Chaque année, vous confiez vos données à des entreprises. Vous leur faites confiance pour le protéger, le garder hors des mains des cybercriminels et prendre les mesures adéquates pour vous assurer que vos données personnelles ne sont pas accessibles à un criminel indépendant disposant d'un portefeuille crypto. Et certaines de ces entreprises échouent, ce qui entraîne la vente des détails des clients sur le dark web, voire sur le web ouvert.
Cette année n'a pas été différente des années précédentes - seuls les noms et les détails des pires contrevenants ont changé. Ce sont les plus grandes violations de données de 2022, basées non seulement sur la quantité de données divulguées, mais aussi sur le type d'informations volées.
1. Neopets: juillet 2022
Neopets est une plate-forme virtuelle pour animaux de compagnie avec des centaines de millions d'utilisateurs et avec deux types différents de monnaie virtuelle. Semblables aux Tamagotchis d'autrefois, les utilisateurs de Neopets doivent se connecter régulièrement pour nourrir et prendre soin de leurs charges virtuelles, de peur qu'ils ne tombent malades et ne meurent. Neopets est modérément controversé en ce sens qu'il gagne de l'argent via une publicité immersive destinée aux enfants et que l'une de ses devises peut être achetée contre de l'argent réel.
En juillet, un porte-parole de Neopets a annoncé sur Twitter que "les données des clients peuvent avoir été volées". Il est apparu plus tard qu'environ 69 millions de comptes Neopets pourraient avoir été compromis. Les données volées, y compris les noms d'utilisateur, les e-mails et les mots de passe, les dates de naissance, les pays, les codes postaux et les sexes ont été mis en vente avec un accès en direct à la base de données, où les intrus pourraient modifier les statistiques, les animaux de compagnie et le jeu crédits. Le tout pour un maigre quatre Bitcoins (environ 65 000 $ en argent d'aujourd'hui).
L'incident de 2022 n'est que le dernier d'une série d'embarras de sécurité flagrants de Neopets remontant à 2014.
2. Kiwi Farms: septembre 2022
Loin d'être une entreprise agricole de grosses baies comestibles, Kiwi Farms est un forum communautaire connu comme un refuge de vitriol et de haine, où les utilisateurs sont libres d'organiser la pêche à la traîne, le harcèlement et le harcèlement. Créé à l'origine pour harceler un artiste en particulier, Kiwi Farms compte 16 000 connexions actives par jour et a été lié à plusieurs suicides.
Le 19 septembre, le fondateur de Kiwi Farms, Joshua Moon écrit:
Le forum a été piraté. Vous devez supposer ce qui suit.
Supposons que votre mot de passe pour les Kiwi Farms a été volé.
Supposons que votre e-mail a été divulgué.
Supposons que toute adresse IP que vous avez utilisée sur votre compte Kiwi Farms au cours du mois dernier a été divulguée.
L'attaque a été possible grâce au utilisation abusive des cookies de session, et a peut-être conduit certains membres du forum à reconsidérer leur relation avec le site toxique.
3. District scolaire unifié de Los Angeles: septembre/octobre 2022
Le groupe de piratage lié à la Russie, Vice Society, était à l'origine de ce piratage de septembre qui a vu un demi-téraoctet de données du district scolaire unifié de Los Angeles détenu contre rançon.
Ni la Vice Society ni le Los Angeles Unified School District n'ont révélé le montant de la rançon, et quand la date limite de paiement du 4 octobre s'est écoulée, la société Vice a jeté l'intégralité des 500 Go sur leur dark web placer.
Les informations comprenaient les détails du passeport, les numéros de sécurité sociale, les formulaires fiscaux, les contrats, les documents juridiques, les rapports financiers, coordonnées bancaires, informations sur la santé, données de test COVID-19, rapports de condamnations antérieures et informations psychologiques sur les étudiants évaluations.
Crypto.com a été piraté par des criminels en janvier, et alors que le nombre d'utilisateurs concernés était relativement faible à 439, les voleurs a réussi à gagner 30 millions de dollars, dont 4 836,26 Etherium, 443,93 Bitcoin et 66 200 $ en autres devises.
Cela a marqué le début d'une année très mouvementée pour les investisseurs en crypto, les mois suivants voyant le prix de presque toutes les pièces tombent à travers le sol et l'effondrement de plus d'un échange cryptographique.
Le piratage a peut-être été la meilleure chose qui aurait pu arriver aux investisseurs: s'ils encaissaient leur crypto comme une fois remboursés par crypto.com, les détenteurs de pièces concernés gagneraient désormais 16,3 millions de dollars collectivement désactivé.
5. Uber: septembre 2022
Uber fait à peine cette liste pour l'attaque de septembre 2022, dans laquelle un pirate informatique de 18 ans a rejoint Slack interne de l'entreprise, et a envoyé un message à tous les employés, annonçant qu'il avait subi un problème de données enfreindre. Les rapports de l'époque indiquaient que l'intrus était probablement en mesure d'accéder et de modifier les services cloud d'Uber, ainsi que le courrier, le stockage dans le cloud et les référentiels de code.
Mais la plus grande nouvelle pour Uber en 2022 est que la société omniprésente de covoiturage a finalement admis qu'elle avait été piratée depuis 2016, avec 57 millions d'utilisateurs touchés. L'ancien responsable de la sécurité d'Uber, Joe Sullivan, doit être jugé pour cette infraction.
(Dés)Mentions honorables: SuperVPN, GeckoVPN et ChatVPN
SuperVPN, GeckoVPN et ChatVPN ont en fait été violés en 2021, révélant une sélection de noms complets, noms d'utilisateur, pays, détails de facturation, adresses e-mail, chaînes de mot de passe générées aléatoirement, etc. parmi environ 21 millions utilisateurs. Comme les utilisateurs de VPN utilisent généralement des applications VPN pour dissimuler leur présence, leur identité et leur emplacement en ligne, la perte de données est particulièrement inquiétante.
Les données ont été mises en vente sur le dark web depuis 2021, mais elles ont été déversées gratuitement dans de nombreux groupes Telegram en mai 2022.
Protégez-vous des violations de données en 2023
Bien sûr, les entreprises ne peuvent pas divulguer accidentellement vos données ou les laisser vulnérables à des piratages malveillants si elles ne les ont pas pour commencer, et vous devez veiller à en divulguer le moins possible.
- Si vous êtes préoccupé par votre vie privée ou si vous souhaitez masquer vos activités en ligne, vous devez utiliser une société VPN réputée.
- Utiliser alias de messagerie afin que les entreprises et les organisations n'aient pas accès à une adresse pouvant être utilisée à d'autres fins. S'ils finissent par subir une violation de données, cela n'aura pas tellement d'importance pour vous.
- Vous pouvez utiliser des cartes de crédit virtuelles pour effectuer des achats ponctuels. Si le numéro de carte est divulgué, les fraudeurs ne peuvent pas l'utiliser pour vider vos comptes.
- Générez des mots de passe différents et difficiles à déchiffrer pour chaque site et service que vous utilisez. Si vous avez du mal à vous en souvenir, utilisez un gestionnaire de mots de passe tel que Bitwarden. Un fork de ce projet, Vaultwarden, peut même être auto-hébergé sur un Raspberry Pi.
Les pirates vont pirater
La perte de vos informations d'identification de compte, de votre argent ou de vos données personnelles en raison de procédures de sécurité inadéquates d'une entreprise est l'un des coûts potentiels de la conduite des affaires dans la troisième décennie du 21e siècle. Essayez d'utiliser des cartes de crédit virtuelles et des alias de messagerie lorsque vous le pouvez.
Il n'y a pas que les entreprises qui se font pirater. Les criminels ciblent également les individus, et vous devez vous assurer que vos appareils personnels sont aussi sécurisés que possible.