A CSO Online szakemberei toplistát készítettek az új évezred legnagyobb szabású adatszivárgásairól. Ebben nem csupán a mennyiségi szempontokat (mondjuk az érintett adatrekordok számát) vették figyelembe, bár nyilván ez is fontos tényező. Még fontosabb azonban, hogy az incidensek következtében mekkora károkat szenvedtek a felhasználói fiókok tulajdonosai, az érintett cégek vagy a biztosítók. A volumenében jelentős adatlopások ugyanis nem mindig okoznak arányosan nagy veszteséget – az erős titkostással védett jelszavak és más informciók elvesztésekor például egy jelszó-visszaállítás általában kiküszöböli a kockázatok jelentős részét.

Fél-, egy-, illetve hárommilliárd

Az első helyen minden szempontból a Yahoo egyre terebélyesedő adatlopási ügye áll. A cég egy évvel ezelőtt jelentette be, hogy még 2014-ben félmilliárd felhasználójának nevét, email-címét, születési adatait és telefonszámát szerezte meg a minden bizonnyal állami megbízásból dolgozó támadók, de az érintett jelszaval legnagyobb részét a robusztus bcrypt hash algoritmus védte. A félmilliárdos számot nem sokkal később egymilliárdra módosították, hozzátéve, hogy a biztonsági kérdés-válasz megldás is kompromittálódott.

Az egymilliárd felhasználóból néhány nappal ezelőtt 3 milliárd lett, ami ennél feljebb valószínűleg már nem fog menni, mivel ez a mennyiség azt jelenti, hogy gyakorlatilag a Yahoo által akkoriban kiszolgált összes fiók adatait ellopták. Az eddig számszerűsíthető anyagi károkról annyit, hogy a Yahoo amerikai internetes üzletét időközben felvásárló Verizon 350 millió dollárral kevesebbet fizetett az eredetileg 4,8 milliárdos vételárhoz képest, vállalva az adatlopási ügy szabályozói és jogi következményeinek megosztását.

A dotkom lufi csúcspontján 240 milliárd dolláros cégértéket jegyző Yahoo maradéka azóta Altaba néven működik.

Közben az FFN és az eBay is elesett

A lista második helyére a FriendFinder Network oldalai futottak be. Az Adult Friend Finder szexpartner-keresőről és öt másik adatbázisból tavaly októberben több mint 400 millió felhasználó adatait és 20 évre visszamenő felhasználói törtnetét szerezték meg a hackerek, akik a kereséseket és lekérdezéseket végző szerverek egyik moduljában felfedezett sérülékenységet használták ki. A jelszavak többségét a gyengének tartott SHA-1algoritmus hash-elte, így nem csoda, hogy az incidens érdemi elemzésének nyilvánosságra kerülésekor 99 százalékukat már fel is törték.

A harmadik nem más, mint az eBay lett, miután a támadók 2014 májusáig az aukciós rendszer legalább 145 millió felhasználójának adataihoz fértek hozzá. Ebben az esetben nem informatikai sérülékenységekről volt szó, hanem az eBay saját alkalmazottainak hozzáféréseit lopták el, amelyeket több mint fél éven keresztül használtak észrevétlenül. Az oldal az érzékeny pénzügyi adatokat, mint a bankkártyaszámokat, egy másik adatbázisban tárolta, így azokhoz a bűnözők nem fértek hozzá.

Az eBay sokak szerint elégtelenül kommunikált ügyfeleivel, akiket egyébként felkért a jelszavak megváltoztatására, de még ezt a procedúrát is gyengén implementálta. A fiaskó állítólag csak az eBay felhasználóinak aktivitását vetette vissza, a társaság aktuális negyedéves pénzügyi eredményei viszont simán hozták az előzetes elemzői várakozásokat.

Lejjebb is röpködnek a százmilliók

A CSO Online rangorában az Equifax hitelbíráló csak a negyedik helyre futott be, pedig idén nyáron 143 millió ügyfél adatait veszítette el, közülük több mint 200 ezret a hitelkártya-információval együtt. A Heartland Payment Systems rendszereire egy SQL injection technikával telepített kémprogram 134 millió kártya adatait csente el 2008-ban. Ez a vállalatnak közvetlenül, kompenzációk formájában 145 millió dollárjába került, nem beszélve arról, hogy hónapokra fel kellett függesztenie a nagy fizetési szolgáltatók tranzakcióinak feldolgozását.

A Target Corporation 2013-ban az első hírek szerint 40 millió, utóbb azonban 110 millió ügyfél kártyaadatainak és/vagy elérhetőségeinek kiszivárgását jelentette harmadik fél által üzemeltetett POS kártyaolvasókon keresztül. Az USA második legnagyobb kiskereskedelmi hálózata nemrég 162 millió dollárra értékelte az incidens nyomán elkönyvelt károkat, ami egyébként a társaság CIO-jának állásába került.

A listán ezután 100 millió felhasználónál kevesebb, de még mindig hatalmas tömegeket érintő adatlopási ügyek szerepelnek, köztük az Egyesült államok legnagyobb bankjával és kormnyhivatalaival, a Sony PlayStation Network hálózatával vagy éppen a katonai fejlesztéssű, ipari létesítményeket támadó Stuxnet vírussal.

A vállalati biztonsággal foglalkozó oldal egy másik cikke mindezzel kapcsolatban megállapítja, hogy az üzleti szereplők sok esetben rosszul mérik fel az őket fenyegető veszélyeket – más szóval, rosszul mérik fel, hogy milyen fenyegetések jelentik számukra a legnagyobb kockázatokat. Ezek a faktorok a CSO Online szerint a legtöbb esetben azonosak, és jól meghatározott csatornákon keresztül érvényesülnek. Ilyenek a megtévesztő kártevők (socially engineered malware), amelyek látszólag ártalmatlan, de valójában adathalászatra vagy más, kártékony kódok elhelyezésére tervezett programok; maguk a jelszó-adathalász akciók; a nem megfelelően frissített szoftverek; a közösségimédia-szolgáltatásokon keresztül indított hackelések; végül pedig a folyamatos fenyegetést jelentő támadások (advanced persistent threats).

A lap arra figyelmeztet, hogy az üzletek többsége rengeteg erőforrást pazarol el, amikor a téves vagy kevésbé valószínű szcenáriókra koncentrál. Ennek alapján a vállalati környezet felépítésének és sebezhetőségeinek megfelelő (értsd: nem olcsó) fenyegetettségi elemzését javasolja, ami biztosítja, hogy a szervezet jól meghatározott és életszerű forgatókönyvekre készülhet fel.