Les violations de données sont dévastatrices pour les organisations. Elles perdent de l’argent en raison des litiges, de la réponse aux incidents, des violations de la conformité et de la perte de confiance des clients. L’atteinte à la marque peut coûter des millions en perte de revenus, et les litiges peuvent durer des années.
La vague de violations de données de grande ampleur a commencé avec Target en 2013, et des données massives continuent d’être volées chaque année alors que de plus en plus d’organisations apprennent l’importance de la cybersécurité et de la protection des données.
Des violations de données du 21e siècle lors desquelles des milliards de dossiers ont été volés
Equifax – 147,9 millions de consommateurs affectés
Juillet 2017
Comme la société Equifax gère les évaluations et les rapports de crédit des consommateurs, il n’est donc pas surprenant que cette violation de données ait entraîné une perte massive de données financières.
Les attaquants ont pu exploiter un logiciel serveur obsolète présentant des vulnérabilités connues en matière de cybersécurité. Les développeurs du logiciel du serveur ont publié une mise à jour plusieurs semaines avant la compromission, mais les administrateurs du serveur d’Equifax ont été négligents.
Equifax a également été accusée d’avoir été lente à signaler la violation, ce qui a déclenché un changement de politique qui oblige désormais les organisations à signaler une violation de données dans un délai déterminé.
LinkedIn — 165 millions de comptes d’utilisateurs touchés
2012-2016
LinkedIn est la plaque tournante de toutes les informations orientées vers la carrière et les connexions professionnelles. Toute personne sur le marché du travail a intérêt à conserver un profil LinkedIn, ce qui fait de cette plate-forme une cible idéale pour les attaquants en quête d’informations personnelles.
LinkedIn est une cible majeure pour les attaquants utilisant l’ingénierie sociale contre une organisation. Un pirate utilise ce réseau social pour effectuer une reconnaissance et trouver des organigrammes contenant les noms et les coordonnées des employés de haut niveau.
Un attaquant a pénétré sur le site Web et a volé des millions de mots de passe SHA-1. SHA-1 est cryptographiquement peu sûr, ce qui rend les mots de passe volés vulnérables aux attaques par force brute. Les mots de passe étaient disponibles à la vente sur des forums de pirates pour 2000 $ en bitcoins.
Si un attaquant réussit à forcer les mots de passe des utilisateurs, il est possible qu’il puisse avoir accès à d’autres comptes d’utilisateurs avec le même mot de passe sur d’autres sites Internet.
Yahoo — 3 milliards de comptes d’utilisateurs touchés
2013-2014
À ce jour, la violation des données de Yahoo a entraîné la plus grande perte de données, et la marque a été largement critiquée pour l’avoir caché pendant des années.
Yahoo stocke les coordonnées, notamment la date de naissance et les numéros de téléphone de millions d’utilisateurs, et un attaquant a pu exploiter son système de messagerie pour voler des informations sur 500 millions d’utilisateurs.
En 2016, Yahoo a révélé une violation de données de 2013 où un attaquant a volé 1 milliard d’enregistrements, mais l’entreprise a ensuite modifié le nombre d’enregistrements à 3 milliards.
Au moment de l’annonce, Yahoo était en négociations avec Verizon pour vendre son activité principale. Parce que Yahoo a omis de divulguer la violation de données initiale, l’entreprise a été contrainte de réduire son prix de rachat de 350 millions de dollars.
Lire le guide : Guide de prévention des violations de données — Comment les entreprises se font-elles pirater ?
Sina Weibo — 538 millions de comptes utilisateurs affectés
Mars 2020
Sina Weibo est la version chinoise de Twitter, et a donc été la cible des attaquants pour les noms réels des utilisateurs, leurs informations démographiques, leur localisation et leurs numéros de téléphone.
La Chine a des lois différentes de celles de l’Union européenne et des États-Unis en matière de confidentialité et de réglementation des données. On ignore donc les conséquences auxquelles Sina Weibo a dû faire face par la suite.
Les numéros de téléphone volés lors de la violation de données ont été mis en vente sur le darknet, mais les mots de passe n’étaient pas disponibles en ligne après la violation.
La violation a utilisé une faille logique dans l’API de Sina Weibo qui a permis à un attaquant de croiser les contacts avec le carnet d’adresses disponible via le point de terminaison de l’API.
MySpace — 360 millions de comptes d’utilisateurs touchés
2013
Bien que MySpace ait perdu depuis longtemps sa popularité, l’application web est toujours disponible et contient des informations de contact, notamment des adresses électroniques, des mots de passe et des noms d’utilisateur MySpace.
Les données volées étaient stockées sur l’ancienne plateforme MySpace, seuls les comptes créés avant juin 2013 ont été donc affectés. Les comptes plus anciens utilisaient l’algorithme de hachage SHA-1, qui n’est pas sûr sur le plan cryptographique.
Toute valeur hachée utilisant SHA-1 est vulnérable aux attaques par force brute, de sorte que les hachages MySpace volés pourraient révéler le mot de passe de l’utilisateur ciblé. Si l’utilisateur utilise le même mot de passe sur plusieurs sites, ses autres comptes sont également susceptibles d’être compromis.
Marriott International — 500 millions de clients touchés
2014-2018
Il faut un certain temps pour que les administrateurs découvrent une violation, mais pour Marriott International, la violation de données a duré quatre ans avant qu’elle ne soit découverte. En fait, la compromission a eu lieu en 2014, mais elle n’a été découverte qu’en 2018.
Les attaquants ont pu voler des informations de mot de passe et des données de contact pour les clients de voyage. 100 millions de numéros de cartes de crédit utilisées pour payer les chambres d’hôtel ont également été volés. On pense que les attaquants étaient parrainés par l’État chinois pour recueillir des informations de renseignement sur les citoyens américains.
Combler le fossé des violations de données en 2021
L’écart entre les systèmes sécurisés et l’activité cybercriminelle doit être comblé pour éviter les violations de données en 2021. Des recherches menées par un consortium composé de Google, PayPal, Samsung et de l’université d’État de l’Arizona fournissent quelques renseignements sur la manière d’atténuer les campagnes de phishing.
Les résultats des recherches exposent plusieurs mécanismes efficaces pour prévenir les attaques de phishing qui se terminent par le vol de données. Il s’agit notamment de l’utilisation d’avertissements basés sur le navigateur qui peuvent réduire à 71,51 % le nombre de réussites de phishing dans l’heure qui suit la détection.
Les chercheurs concluent toutefois que l’utilisation d’une atténuation proactive et d’un écosystème anti-phishing étendu est le meilleur moyen de faire face à des campagnes sophistiquées et complexes de vol de données.
En 2021, nous devons nous attendre à ce que les violations de données continuent d’être la nourriture qui alimente la cybercriminalité. Toutefois, grâce à certaines mesures d’atténuation axées sur la réduction de la probabilité du phishing, les entreprises peuvent faire des percées dans un système complexe d’attaques.
Protégez votre organisation en 2021 contre les violations de données en utilisant une solution de sécurité de messagerie telle que SpamTitan. Commencez un essai gratuit et découvrez comment SpamTitan peut protéger votre organisation et vos clients. Commencez l’essai gratuit dès aujourd’hui.