk, konsultan keamanan informasi independen dan profesor di Stevens Institute of Technology, mengatakan kepada SearchSecurity pada tahun 2012 bahwa pelanggaran tersebut merupakan “pukulan besar bagi industri produk keamanan karena RSA adalah ikon seperti itu. Mereka adalah vendor keamanan klasik. Bagi mereka untuk menjadi titik kerentanan adalah benar-benar jijik. Kurasa tidak ada yang bisa mengatasi itu, “katanya.

12. Stuxnet

Tanggal: Kadang di tahun 2010, tapi berasal dari tahun 2005
Dampak: Dimaksudkan untuk menyerang program tenaga nuklir Iran, namun juga akan menjadi templat gangguan dunia nyata dan gangguan layanan jaringan listrik, persediaan air atau sistem transportasi umum.

Efek langsung dari worm Stuxnet yang berbahaya itu minimal – setidaknya di Amerika Serikat – namun banyak ahli menilainya di antara pelanggaran skala besar karena ini adalah serangan cyber yang menghasilkan hasil fisik.

Malware yang dirancang untuk hanya menargetkan sistem Siemens SCADA, merusak program nuklir Iran dengan menghancurkan sekitar 984 pengayaan uranium pengayaan. Serangan tersebut telah dikaitkan dengan usaha bersama oleh AS dan Israel, meski tidak pernah diakui secara resmi.

13. VeriSign

Tanggal: Sepanjang tahun 2010
Dampak: Informasi yang tidak diungkapkan dicuri

Pakar keamanan dengan suara bulat mengatakan bahwa hal yang paling meresahkan mengenai pelanggaran VeriSign, atau pelanggaran, di mana hacker memperoleh akses ke sistem dan informasi istimewa, adalah cara perusahaan menanganinya – dengan buruk. VeriSign tidak pernah mengumumkan serangan tersebut. Insiden tersebut tidak menjadi umum sampai 2011, dan kemudian hanya melalui pengarsipan SEC yang baru.

Seperti yang dikatakan PCWorld, “VeriSign mengubur informasi tersebut dalam laporan Securities and Exchange Commission (SEC) per kuartal seolah-olah itu hanyalah berita gembira biasa lainnya.”

VeriSign mengatakan bahwa tidak ada sistem kritis seperti server DNS atau server sertifikat yang dikompromikan, namun mengatakan bahwa, “akses diperoleh untuk mendapatkan informasi tentang sebagian kecil komputer dan server kami.” Belum melaporkan apa informasi yang dicuri dan apa dampaknya terhadap perusahaan atau pelanggannya.

14. Home Depot

Tanggal: September 2014
Dampak: Pencurian informasi kartu kredit/debit sebanyak 56 juta nasabah.

Peritel perangkat keras dan bangunan mengumumkan pada bulan September apa yang telah dicurigai selama beberapa minggu yang dimulai pada bulan April atau Mei, sistem POS-nya telah terinfeksi malware. Perusahaan tersebut kemudian mengatakan sebuah penyelidikan menyimpulkan bahwa malware “unik, dibuat khusus” telah digunakan, yang menyamar menjadi anti-virus.

Pada bulan Maret 2016, perusahaan tersebut setuju untuk membayar paling sedikit $ 19,5 juta untuk memberi kompensasi kepada konsumen AS melalui dana $ 13 juta untuk mengganti pembeli yang mengalami kerugian, dan menghabiskan setidaknya $ 6,5 juta untuk mendanai identitas pemegang kartu 1 1/2 tahun Layanan perlindungan.

Penyelesaian ini mencakup sekitar 40 juta orang yang memiliki data kartu pembayaran yang dicuri, dan lebih dari 52 juta orang yang memiliki alamat email yang dicuri. Ada beberapa tumpang tindih antar kelompok. Perusahaan memperkirakan biaya pra-pajak sebesar $ 161 juta untuk pelanggaran tersebut, termasuk penyelesaian konsumen dan perkiraan hasil asuransi.

15. Adobe

Tanggal: Oktober 2013
Dampak: 38 juta akun pengguna

Awalnya dilaporkan pada awal Oktober oleh blogger keamanan Brian Krebs, butuh beberapa minggu untuk mengetahui skala pelanggaran dan apa yang disertakan. Perusahaan tersebut awalnya melaporkan bahwa hacker telah mencuri hampir 3 juta catatan kartu kredit pelanggan yang terenkripsi, ditambah data login untuk sejumlah akun pengguna yang belum ditentukan.

Kemudian di bulan tersebut, Adobe mengatakan bahwa penyerang telah mengakses ID dan kata sandi terenkripsi untuk 38 juta pengguna aktif. Namun Krebs melaporkan bahwa sebuah file yang diposkan beberapa hari sebelumnya, “tampaknya menyertakan lebih dari 150 juta username dan password hash yang diambil dari Adobe “Setelah berminggu-minggu penelitian, akhirnya ternyata, begitu pula kode sumber beberapa produk Adobe, insiden ini juga telah membuka nama pelanggan, ID, password dan informasi debit dan kartu kredit.

Pada bulan Agustus 2015, sebuah kesepakatan meminta Adobe untuk membayar biaya hukum sebesar $ 1,1 juta dan jumlah yang tidak diungkapkan kepada pengguna untuk menyelesaikan klaim melanggar Undang-Undang Catatan Pelanggan dan praktik bisnis yang tidak adil. Pada bulan November 2016, jumlah yang dibayarkan kepada pelanggan dilaporkan sebesar $ 1 juta.

csoonline

You may also like...