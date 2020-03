Listan utgår från de incidenter där data om flest antal människor konstaterats ha läckts. Annars har det funnits incidenter där data om många fler människor varit exponerade, men där man inte kunnat konstatera att data faktiskt läckt ut. Twitter, till exempel, lämnade lösenorden för sina 330 miljoner användare omaskerade i en logg, men det fanns inga bevis för något missbruk. Alltså har vi inte tagit med twitter-incidenten i denna lista.

Nedan följer de 14 värsta dataläckorna i bokstavsordning.

Adobe

När: Oktober 2013

Antal personuppgifter: 153 miljoner

Detaljer: I början av oktober 2013 rapporterade säkerhetsbloggaren Brian Krebs att Adobe tidigare samma år anmält att hackare hade stulit nästan 3 miljoner krypterade kreditkortsnummer, plus inloggningsdata för ett obestämt antal användarkonton.

Senare samma månad höjde Adobe siffran till att inkludera användaridentiteter och krypterade lösenord för 38 miljoner ”aktiva användare”. Krebs rapporterade att en fil som publicerats bara några dagar tidigare ”verkar innehålla mer än 150 miljoner användarnamn och hashade lösenordspar stulna från Adobe”.

Adult Friend Finder

Datum: Oktober 2016

Antal personuppgifter: 412 miljoner

Detaljer: På grund av verksamhetens art blev förstås dataläckan från Adult Friend Finder extra känslig för användarna. FriendFinder Network hackades i mitten av oktober 2016. Den stulna informationen sträckte sig över 20 år från sex olika databaser, och inkluderade namn, e-postadresser och lösenord. Lösenorden var hashade med SHA-1, men det är också en relativt svag algoritm. Bara cirka en månad senare hade 99 procent av lösenorden blivit knäckta enligt en analys från LeakedSource.com.

Canva

Datum: Maj 2019

Antal personuppgifter: 137 miljoner

Detaljer: I maj 2019 fick Canva, den australiska webbtjänsten för grafiska designverktyg, påhälsning av hackare som stal e-postadresser, användarnamn, namn, adress och lösenord – de senare dock hashade och saltade med bcrypt för de 61 miljoner användare som inte använder federerade ”sociala” inloggningar, av sammanlagt 137 miljoner användare. Canva påstår att hackarna kunde se, men inte stjäla filer med partiella kreditkorts- och betalningsuppgifter.

De misstänkta förövarna – kända som Gnosticplayers – kontaktade media för att skryta över händelsen och sa att Canva upptäckt deras attack och stängt ned tjänsten. Angriparna påstod också att ha fått OAuth-tokens för användare som loggat in via Google.

eBay

Datum: Maj 2014

Antal personuppgifter: 145 miljoner

Detaljer: Ebay rapporterade i maj 2014 att en attack läckt hela kontolistan med 145 miljoner användare, inklusive namn, adresser, födelsedatum och krypterade lösenord. Enligt ett uttalande från företaget hade hackare använt stulna inloggningsuppgifter från tre anställda på Ebay för att komma åt företagets nätverk, och hade fullständig åtkomst i 229 dagar – mer än tillräckligt med tid för att hacka användardatabasen.

Som en direkt åtgärd bad Ebay kunderna byta lösenord. Ekonomisk information, till exempel kreditkortsnummer, lagrades separat och läckte inte ut. Företaget kritiserades för bristen på kommunikation med sina användare och dåligt genomförande av processen att byta lösenord.

Equifax

Datum: 29 juli 2017

Antal personuppgifter: 148 miljoner

Detaljer: Detta är kanske det mest famösa hacket under senare år. Equifax, en av de största kreditupplysningsföretagen i USA, meddelade den 7 september 2017 att en sårbarhet i en applikation på en av deras webbplatser ledde till ett dataintrång som utsatte cirka 147,9 miljoner konsumenter för stöld av deras personuppgifter.

Intrånget upptäcktes den 29 juli samma år, men företaget sade att intrånget troligtvis började i mitten av maj. Intrånget innebar att personuppgifter (inklusive personnummer, födelsedatum, adresser och i vissa fall körkortsnummer) för 143 miljoner konsumenter hamnade i hackarnas händer. 209 000 personer fick också sina kreditkortsuppgifter stulna.

Equifax fick ta emot mycket kritik för hacket. Sårbarheten i mjukvaran som ledde till intrången hade inte patchas trots att en fix fanns att tillgå sedan länge, och bristande segmentering av de interna system ledde till att hackarna enkelt kunde röra sig ”i sidled”. Equifax var också sena i sin rapportering.

Dubsmash

Datum: December 2018

Antal personuppgifter: 162 miljoner

Detaljer: New York-baserade video-meddelandetjänsten Dubsmash blev utsatta för ett dataintrång som resulterade i att e-postadresser, användarnamn, hashade lösenord och andra personuppgifter som födelsedatum tillhörande 162 miljoner användare blev stulna. Ett år senare var personuppgifterna ute till försäljning på den svarta marknaden som en del av ett paket med användaruppgifter från flera andra hack.

Dubsmash erkände att intrång och försäljning av information hade inträffat, gav rådet till användarna att byta lösenord, men kunde inte säga hur angriparna kommit in i systemet.

Heartland Payment Systems

Datum: Mars 2008

Antal personuppgifter: 134 miljoner

Detaljer: Vid tiden för intrånget hanterade Heartland över 100 miljoner korttransaktioner per månad åt cirka 175 000 företag – mestadels små till medelstora företag inom detaljhandeln. Intrånget upptäcktes i januari 2009 då Visa och MasterCard meddelade Heartland om misstänkta transaktioner från konton som Heartland hade hanterat. Angriparna utnyttjade en känd sårbarhet för att utföra en SQL-injection-attack. Säkerhetsanalytiker hade varnat för sårbarheten under flera år, och sårbarheten gjorde SQL-injection till den vanligaste attacken mot webbplatser vid den tiden.

På grund av läckan bedömde branschorganisationen Payment Card Industry (PCI) att Heartland inte klarade deras Data Security Standard (DSS) och tillät inte Heartland att hantera betalningar förrän i maj 2009. Heartland fick också betala uppskattningsvis 145 miljoner dollar i kompensation för bedrägliga betalningar.

Heartland-fallet var ett sällsynt exempel där myndigheterna faktiskt lyckades gripa en misstänkt förövare. En federal jury åtalade Albert Gonzalez och två namngivna ryska personer 2009. Gonzalez påstods ha styrt en internationell operationen med syfte att stjäla kredit- och betalkort. Han dömdes i mars 2010 till 20 år i fängelse.

Linkedin

Datum: 2012 (och 2016)

Antal personuppgifter: 165 miljoner användarkonton

Detaljer: Linkedin behöver knappast en närmare presentation. Det stora sociala nätverket har framför allt blivit ett verktyg för social manipulation. Men Linkedin har också blivit utsatta för intrång och läckande användardata.

Under 2012 tillkännagav företaget att 6,5 miljoner icke-associerade lösenord (osaltade SHA-1-hashar) stulits av angripare och publicerats på ett ryskt hackerforum. Det var emellertid först under 2016 som incidentens omfattning avslöjades i sin helhet. Samma hackare som sålde MySpace-data visade sig erbjuda e-postadresser och lösenord från cirka 165 miljoner Linkedin-användare för bara 5 bitcoins (vid den tiden cirka cirka 2 000 dollar). LinkedIn erkände då att företaget kände till intrånget och att man hade återställt lösenorden för de berörda kontona.

Marriott International

Datum: 2014-2018

Antal personuppgifter: 500 miljoner

Detaljer: Hotellkedjan Marriott International meddelade i november 2018 att hackare hade stulit personuppgifter om cirka 500 miljoner kunder. Intrånget hade ursprungligen skett redan 2014 och då i system tillhörande hotellkedjan Starwood. Angriparna hängde kvar i systemet efter att Marriott förvärvade Starwood 2016 och upptäcktes alltså inte förrän i september 2018.

Angriparna kom över en kombination av kontaktinformation, passnummer, medlemsnummer, reseinformation och annan personlig information. Även kreditkortsnummer för fler än 100 miljoner kunder tros ha blivit stulna, men Marriott är osäker på om angriparna kunde dekryptera kreditkortsnumren. Attacken tillskrevs så småningom en kinesisk underrättelsegrupp som försökte samla in uppgifter om amerikanska medborgare, enligt en artikel i New York Times.

My Fitness Pal

Datum: Februari 2018

Antal personuppgifter: 150 miljoner

Detaljer: I februari 2018 stals användarnamn, e-postadresser, ip-adresser och SHA-1- och bcrypt-hashade lösenord från cirka 150 miljoner kunder till My Fitness Pal. MyFitnessPal var med i den enorma datasamlingen från 16 hackade webbplatser där cirka 617 miljoner läckta kundkonton erbjöds till försäljning på den svarta marknads-sajten Dream Market.

MyFitnessPal medgav att de blivit hackade och krävde att kunderna skulle ändra sina lösenord, men gick inte ut med hur många konton som påverkades eller hur angriparna fick tillgång till uppgifterna.

MySpace

Datum: 2013

Antal personuppgifter: 360 miljoner

Detaljer: Även om MySpace sett sina bästa dagar som socialt medium när incidenten inträffade så skapade hacket mot MySpace ändå en del rubriker under 2016 efter att 360 miljoner användarkonton hade läckt ut på både LeakedSource (en sökbar databas med stulna konton) och lagts ut för försäljning på darkweb-sajten Real Deal, med ett begärt pris på 6 bitcoin (cirka 3 000 dollar vid den tiden).

Enligt företaget stals data som e-postadresser, lösenord och användarnamn för ”en del av de konton som skapades före 11 juni 2013 på den gamla Myspace-plattformen”. Enligt Troy Hunt, skaparen av HaveIBeenPwned, lagrades lösenorden som SHA-1-hashar för de första tio tecknen i lösenordet konverterat till små bokstäver.

NetEase

Datum: Oktober 2015

Antal personuppgifter: 235 miljoner

Detaljer: NetEase är en kinesisk leverantör av digitala brevlådestjänster. I oktober 2015 rapporterades det att e-postadresser och lösenord i klartext från cirka 235 miljoner konton på NetEase var uppe till försäljning på den ”mörka” webbplatsen DoubleFlag.

NetEase har enligt uppgift förnekat att ett intrång har skett. HaveIBeenPwned listar detta intrång som "icke verifierat."

Yahoo

Datum: 2013-2014

Antal personuppgifter: 3 miljarder

Detaljer: Yahoo tillkännagav i september 2016 att de redan 2014 hade de blivit utsatta för vad som skulle komma att bli det största dataintrånget i historien. Angriparna, som företaget ansåg vara ”statssponsrade aktörer” kom över personnamn, e-postadresser, födelsedatum och telefonnummer tillhörande 500 miljoner användare. Yahoo hävdade att de flesta av de komprometterade lösenorden var hashade.

Sedan, i december samma år, tillkännagav Yahoo ytterligare ett intrång från 2013 som utförts av en annan angripare. Även då kom angriparna över namn, födelsedatum, e-postadresser och lösenord, men tillhörande en miljard användarkonton. Yahoo reviderade till slut denna uppskattning i oktober 2017 till att inkludera alla sina 3 miljarder användarkonton.

Yahoo var vid denna illa valda tidpunkt på väg att köpas upp av Verizon. Det har senare uppskattats att Verizon drog av 350 miljoner dollar från Yahoos värde på grund av intrången.

Zynga

Datum: September 2019

Antal personuppgifter: 218 miljoner

Detaljer: Farmville-skaparen Zynga är fortfarande en av de största spelarna på mobilspelsmarknaden, med miljontals spelare världen över.

I september 2019 hävdade den pakistanske hackaren Gnosticplayers (se även Canva ovan) att hen hackat sig in i Zyngas databas med Draw Something- and Words with Friends-spelare och fått tillgång till 218 miljoner konton. Zynga bekräftade senare att e-postadresser, saltade SHA-1-hashade lösenord, telefonnummer och användarnamn för både Facebook- och Zynga-konton blivit stulna.

Läs också: Kinesisk hackargrupp skalar upp attacker under coronatider