ΚΟΣΜΟΣ

Οι 10 υποθέσεις παραβίασης προσωπικών δεδομένων που συγκλόνισαν τον κόσμο

Οι 10 υποθέσεις παραβίασης προσωπικών δεδομένων που συγκλόνισαν τον κόσμο
EPA/ANDY RAIN

Το σκάνδαλο Cambridge Analytica πυροδότησε για ακόμη μια φορά το ντιμπέιτ για τα προσωπικά δεδομένα, μια συζήτηση που επανέρχεται στο προσκήνιο κάθε φορά που δημοσιοποιείται μια αντίστοιχη υπόθεση ή όποτε χάκερ καταφέρνουν να παρεισφρήσουν στα συστήματα μεγάλων εταιρειών, τραπεζών ή κολοσσών τεχνολογίας.

Και παρότι ο νέος κανονισμός για την προστασία των προσωπικών δεδομένων των Ευρωπαίων πολιτών, o GDPR, δεν μπορεί να αποτρέψει μια επίθεση «αετονύχηδων», μπορεί, ωστόσο, να βάλει… φρένο στις ασύδοτες πρακτικές συγκέντρωσης δεδομένων και να επιτρέψει στους πολίτες να γνωρίζουν ακριβώς ποια στοιχεία τους έχουν αποθηκευτεί σε βάσεις δεδομένων ανά τον κόσμο.

Τα τελευταία χρόνια έχουν πραγματοποιηθεί εκατομμύρια μικρές και μεγάλες κυβερνοεπιθέσεις ανά τον κόσμο. Υπάρχουν, ωστόσο, ορισμένες που λόγω ιδιαίτερων συνθηκών ή λόγω του όγκου των δεδομένων που εκλάπησαν ή υφαρπάχτηκαν, συγκλόνισαν τον πλανήτη. Οι διαρροές αυτές αποδεικνύουν, παράλληλα, πόσο μεγάλη σημασία έχει η προστασία των προσωπικών δεδομένων…

Cambridge Analytica

Ένα σκάνδαλο μεγατόνων, με «θύματα» δεκάδες εκατομμύρια χρήστες: Η Cambridge Analytica ήταν μία βρετανική εταιρεία που ασχολείται με την ανάλυση δεδομένων. Η εταιρεία συνέλεγε τεράστιους όγκους δεδομένων από διάφορες πηγές – μεταξύ αυτών, δικές του δημοσκοπήσεις, social media και πλατφόρμες όπως το Facebook που, με τη συνδρομή της Συμπεριφορικής Επιστήμης, στήνει το ψυχολογικό προφίλ των χρηστών, προβλέποντας και επηρεάζοντας τις επιλογές τους.

Όπως κατήγγειλε προ μηνών o Κρις Γουάιλι, πρώην εργαζόμενος, η Cambridge Analytica συνέλεξε και επεξεργάστηκε τα δεδομένα 75 εκατομμυρίων χρηστών του Facebook εν αγνοία τους.

Εκμαίευε, χωρίς τη συγκατάθεσή τους, πληροφορίες σχετικά με τους φίλους, τα likes, την κατοικία, τις επιλογές και, στη συνέχεια, βάσει του «ψυχογραφήματος, τους «σφυροκοπούσε» με συγκεκριμένες πολιτικές διαφημίσεις.

Συμμετέχοντας στο φαινομενικά «αθώο» αυτό κουίζ, οι χρήστες δεν «πουλούσαν» εν αγνοία μόνο τα δικά τους δεδομένα αλλά κι εκείνα των διαδικτυακών φίλων τους. Το σκάνδαλο αυτό προκάλεσε «σεισμό» σε ΗΠΑ και Ευρώπη, με τον ιδρυτή του κοινωνικού δικτύου Μαρκ Ζάκερμπεργκ να εμφανίζεται ενώπιον του Κογκρέσου αλλά και του Ευρωπαϊκού Κοινοβουλίου για να δώσει εξηγήσεις…

Yahoo!

Τον Σεπτέμβριο 2016, ο τότε γίγαντας στην παροχή διαδικτυακών υπηρεσιών Yahoo! αποκάλυψε ότι το 2014 υπέστη την μεγαλύτερη παραβίαση δεδομένων χρηστών στην ιστορία, πιθανώς από χάκερ που έχαιρε κυβερνητικής στήριξης.

Στην πρώτη της δήλωση, η εταιρεία ανακοίνωσε ότι η διαδικτυακή αυτή επίθεση επηρέασε 500 εκατομμύρια χρήστες και πως κατά την διάρκειά της εκτέθηκαν ονόματα, email, ημερομηνίες γέννησης και τηλέφωνα.

Παρόλα αυτά, έσπευσε να καθησυχάσεις τους χρήστες ότι η πλειονότητα των κωδικών είχαν προστατευτεί μέσω της χρήσης του αλγόριθμου bcrypt.

Τρείς μήνες αργότερα, η Yahoo! εξέδωσε νέα ανακοίνωση και παραδέχτηκε ότι το 2013 μια άλλη ομάδα χάκερ εξασφάλισε πρόσβαση στα δεδομένα 1 δισ. χρηστών, τα οποία περιλάμβαναν όχι μόνο ονόματα, email, ημερομηνίες γέννησης και κωδικούς πρόσβασης αλλά και ερωτήσεις ασφαλείας των χρηστών με τις αντίστοιχες απαντήσεις.

Τον Οκτώβριο του 2017, η ίδια εταιρεία παραδέχτηκε ότι στην πραγματικότητα κατά την κυβερνοεπίθεση αυτή διέρρευσαν τα δεδομένα 3 δισ. χρηστών της πλατφόρμας.

Κατά την περίοδο της πρώτης αποκάλυψης το 2016, η Yahoo! βρισκόταν εν μέσω διαπραγματεύσεων με την Verizon, η οποία προσπαθούσε να την αγοράσει. Το σκάνδαλο υπολογίζεται ότι μείωσε την αξία της Yahoo! κατά 350 εκατομμύρια δολάρια και, μετά την πώλησή της στην Verizon, η Yahoo! μετονομάστηκε σε Altaba, Inc.

Adult Friend Finder

Τον Οκτώβριο 2016, μία παραβίαση δεδομένων επηρέασε πάνω από 412,2 εκατομμύρια χρήστες το δίκτυο FriendFinder, στο οποίο περιλαμβάνονται ιστοσελίδες για ευκαιριακές σεξουαλικές συνευρέσεις αλλά και πορνογραφικού υλικού, όπως για παράδειγμα το Adult Friend Finder και το Penthouse.com.

Οι χάκερ κατόρθωσαν να συλλέξουν δεδομένα 20 ετών, συμπεριλαμβανομένων ονομάτων, email και κωδικών πρόσβασης, εκμεταλλευόμενοι την αδυναμία τοπικής ενσωμάτωσης αρχείων (Local file inclusion vulnerability) του λογισμικού. Οι περισσότεροι κωδικοί πρόσβασης προστατεύονταν από τον αδύναμο αλγόριθμο SHA-1, κάτι που είχε ως συνέπεια το 99% αυτών να έχουν αποκρυπτογραφηθεί πριν η LeakedSource.com εκδώσει την πλήρη ανάλυση δεδομένων της επίθεσης στα μέσα στου Νοεμβρίου.

Η αδυναμία αποκαλύφθηκε από έναν ερευνητή ο οποίος εμφανίζεται ως χρήστης 1x0123 στο Twitter και με το όνομα Revolver σε άλλους κύκλους, ο οποίος και εξέθεσε την αδυναμία τοπικής ενσωμάτωσης δεδομένων μέσω φωτογραφιών που ανάρτησε.

Μετά την δημοσίευση της παραβίασης, η αντιπρόεδρος της εταιρείας δήλωσε ότι η αδυναμία του συστήματος που επέτρεψε πρόσβαση στον πηγαίο κώδικα εντοπίστηκε και διορθώθηκε.

eBay

Και το eBay, η γνωστή ιστοσελίδα δημοπρασιών, έπεσε θύμα χάκερ τον Μάιο του 2014, με αποτέλεσμα να επηρεαστούν 145 εκατ. χρηστών.

Στην διάρκεια της παραβίασης, χάκερ χρησιμοποίησαν τα πιστοποιητικά στοιχεία τριών υπαλλήλων, τα οποία τους εξασφάλισαν πλήρη πρόσβαση στο σύστημα του eBay για 229 μέρες.

Στη διάρκεια της περιόδου αυτής, προσκόμισαν ονόματα, διευθύνσεις, ημερομηνίες γέννησης και κρυπτογραφημένους κωδικούς πρόσβασης.

To eBay καθησύχασε τους χρήστες ότι οι πληροφορίες πληρωμής των χρηστών φυλάσσονται χωριστά και δεν είχαν εκτεθεί στη διάρκεια της επίθεσης στον κυβερνοχώρο του.

Ωστόσο, προέτρεψε τους χρήστες να αλλάξουν τους κωδικούς τους. Το eBay δέχτηκε, επίσης, σφοδρή κριτική λόγω του ότι δεν είχε μια πιο προληπτικής φύσεως πολιτική ανανέωσης κωδικών για τους χρήστες της.

Παρότι η επίθεση μείωσε λίγο την δραστηριότητα των χρηστών, το eBay δεν υπέστη μόνιμη ζημιά, καθώς το επόμενο τρίμηνο τόσο τα έσοδα όσο και τα κέρδη της εταιρείας αυξήθηκαν όπως είχαν προβλέψει αναλυτές πριν την επίθεση.

Equifax

Η Equifax είναι ένα από τα μεγαλύτερα πιστωτικά γραφεία των ΗΠΑ, που ανακάλυψε τον Ιούλιο του 2017 μία επίθεση στον κυβερνοχώρο της με «θύματα» 147,9 εκατομμυρίων χρηστών.

Στα δεδομένα αυτά περιλαμβάνονταν Αριθμοί Κοινωνικής Ασφάλισης, ημερομηνίες γέννησης, διευθύνσεις και σε κάποιες περιπτώσεις αριθμοί αδειών οδήγησης και στοιχεία πιστωτικών καρτών.

Παρότι η εταιρεία ανακάλυψε την διαρροή δεδομένων τον Ιούλιο, δήλωσε ότι, κατά τις εκτιμήσεις τους, το χτύπημα μπορεί να είχε ξεκινήσει από τα μέσα Μαΐου.

Uber

Στο τέλος του 2016 η εταιρεία ανακάλυψε ότι χάκερ είχαν διαρρήξει το σύστημα ασφαλείας της ηλεκτρονικής πλατφόρμας της και είχαν πρόσβαση στα δεδομένα 57 εκατομμυρίων χρηστών καθώς και 600.000 οδηγών. Στα δεδομένα περιλαμβάνονταν τα ονόματα, email, και τηλέφωνα των χρηστών και οι αριθμοί αδείας των οδηγών.

Η Uber αρχικά απέκρυψε την παραβίαση από τους χρήστες της, απέλυσε τον διευθυντή ασφαλείας της και πλήρωσε τους χάκερ 100.000 δολάρια για να καταστρέψουν τα δεδομένα, χωρίς όμως να έχει τρόπο να διαπιστώσει αν πράγματι καταστράφηκαν.

Δημοσιοποίησε την παραβίαση έναν ολόκληρο χρόνο αργότερα και υπέστη σοβαρό πλήγμα τόσο στη φήμη όσο και στα έσοδά της.

Την περίοδο που αποκαλύφθηκε το σκάνδαλο, η Uber ήταν εν μέσω διαδικασιών να πουλήσει μέρος των μετοχών της στην Softbank. Η αξία της εταιρείας μειώθηκε από 68 σε 48 δισ. δολάρια όταν έκλεισε η συμφωνία και, παρότι υπήρξαν και άλλοι παράγοντες που επηρέασαν την πτώση αυτή στη μετοχή της, ειδικοί θεωρούν ότι το σκάνδαλο αυτό έπαιξε κομβικό ρόλο.

Sony’s PlayStation Network

Τον Απρίλιο του 2011, επίθεση στη Sony εξέθεσε τα δεδομένα 77 εκατομμυρίων λογαριασμών και κόστισε τουλάχιστον 171 εκατομμύρια δολάρια λόγω του γεγονότος ότι η υπηρεσία ήταν ανενεργή για περίοδο ενός μήνα.

Οι 12 από τους 77 εκατομμύρια χρήστες είχαν μη αποκρυπτογραφημένα δεδομένα πιστωτικών καρτών και, ως αποτέλεσμα, οι χάκερ εξασφάλισαν πρόσβαση σε ονοματεπώνυμα, κωδικούς πρόσβασης, email, διευθύνσεις, ιστορικό αγορών, στοιχεία πιστωτικών καρτών καθώς και στοιχεία πρόσβασης στο δίκτυο PlayStation/Qriocity.

To 2014, η Sony δέχτηκε να πληρώσει περί τα 15 εκατομμύρια δολάρια μετά από ομαδική αγωγή σε βάρος της.

Adobe

Ο μπλόγκερ σε θέματα ασφαλείας Μπράιαν Κρεμπς ήταν ο πρώτος που γνωστοποίησε την παραβίαση δεδομένων στο σύστημα της Adobe τον Οκτώβριο του 2013, αλλά χρειάστηκαν εβδομάδες ανάλυσης προκειμένου να διαπιστωθεί η πλήρης κλίμακα της ζημιάς.

Σε αρχική της δήλωση η Adobe εκτίμησε ότι τα θύματα ανέρχονταν στα 3 εκατομμύρια. Παράλληλα, αποκάλυψαν ότι επηρεάστηκε αριθμός χρηστών –άγνωστο ακριβώς πόσοι- τα αποκρυπτογραφημένα στοιχεία πιστωτικών καρτών των οποίων είχαν επίσης εκτεθεί.

Η Adobe διόρθωσε την δήλωσή της τον ίδιο μήνα εκτιμώντας ότι οι χάκερ είχαν πρόσβαση στοιχεία πρόσβασης 38 εκατομμυρίων «ενεργών χρηστών». Ο Κρεμπς όμως δήλωσε ότι το αρχείο που είχε αναρτηθεί μερικές μέρες νωρίτερα περιλάμβανε πάνω από 150 στοιχεία πρόσβασης, τον πηγαίο κώδικα για πολλά από τα προϊόντα της Adobe όπως και τα ονόματα, στοιχεία πρόσβασης και στοιχεία πιστωτικών και χρεωστικών καρτών των χρηστών της Adobe.

Η εταιρεία αναγκάστηκε να πληρώσει 1,1 εκατ. δολάρια σε νομικά έξοδα και άγνωστο ποσό σε αποζημιώσεις χρηστών.

Stuxnet

Το Stuxnet, ένα κακοήθες «σκουλήκι» είχε ως σκοπό του μολύνει υπολογιστές ανά τον κόσμο.

Αν και το «σκουλήκι» αυτό εντοπίστηκε το 2010, ειδικοί υπολογίζουν ότι η εφέυρεσή του χρονολογείται γύρω στο 2005.

Η δημιουργία του θεωρείται ότι έγινε μέσω της συνεργασίας των ΗΠΑ και του Ισραήλ στο πρόγραμμα «Επιχείρηση Ολυμπιακοί Αγώνες» (Operation Olympic Games), η οποία ξεκίνησε υπό την ηγεσία του Προέδρου Τζορτζ Μπους και συνέχισε κατά την διάρκεια της θητείας του Προέδρου Μπαράκ Ομπάμα.

Ο στόχος του Stuxnet ήταν να διακόψει, ή τουλάχιστον να καθυστερήσει την ανάπτυξη του πυρηνικού προγράμματος του Ιράν. Παρότι ο σκοπός του ήταν να στοχοποιήσει αποκλειστικά το πυρηνικό πρόγραμμα του Ισραήλ, το «σκουλήκι» ξέφυγε στο διαδίκτυο λόγω της επιθετικής του φύσης και μόλυνε πληθώρα υπολογιστών εκτός του ιρανικού συστήματος, χωρίς όμως να προκαλέσει ιδιαίτερη ζημιά στους περισσότερους από αυτούς.

Θεωρείται ότι θα τελέσει ως πρότυπο για μελλοντικές απόπειρες με στόχο πραγματικές επιθέσεις όπως για παράδειγμα επιθέσεις σε παροχές νερού ή ηλεκτρικού, καθώς και σε δίκτυα μέσων μαζικής μεταφοράς.

JP Morgan Chase

Τον Ιούλιο του 2014 η επίθεση στα αρχεία της JP Morgan Chase, της μεγαλύτερης τράπεζας των ΗΠΑ, κλόνισε τη χώρα.

Η παραβίαση έπληξε πάνω από 50% των Αμερικάνικων νοικοκυριών (76 εκατομμύρια) καθώς επίσης και 7 εκατομμύρια μικρές επιχειρήσεις.

Στην επίθεση αυτή εκτέθηκαν ονόματα, διευθύνσεις, email και αριθμοί τηλεφώνου καθώς και οι εσωτερικές πληροφορίες της τράπεζας για τους πελάτες αυτούς.

Σύμφωνα με δήλωση της τράπεζας, δεν κλάπηκαν χρήματα από τους λογαριασμούς των χρηστών και δεν υπήρχε λόγος να πιστέψει κανείς ότι εκτέθηκαν πληροφορίες όπως αριθμοί λογαριασμών, κωδικοί πρόσβασης, ονόματα χρηστών, ημερομηνίες γέννησης ή Αριθμοί Κοινωνικής Ασφάλισης.

Παρόλα αυτά, οι χάκερ είχαν πρόσβαση στους διακομιστές της τράπεζας, κάτι που θα τους έδινε προνόμια να μεταφέρουν κεφάλαια ή να κλείσουν λογαριασμούς.

Τον Νοέμβριο του 2015 οι αρχές παρέπεμψαν τέσσερις άνδρες σε δίκη (τρείς εκ των οποίων έχουν ταυτοποιηθεί ως οι Τζέρι Σάλον, Τζόσουα Σάμιουελ Άαρον και Ζιβ Όρενσταϊν) για εγκλήματα συνολικής αξίας $100 εκατομμυρίων. Ο τέταρτος χάκερ δεν ταυτοποιήθηκε.