Os 15 maiores vazamentos de dados do século 21

Há pouco tempo, uma violação que comprometesse os dados de milhões de pessoas seria uma grande notícia. Agora, violações que afetam centenas de milhões ou mesmo bilhões de pessoas são muito comuns.

Cerca de 3,5 bilhões de pessoas viram seus dados pessoais roubados se levarmos em conta apenas duas das 15 maiores violações deste século. O menor incidente nesta lista envolveu os dados de meros 134 milhões de pessoas.

Nesta lista das maiores violações de dados do século XXI usamos critérios simples: o número de pessoas cujos dados foram comprometidos.

Também fizemos uma distinção entre os incidentes em que os dados foram roubados por intenção maliciosa e aqueles em que uma organização inadvertidamente deixou os dados desprotegidos e expostos.

O Twitter, por exemplo, deixou as senhas de seus 330 milhões de usuários desmascaradas em um log, mas não havia evidências de uso indevido. Portanto, o Twitter não faz parte dessa lista.

Sem mais delongas, aqui, listadas em ordem alfabética, estão as 15 maiores violações de dados da história recente, incluindo quem foi afetado, quem foi responsável e como as empresas reagiram:

1 – Adobe

Data: outubro de 2013 | Impacto: 153 milhões de registros de usuários

Conforme relatado no início de outubro de 2013 pelo blogueiro de segurança Brian Krebs, a Adobe disse originalmente que os hackers haviam roubado quase 3 milhões de registros criptografados de cartões de crédito de clientes, além de dados de login de um número indeterminado de contas de usuário.

No final daquele mês, a Adobe elevou essa estimativa para incluir IDs e senhas criptografadas, o que elevou para 38 milhões de “usuários ativos” expostos.

Krebs relatou que um arquivo publicado poucos dias antes “parecia incluir mais de 150 milhões de nomes de usuário e pares de senhas extraídos da Adobe”. Semanas de pesquisa mostraram que o hack também expôs nomes de clientes, IDs, senhas e informações de cartão de débito e crédito.

2 – Adult Friend Finder

Data: outubro de 2016 | Impacto: 412,2 milhões de contas

Essa violação foi particularmente sensível. A rede FriendFinder, que incluía sites de adultos como o Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.com, foi violada em meados de outubro de 2016.

Os dados roubados pegaram 20 anos de informação de seis bancos de dados e incluiu nomes, endereços de email e senhas.

3 – Canva

Data: maio de 2019 | Impacto: 137 milhões de contas de usuário

Em maio de 2019, o Canva sofreu um ataque que expôs endereços de e-mail, nomes de usuários, nomes, cidades de residência de 137 milhões de usuários. O Canva diz que os hackers conseguiram visualizar, mas não roubaram, arquivos com cartão de crédito parcial e dados de pagamento.

A empresa confirmou o incidente e, posteriormente, notificou os usuários, solicitando que eles alterassem senhas e redefinissem os tokens do OAuth. No entanto, de acordo com uma publicação posterior do Canva, uma lista de aproximadamente 4 milhões de contas do Canva contendo senhas roubadas de usuários foi posteriormente descriptografada e compartilhada online, levando a empresa a invalidar senhas inalteradas e a notificar os usuários com senhas não criptografadas na lista.

4 – eBay

Data: maio de 2014 | Impacto: 145 milhões de usuários

Um ataque expôs as contas de 145 milhões de usuários em maio de 2014, incluindo nomes, endereços, datas de nascimento e senhas criptografadas.

A gigante dos leilões online disse que os hackers usaram as credenciais de três funcionários corporativos para acessar sua rede e tiveram acesso completo por 229 dias – tempo mais do que suficiente para comprometer o banco de dados dos usuários.

A empresa pediu aos clientes que mudassem suas senhas. Informações financeiras, como números de cartão de crédito, foram armazenadas separadamente e não foram comprometidas. A empresa foi criticada na época por falta de comunicação com seus usuários.

5 – Equifax

Data: 29 de julho de 2017 | Impacto: 147,9 milhões de consumidores

A Equifax, uma das maiores agências de crédito dos EUA disse em 7 de setembro de 2017 que uma vulnerabilidade de aplicativo em um de seus sites levou a uma violação de dados que expôs cerca de 147,9 milhões de consumidores. A violação foi descoberta em 29 de julho, mas a empresa diz que provavelmente tudo começou em meados de maio.

A violação comprometeu as informações pessoais (incluindo números do Seguro Social, datas de nascimento, endereços e, em alguns casos, números da carteira de motorista) de 143 milhões de consumidores. Esse número foi aumentado para 147,9 milhões em outubro de 2017.

6 – Dubsmash

Data: dezembro de 2018| Impacto: 162 milhões de contas de usuário

Em dezembro de 2018, o serviço de mensagens de vídeo Dubsmash, com sede em Nova York, teve 162 milhões de endereços de e-mail, nomes de usuários e outros dados pessoais, como datas de nascimento roubadas. Tudo isso foi colocado à venda no Dream Market, mercado da dark web.

A empresa reconheceu que a violação e a venda de informações ocorreram – e forneceu conselhos sobre a alteração de senha – mas não conseguiu dizer como os invasores entraram ou confirmaram quantos usuários foram afetados.

7 – Sistemas de pagamento Heartland

Data: março de 2008 | Impacto: 134 milhões de cartões de crédito expostos

Na época da violação, a Heartland processava 100 milhões de transações com cartão de pagamento por mês para 175 mil comerciantes – principalmente pequenos e médios varejistas.

A violação foi descoberta em janeiro de 2009, quando a Visa e a MasterCard notificaram a Heartland de transações suspeitas das contas processadas. Devido à violação, o PCI (Payment Card Industry) considerou Heartland fora de conformidade com o DSS (Data Security Standard) e não permitiu processar pagamentos dos principais fornecedores de cartões de crédito até maio de 2009.

A empresa também pagou US$ 145 milhões em compensação por pagamentos fraudulentos.

8 – LinkedIn

Data: 2012 (e 2016) | Impacto: 165 milhões de contas de usuário

Principal rede social de profissionais de negócios, o LinkedIn, em 2012, anunciou que 6,5 milhões de senhas não associadas foram roubadas e postadas em um fórum de hackers russos.

No entanto, só em 2016 que toda a extensão do incidente foi revelada. O mesmo hacker que vendia os dados do MySpace estava oferecendo os endereços de e-mail e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins (cerca de US$ 2.000 na época).

O LinkedIn reconheceu que havia sido informado da violação e disse que havia redefinido as senhas das contas afetadas.

9 – Marriott International

Data: Entre 2014- e 2018 | Impacto: 500 milhões de clientes

O Marriott International anunciou em novembro de 2018 que haviam sido roubado dados de aproximadamente 500 milhões de clientes. A violação ocorreu inicialmente em sistemas que suportam as marcas de hotéis Starwood a partir de 2014. Os atacantes permaneceram no sistema depois que a Marriott adquiriu a Starwood em 2016 e não foram descobertos até setembro de 2018.

Os invasores conseguiram reunir algumas informações de contato, número do passaporte, informações de viagens e outras informações pessoais. Acredita-se que os números dos cartões de crédito e as datas de vencimento de mais de 100 milhões de clientes tenham sido roubados, mas a Marriott não tem certeza se os hackers conseguiram descriptografar os números dos cartões de crédito.

10 – My Fitness Pal

Data: fevereiro de 2018 | Impacto: 150 milhões de contas de usuário

Além do Dubsmash, o aplicativo de fitness pertencente à UnderArmor, MyFitnessPal, estava entre o imenso despejo de informações de 16 sites comprometidos que tiveram cerca de 617 milhões de contas de clientes vazadas e oferecidas para venda no Dream Market.

Em fevereiro de 2018, os nomes de usuário, endereços de email, endereços IP e senhas de cerca de 150 milhões de clientes foram roubados e colocados à venda um ano depois, ao mesmo tempo que Dubsmash et al.

O MyFitnessPal reconheceu a violação e exigiu que os clientes alterassem suas senhas, mas não compartilhou quantas contas foram afetadas ou como os invasores obtiveram acesso aos dados.

11 – MySpace

Data: 2013 | Impacto: 360 milhões de contas de usuário

Embora tivesse deixado de ser a potência que era antes, o site de mídia social MySpace chegou às manchetes em 2016, depois que 360 milhões de contas de usuários foram vazadas para o LeakedSource (um banco de dados pesquisável de contas roubadas) e colocado à venda na dark web.

De acordo com a empresa, os dados perdidos incluíam endereços de email, senhas e nomes de usuários para “uma parte das contas criadas antes de 11 de junho de 2013, na antiga plataforma do Myspace”.

12 – NetEase

Data: outubro de 2015 | Impacto: 235 milhões de contas de usuário

O NetEase é um provedor de serviços de e-mail. Foi relatado que os endereços de e-mail e senhas em texto sem formatação de cerca de 235 milhões de contas dos clientes da NetEase estavam sendo vendidos por um fornecedor de mercado da dark web.

O mesmo fornecedor também estava vendendo informações obtidas de outros gigantes chineses, como QQ.com da Tencent, Sina Corporation e Sohu, Inc. A NetEase negou qualquer violação.

13 – Sina Weibo

Data: março 2020 | Impacto: 538 milhões de contas

Com mais de 500 milhões de usuários, Sina Weibo é a resposta da China para o Twitter. No entanto, em março de 2020, foi relatado que os nomes reais, nomes de usuários do site, sexo, localização e – para 172 milhões de usuários – números de telefone foram postados para venda nos mercados da dark web. As senhas não foram incluídas, o que pode indicar porque os dados estavam disponíveis por apenas ¥ 1.799 (US $ 250).

14 – Yahoo

Data: Entre 2013 e 2014 | Impacto: 3 bilhões de contas de usuário

O Yahoo anunciou em setembro de 2016 que em 2014 havia sido vítima do que seria a maior violação de dados da história. Os ladrões comprometeram os nomes reais, endereços de email, datas de nascimento e números de telefone de 500 milhões de usuários.

Então, em dezembro de 2016, o Yahoo divulgou outra violação a partir de 2013 por um invasor diferente que comprometia os nomes, datas de nascimento, endereços de email e senhas de 1 bilhão de contas de usuários. O Yahoo revisou essa estimativa em outubro de 2017 para incluir todas as suas 3 bilhões de contas de usuário.

15 – Zynga

Data: setembro de 2019 | Impacto: 218 milhões de contas de usuário

O criador de Farmville, Zynga foi alvo em setembro de 2019 de um hacker que alegou ter invadido o banco de dados da Zynga de jogadores do Draw Something and Words with Friends e ganho acesso às 218 milhões de contas registradas lá.

A Zynga confirmou mais tarde que endereços de e-mail, números de telefone e identificações de usuário para contas do Facebook e da Zynga foram roubadas.