Je vertrouwt dagelijks je persoonlijke gegevens aan meerdere organisaties toe, maar zijn ze net zo bezorgd als jij over de veiligheid van deze gegevens? Sinds 2004 zijn er meer dan achtduizend datalekken gemeld en de kans is groot dat je informatie op een gegeven moment in verkeerde handen is gevallen. We laten hier de grootste datalekken in de geschiedenis passeren en vertellen hoe je het gevaar van zo’n gegevenslek kan beperken.
Met een geschiedenis van bijna 9.000 gegevensinbreuken in de VS in de afgelopen 12 jaar, is het een goede gok dat elke elektronische informatie die op jou betrekking heeft, in gevaar is of minstens één keer in gevaar is gebracht. Zoals James Comey, de voormalige directeur van de FBI, stelt: "Er zijn twee soorten bedrijven. Bedrijven die zijn gehackt en bedrijven die nog niet weten dat ze zijn gehackt."
Met elke inbreuk die plaatsvindt groeit de behoefte aan online privacy en anonimiteit en er lijkt geen einde in zicht te zijn. Elk bedrijf verzamelt informatie over zijn vaste en occasionele klanten en zelfs van willekeurige groepen mensen. Grote ondernemingen investeren jaarlijks miljarden euro in systemen voor gegevensverzameling en databasetechnologieën om alle gegevens op te slaan, voor dure servers met enorme hoeveelheden opslagruimte en voor gegevensanalisten om het geheel te kunnen bijhouden en begrijpen.
Het is niet alleen een spel voor bedrijven. De primaire agenda van inlichtingendiensten over de hele wereld is het verzamelen en proberen betekenis te geven aan informatie. De ongelukkige ironie hier is dat veel bedrijven geen zorgen lijken te hebben over het beveiligen van die informatie en ook niet om het uit de handen van anderen te houden als ze die eenmaal hebben. Als informatie in verkeerde handen valt, zijn er verschillende mogelijke repercussies voor de betrokkenen, waaronder een verhoogd risico om slachtoffer te worden van misdaden zoals spear phishing (een e-mail- of elektronische communicatie scam die gericht is op een specifiek persoon, organisatie of bedrijf), ransomware-aanvallen en identiteitsdiefstal.
De lijst hieronder toont een uitsplitsing per jaar van de grootste datalekken, met een minimum van 10 miljoen records die het risico lopen te worden blootgesteld aan ongeautoriseerde personen. Let op! Het totale aantal gerapporteerde schendingen verwijst naar inbreuken op Amerikaanse bedrijven of waar Amerikaanse klanten werden getroffen.
Datalekken per jaar
2018
In 2018 hebben zich tot nu toe 700 schendingen voorgedaan, waarvan 11 met meer dan 10 miljoen records.
Marriott International
Circa 500 miljoen internationale gasten van Marriott waren mogelijk betrokken bij deze enorme lek die begon in 2014. Meer dan 320 miljoen klantengegevens werden gelekt, inclusief namen, adressen en paspoortnummers, waardoor veel boze gasten eisten dat Marriott moest betalen voor de afgifte van nieuwe paspoorten.
Exactis
In juni 2018 lekte marketing- en gegevensaggregatiebedrijf Exactis bijna 340 miljoen records vanuit een server die voor het publiek toegankelijk was. Er was informatie over particulieren en bedrijven bij betrokken, waaronder e-mailadressen, telefoonnummers en thuisadressen.
Under Armour
Er werd informatie blootgelegd van naar schatting 150 miljoen gebruikers van de voedsel- en voedingsapplicatie MyFitnessPal, van Under Armour. Van de gegevens die bij het lek betrokken waren, wordt gedacht dat deze e-mailadressen, gebruikersnamen en gehashte wachtwoorden bevatten.
Mindbody - FitMetrix
Fitness-software FitMetrix, die eerder in 2018 door MindBody was overgenomen, was betrokken bij een datalek die meer dan 113 miljoen records trof, hoewel het precies aantal gebruikers waarmee dit correleert onbekend is. Het lek werd ontdekt door een beveiligingsonderzoeker die erachter kwam dat drie van de FitMetrix-servers onbeschermd waren en gegevens lekten.
Facebook
In september 2018 werd een lek geconstateerd in de gegevensbeveiliging, in de vorm van een bug waardoor aanvallers de controle over de Facebook-accounts van mensen konden overnemen. Bekend is dat 50 miljoen accounts waren getroffen, maar er hadden nog eens 40 miljoen bij betrokken kunnen zijn.
Facebook (Cambridge Analytica)
Voorafgaand aan bovenstaande overtreding was het Cambridge Analytica-schandaal aan het licht gekomen. Het data-analysebedrijf had via een externe onderzoeker toegang gekregen tot de persoonlijke gegevens van 50 miljoen Facebook-gebruikers en deze opgeslagen. De verwerving van de gegevens was in strijd met de servicevoorwaarden van Facebook en vormde als zodanig een enorme inbreuk op gebruikersinformatie.
Localblox
Het online bedrijf Localblox is vergelijkbaar met Cambridge Analytica, omdat zij informatie uit publiekelijk toegankelijke bronnen binnenhalen om profielen te maken. De gegevens werden opgeslagen op een onbeveiligde container, een feit dat ontdekt werd door UpGuard, een cybersecurity-onderzoeksbureau. Maar liefst 48 miljoen gebruikersprofielen werden opgeslagen zonder wachtwoord en hoewel Localblox onmiddellijk actie ondernam, blijft het onduidelijk of iemand anders in de tussentijd toegang heeft gehad tot 1,2 TB aan gegevens.
Chegg
40 miljoen gebruikers van leerboekenverhuur en leerbedrijf Chegg en zijn aanverwante merken werden in september 2018 op de hoogte gebracht dat hun persoonlijke gegevens mogelijk waren blootgesteld aan een ongeautoriseerde partij die toegang had gekregen tot een bedrijfsdatabase. Gelekte informatie omvatte namen, wachtwoorden, e-mailadressen en verzendadressen.
Ticketfly
Een kwaadaardige cyberaanval maakte de persoonlijke informatie van ongeveer 27 miljoen ingelogde houders van een Ticketfly account toegankelijk. Gegevens van klanten die werden geschonden, bevatten namen, adressen, e-mailadressen en telefoonnummers.
The Sacramento Bee
Nadat het bedrijf, een krant uit Sacramento, California, meer dan 19 miljoen online kiezersgegevens had blootgesteld omdat er niet in was geslaagd om een beschermende firewall op zijn server te herstellen, werd een ransomware aanval gelanceerd door kwaadwillende hackers. De krant weigerde het losgeld te betalen en stelde de kiezers op de hoogte van de overtreding.
SaverSpy
In september 2018 zijn de gegevens van bijna 11 miljoen gebruikers uit een database van een e-marketingbedrijf gelekt als gevolg van een onbeveiligde server. Naar verluidt waren zowel namen als e-mailadressen, gendergegevens en fysieke adressen hierbij betrokken. Het gegevensbestand werd verondersteld om tot het bedrijf SaverSpy te hebben behoord.
2017
In 2017 zijn er naar verluidt 853 schendingen geweest, waarvan negen in de lijst hieronder.
River City Media
Een gigantische database van meer dan 1,37 miljard e-mailadressen was open en bloot vanwege een onjuist geconfigureerde back-up. Sommige van die records bevatten extra details zoals namen, fysieke adressen en IP-adressen. Het lek onthulde ook de volledige werking van River City Media, inclusief details zoals bedrijfsplannen, logbestanden van Hipchat, accounts en meer. Volgens het nieuwsbericht is River City Media een van ‘s werelds grootste aanbieders van spam.
Deep Root Analytics
Een database met politieke informatie over meer dan 198 miljoen Amerikaanse kiezers werd ontdekt op een Amazon Cloud opslagsysteem zonder enige vorm van wachtwoordbeveiliging. Het Republikeinse Nationale Comité huurde Deep Root Analytics in om hun gegevens te verzamelen en te analyseren. Deze gegevens bestonden uit namen, geboortedata, huisadressen, telefoonnummers en kiezersregistraties. Deep Root Analytics heeft sindsdien de volledige verantwoordelijkheid voor het lek op zich genomen en heeft verbeterde beveiligingsmaatregelen geïmplementeerd voor deze gegevens.
Equifax
Meer dan 145 miljoen records, waaronder sofinummers, creditcardnummers, rijbewijsnummers en namen werden gelekt bij een van de drie grote Amerikaanse kredietrapport agentschappen.
Name Tests
Pas in 2018 werd onthuld dat Nametests.com, de website die verantwoordelijk is voor een populaire Facebookquiz applicatie, een lek had die openbare informatie blootstelde van zijn meer dan 120 miljoen gebruikers.
MyHeritage
Deze lek werd aangekondigd in 2018, maar gebeurde feitelijk in oktober 2017 en betrof de gegevens van meer dan 92 miljoen klanten. Een beveiligingsonderzoeker ontdekte de informatie, waaronder e-mailadressen en gehashte wachtwoorden, op een privéserver die niet tot MyHeritage behoorde.
T-Mobile
Een beveiligingslek op de website van T-Mobile stelde aanvallers in staat een telefoonnummer te gebruiken die toegang gaf tot accountgegevens, waaronder e-mailadressen en de IMSI-netwerkcode (IMSI = international mobile subscriber identity of internationale identiteit van mobiele abonnee) van een telefoon. Mogelijk zijn er tot 76 miljoen gebruikers getroffen.
Panera Bread
De Panera Bread doorbraak begon in 2017 maar schijnbaar werd er pas in 2018 actie ondernomen. Namen, e-mailadressen, woonadressen en telefoonnummers van circa 37 miljoen klanten werden als gewone tekst uit de site gelekt. De laatste vier cijfers van de creditcardnummers van de klanten waren ook betrokken.
Dun & Bradstreet
Het werd onthuld dat records van een commerciële bedrijfsdatabase met betrekking tot meer dan 33 miljoen mensen waren gelekt door Dun & Bradstreet. Van de betrokken personen werkten er meer dan 100.000 voor het ministerie van Defensie en meer dan 70.000 voor grote financiële instellingen. Hoewel de informatie niet als gevoelig zou worden beschouwd (er waren ook e-mailadressen, functies en bedrijfsadressen), zou het, in de verkeerde handen, de uitvoer van oplichtingspraktijken zoals spear-fishing en whaling (een vorm van spear-phishing) veel eenvoudiger maken.
Zomato
Een hacker op het DarkNet biedt een database te koop met e-mails en gehashte wachtwoorden van 17 miljoen geregistreerde Zomato-gebruikers.
2016
In 2016 werden 823 datalekken gerapporteerd, waarbij acht van hen boven de 10 miljoen records uitkwamen.
FriendFinder-netwerk
Het betrof hier meer dan 412 miljoen accounts die 20 jaar persoonlijke gebruikersgegevens vertegenwoordigen, waaronder e-mailadressen, wachtwoorden, gebruikersnamen, het overzicht van de database, sites in het netwerk die door de gebruikers worden bezocht, siteregistratiegegevens en nog veel meer.
MySpace
Meer dan 360 miljoen gebruikersnamen en wachtwoorden werden gestolen uit MySpace. De wachtwoorden werden opgeslagen als "ongezouten SHA-1" (secure hash algorithm) en werden gekraakt met behulp van een specifieke server die miljoenen SHA-1 berekeningen per seconde kan uitvoeren.
LinkedIn
Er wordt verondersteld dat er tussen 117 en 167 miljoen records zijn gestolen uit het populair zakelijke social network, inclusief e-mailadressen van gebruikers, gehashte wachtwoorden en ID-nummers van LinkedIn. De inbreuk zou in 2012 zijn begonnen, maar de gegevens waren in 2016 online te koop.
Dailymotion
De e-mailadressen en gebruikersnamen van ongeveer 85,2 miljoen gebruikers van een zeer populaire website voor het delen van video's op internet werden in 2016 toegankelijk. Ook de gehashte wachtwoorden van ongeveer een vijfde van die accounts werden gekopieerd, maar deze wachtwoorden waren gecodeerd met een redelijk sterke versleuteling en dus moeilijk te kraken of te raden.
Uber
57 miljoen namen van klanten en chauffeurs, e-mailadressen en telefoonnummers werden gehackt in 2016. Uber probeerde vervolgens om de overtreding te verhullen door de aanvallers te betalen die 'beloofden' dat ze de gegevens zouden vernietigen. Het nieuws over het lek dateert uit november 2017.
Weebly
43,4 miljoen records werden gestolen, maar de manier waarop deze diefstal werd gepleegd, is nog niet bekend. Het is wel bekend dat de besmette gegevens e-mailadressen, gebruikersnamen, wachtwoorden en geregistreerde IP-adressen van computers bevatten.
Twitter
32 miljoen inloggegevens, inclusief platte tekstwachtwoorden, werden online te koop gesteld. De gegevens bleken rechtstreeks van gebruikers te zijn gestolen en niet door een hack van de Twitter-servers.
FourSquare
Meer dan 22,5 miljoen records waren kennelijk ontleend aan voor het publiek beschikbare bronnen. De records bevatten FourSquare gebruikersnamen, e-mailadressen en ID’s van Twitter- en Facebook.
2015
In 2015 zijn 547 datalekken gemeld, waarvan zeven redelijk grote verliezen.
Voter Database
Een openbare database met informatie over 191 miljoen Amerikaanse kiezers werd gevonden op internet. De database bevatte namen, thuisadressen, kiezers-ID's, telefoonnummers, geboortedata, politieke voorkeuren en gedetailleerde stemgeschiedenis sinds jaar 2000.
Anthem
Er werden meer dan 80 miljoen records gestolen, bestaande uit namen, verjaardagen, medische ID's, sofinummers, straatadressen, e-mailadressen en informatie over tewerkstelling en inkomen. Het lek begon al in 2014. Op 27 juni 2017 stemde Anthem in met een schikking van $ 115 miljoen voor schade veroorzaakt door deze lek.
Ashley Madison
De gebruikersdatabases van het bedrijf, financiële gegevens en andere vertrouwelijke informatie zijn toen gelekt naar het publiek. 37 miljoen gebruikersrecords werden gestolen en naar het DarkNet gedumpt. De hackers probeerden Ashley Madison te chanteren om de website te sluiten of ze zouden de gestolen database publiek maken, waardoor al haar gebruikers zouden blootgesteld worden. Ashley Madison weigerde te voldoen en de gegevens werden inderdaad vrijgegeven, samen met een aantal copycat-databases met nep-informatie.
Office of Personnel Management (bureau voor personeelszaken) in Washington, DC
Dit betrof 21,5 miljoen gegevens in een database van overheidsmedewerkers en in het bijzonder van iedereen die een veiligheidsmachtiging had aangevraagd vanaf jaar 2000. SSN's (Social Security Numbers) werden gelekt en informatie over het type vragen die ambtenaren stellen tijdens interviews om veiligheidsverklaringen.
T-Mobile-klanten van Experian
15 miljoen records van potentiële T-Mobile-klanten met kredietcontroles uitgevoerd door Experian werden gelekt naar het publiek. De records bestonden uit namen, adressen, sofinummers, geboortedata en verschillende identificatienummers, waaronder paspoorten, rijbewijzen en militaire identificatienummers.
Premera Blue Cross
Het ging hier om 11 miljoen dossiers met medische bestanden en persoonlijke en financiële informatie, waaronder bankrekeningnummers, sofinummers, geboortedata, namen, adressen en 'andere persoonlijke gegevens'.
Excellus BlueCross Blue Shield
Het lijkt erop dat dit het jaar was voor inbreuken in de gezondheidszorgbranche, omdat weer werd zorgverzekeraar Excellus BlueCross Blue Shield getroffen door een enorme aanval. Er is toen informatie gelekt van meer dan 10 miljoen mensen.
2014
Er zijn 869 overtredingen gemeld waarvan vijf over de recorddrempel van 10 miljoen records.
Yahoo
Deze lek heeft zich feitelijk voorgedaan in 2014, maar werd pas twee jaar later door Yahoo aangekondigd of bevestigd. De database die toegankelijk werd bevatte records van meer dan 500 miljoen gebruikers van Yahoo, inclusief namen, telefoonnummers, e-mailadressen, hash-wachtwoorden, geboortedata en gecodeerde en niet-gecodeerde beveiligingsvragen en -antwoorden.
Russische hack ontdekt door Hold Security
Een indrukwekkende database van meer dan een miljard gebruikersnamen en wachtwoorden samen met meer dan 500 miljoen e-mailadressen werd ontdekt op het DarkNet door een beveiligingsbedrijf. Het was blijkbaar het werk van een Russische hackersbende die informatie verzamelde van honderdduizenden websites.
eBay
Het lek betrof een gegevensverlies van meer dan 145 miljoen records. Hackers hebben toegang gekregen tot de eBay-gebruikersdatabase via aanmeldingsgegevens voor medewerkers. De gekopieerde gegevens bestonden uit e-mailadressen, gecodeerde wachtwoorden, geboortedata en postadressen.
JP Morgan Chase
Russische hackers kregen toegang tot 76 miljoen bankrekeningen. Sommige werden alleen gewijzigd terwijl andere werden volledig gewist.
The Home Depot
The Home Depot werd in 2014 twee keer getroffen. In februari werden drie medewerkers ervan verdacht 30.000 records te hebben gestolen. In september werd het opnieuw gekraakt voor de details van 56 miljoen creditcards en betaalpassen als gevolg van een hack van de point-of-sales-systemen in meer dan 2.200 winkels in de VS.
2013
890 datalekken werden gerapporteerd in 2013, waarvan er vijf boven de 10 miljoen gevallen.
Yahoo
In 2013 kwamen meer dan 3 miljard yahoo accounts in de problemen, maar deze lek werd pas in 2016 openbaar gemaakt en was hoogstwaarschijnlijk niet gerelateerd aan de 500 miljoen records die in 2014 zijn gestolen. Voor de grootste schending in de geschiedenis beschuldigde Yahoo hackers die voor een overheid zouden werken. De indringers gebruikten vervalste cookies om zonder wachtwoorden toegang te krijgen tot gebruikersaccounts.
Target Corp.
Tot 110 miljoen betaalpasrecords werden gestolen tijdens de Thanksgiving- en kerstvakanties van 2013. Dit incident werd gebruikt als een precedent voor het doorvoeren in de VS van een wetgeving voor het implementeren van chipkaarttechnologie.
Tumblr
In 2013 hebben hackers toegang gekregen tot meer dan 65 miljoen wachtwoorden van Tumblr-gebruikers, maar de schending werd pas in 2016 gemeld.
Evernote
Dit is het grootste verlies aan gegevens geweest van 2014 met 50 miljoen geregistreerde records. Nadat de aanval was gedetecteerd moesten gebruikers hun wachtwoord opnieuw instellen.
LivingSocial
Tot 50 miljoen ledenaccounts liepen het risico gekopieerd te worden. Ze bestonden uit namen, e-mailadressen, geboortedata en versleutelde wachtwoorden. Destijds gebruikten naar schatting 29 miljoen mensen LivingSocial, waarvan veel gebruikers meerdere accounts hadden.
Adobe
Gebruikersaccounts van circa 38 miljoen Adobe-gebruikers werden gestolen. Adobe stuurde een bericht naar alle getroffen gebruikers om hen te waarschuwen de wachtwoorden te wijzigen en te kijken naar verdachte activiteiten in hun accounts.
2012
In dit jaar werden er 886 datalekken gemeld, waarvan twee in de lijst hieronder.
Dropbox
Er werden e-mailadressen en gehashte wachtwoorden gekopieerd van 68 miljoen Dropbox-gebruikers. Vervolgens ontvingen deze gebruikers spamberichten waarin de afzender zich als Dropbox voordeed.
Zappos.com
Er werden 24 miljoen gebruikersaccounts als toegankelijk gedetecteerd, waaronder namen, e-mailadressen, factuur- en verzendadressen, telefoonnummers, de laatste vier cijfers van creditcardnummers en mogelijk gecodeerde wachtwoorden.
2011
In 2011 werden 793 datalekken gemeld, waarbij vier meer dan 10 miljoen records hadden verloren of in gevaar gebracht.
Epsilon
Er vond een datalek plaats van ergens tussen de 50 en 250 miljoen records. Epsilon meldde dat alleen e-mailadressen en namen waren gestolen. Klanten werden gewaarschuwd dat ze phishing e-mails konden verwachten.
Sony, PlayStation Network
77 miljoen gebruikers van het PlayStation Network (PSN) en meer dan 24 miljoen klanten van Sony Online Entertainment werden getroffen tijdens deze hack van 2011. Gelekte details omvatten namen, adressen, e-mailadressen, geboortedata, inloggegevens voor PSN en Qriocity en PSN ID's en controllers. Het vermoeden bestaat dat hackers mogelijk ook toegang hebben gehad tot aankoopgeschiedenissen, factuuradressen en beveiligingsvragen.
Steam
Hackers hebben een forum op Steam beschadigd, wat leidde tot een onderzoek waaruit ongeoorloofde toegang bleek tot een database met gebruikersnamen, gehashte en gezouten wachtwoorden, game-aankopen, e-mailadressen, factuuradressen en versleutelde creditcardinformatie van over meer dan 35 miljoen gebruikers.
WordPress
Hackers hebben toegang gekregen tot gegevens op verschillende WordPress servers met broncode, API-beveiligingssleutels en wachtwoorden voor sociale media van 18 miljoen WordPress-gebruikers.
2010
In 2010 werden 801 datalekken gerapporteerd, maar slechts een van hen zit in deze lijst.
DeviantART, Silverpop Systems Inc.
De grootste datalek in 2010 was ook de enige boven de 10 miljoen met 13 miljoen gestolen records. Hackers konden deviantART binnendringen via het marketingbedrijf Silverpop Systems Inc. De blootgestelde database bestond uit gebruikersnamen, e-mailadressen en geboortedata van alle deviantART-gebruikers.
2009
270 datalekken werden gemeld voor 2009, waarvan er drie in onze lijst zitten.
Heartland Payment Systems
130 miljoen creditcards werden gestolen via een hack van deze creditcard-processor. Het probleem werd verergerd door de vertragingen van de verwerker en de onnauwkeurige onthullingen met betrekking tot het lek. Een van de daders was een informant van de geheime dienst en verdacht van de hack van de T.J. Stores (een winkelketen) van een jaar eerder.
U.S. Military Veterans
Er werd gemeld dat 76 miljoen gedetailleerde records het gevaar liepen te worden blootgesteld toen een defecte harde schijf werd verzonden voor reparatie zonder eerst de gegevens daarop te hebben vernietigd. De schijf maakte deel uit van een RAID-array van zes schijven met een Oracle-database vol met informatie over veteranen. De schijf werd onherstelbaar geacht en werd vervolgens opnieuw naar een andere entiteit gestuurd om te worden gerecycled zonder te worden gewist.
RockYou
Een SQL-injectielek in de RockYou database bracht hun volledige lijst met gebruikersnamen, e-mailadressen en wachtwoorden aan het licht, ongeveer 32 miljoen records. De wachtwoorden waren opgeslagen als platte tekst en de database bevatte aanmeldingsreferenties voor verschillende sociale netwerken zoals Facebook en MySpace.
2008
In 2008 werden 355 datalekken gemeld, waarbij twee van hen de grens van 10 miljoen records overschreden.
Countrywide Financial Corp.
Naar verluidt heeft een voormalige werknemer gevoelige gegevens, over 17 miljoen profielen van rekeninghouders, gestolen en verkocht. Opgemerkt moet worden dat Countrywide de 'posterboy' (sterk geassocieerd met…) was van de crisis rond subprime-leningen.
Bank of New York Mellon
12,5 miljoen records met namen, sofinummers en mogelijk bankrekeningnummers werden "verloren" toen een doos back-up tapes arriveerde bij een opslagfaciliteit met één ontbrekende tape.
2007
TJ winkels
Er gingen meer dan 100 miljoen records verloren, bestaande uit creditcard- en betaalpasnummers, goederen retourzendingen met namen en rijbewijsnummers, evenals creditcard accountnummers. Speciale opmerking: de primaire hacker, Albert Gonzalez, ging in 2011 in beroep tegen zijn veroordeling op grond van het feit dat hij zou hebben gehandeld met toestemming van de geheime dienst. De Amerikaanse regering erkende dat Gonzalez op dat moment een belangrijke undercover informant voor de geheime dienst was. Gonzalez beschuldigde zijn advocaten deze informatie niet te hebben gebruikt als onderdeel van zijn verdediging.
2006
In dit jaar werden 482 datalekken gemeld. Twee van die overtredingen groter dan 10 miljoen records.
U.S. Dept. of Veterans Affairs
Een laptop en een opslagapparaat met gevoelige gegevens van over 26,5 miljoen veteranen werden gestolen uit het huis van een niet-geïdentificeerde medewerker van het Department of Veterans Affairs. De informatie bestond uit namen, sofinummers, geboortedata, telefoonnummers en adressen van alle ontslagen Amerikaanse veteranen sinds 1975. De laptop en het opslagapparaat werden bijna twee maanden later teruggevonden. Volgens een FBI-onderzoek waren de gegevens niet gekopieerd geweest. Desondanks werd Veterans Affairs verantwoordelijk gehouden voor een ineffectief databeveiligingsbeleid en verwaarloosde hij de juiste veiligheidsmaatregelen met betrekking tot dergelijke gevoelige gegevens.
iBill
Meer dan 17 miljoen records werden online geplaatst met namen, telefoonnummers, adressen, e-mailadressen, IP-adressen, inloggegevens, creditcardgegevens en aankoopbedragen. Het is onduidelijk of de schending het werk was van een oneerlijke insider of van kwaadwillende software die in de systemen van iBill was toegevoegd.
2005
In 2005 werden 136 datalekken gemeld met slechts een daarvan met meer dan 10 miljoen records.
CardSystems
40 miljoen creditcardaccounts werden ontmaskerd als gevolg van een beveiligingslek bij een externe leverancier. De blootgestelde informatie omvatte namen, kaartnummers en beveiligingscodes van de kaarten. CardSystems diende in mei 2006 het faillissement aan. In 2009 bleek dat CardSystems niet-gecodeerde creditcardgegevens op zijn servers had opgeslagen.
2004
Grappig genoeg was het enige gegevenslek waar we in 2004 informatie over hebben ook de grootste.
AOL
Een voormalige software-engineer van AOL stal 92 miljoen e-mailadressen van naar schatting 30 miljoen gebruikers. Vervolgens verkocht hij de lijst met adressen aan een man in Las Vegas die de lijst begon te spammen met een advertentie voor een offshore gokwebsite. Zelfs de rechter in de zaak gaf toe dat hij zijn AOL-e-mailaccount had geannuleerd vanwege al die spam.
Grootste niet-Amerikaanse datalekken
Er zijn in de loop der jaren ook behoorlijk grote datalekken geweest in verschillende andere delen van de wereld. De volgende zijn enkele van het meest prominente:
Aadhaar (2018)
Een datalek had mogelijk de gegevens van alle 1,1 miljard inwoners van India in gevaar hebben gebracht. Begin januari gaven anonieme verkopers op WhatsApp toegang tot elk Aadhaar-nummer en de bijbehorende gegevens, waaronder naam, adres, telefoonnummer, foto en e-mailadres. De informatie werd verkocht met de optie van software voor het afdrukken van ID-kaarten, vermoedelijk voor gebruik bij identiteitsdiefstal en andere gerelateerde misdaden.
Interpark (2017)
In 2017 beschuldigde Zuid-Korea Noord-Korea ervan de gegevens van 10 miljoen klanten van het online winkelcentrum, Interpark te hebben gestolen in een poging om vreemde valuta te verkrijgen.
Telegram (2017)
In 2017 werden Iraanse hackers ervan beschuldigd te zijn ingebroken in een ultraveilige instant messaging-service door een tiental accounts te compromitteren. De hack gaf de hackers toegang tot 15 miljoen telefoonnummers van gebruikers. Hierdoor konden hackers nieuwe apparaten toevoegen aan het gebruikersaccount en toegang geven aan deze nieuwe apparaten tot de chatgeschiedenis en nieuwe berichten.
Mossack Fonseca (2016)
Dit Panamese advocatenkantoor is gespecialiseerd in het opzetten van anonieme offshorebedrijven. Het lek bestond uit 11,5 miljoen gecodeerde documenten zoals e-mails, pdf-bestanden, foto's en fragmenten uit een interne database. Het hoofddoel van deze verzameling leek het verbergen van de echte eigenaren van verschillende offshorebedrijven die door Mossack Fonseca zijn verkocht. Aangezien veel van de informatie die in deze bestanden is opgeslagen een bewijs bevat van illegale activiteiten, ligt de wens voor anonimiteit nogal voor de hand.
Database met Turks staatsburgerschap (2016)
Er werd online een database gevonden met 49,6 miljoen vermeldingen, het volledige Turkse staatsburgerschap, met namen, nationale identiteitsbewijzen, namen van ouders, geslacht, geboorteplaats, geboortedatum, ID-registratie, stad en district en het volledige woonadres.
Filipijnse verkiezingscommissie (2016)
Een database met elke geregistreerde kiezer in de Filippijnen, zo'n 55 miljoen mensen, is online gelekt. Het lek kwam na een beschadiging van de website van de Philippines’s Commission on Elections (verkiezingscommissie van de Filipijnen).
Korea Credit Bureau (2014)
Een tijdelijke consultant werd gearresteerd en beschuldigd van het stelen van bank- en creditcardgegevens van 20 miljoen gebruikers van het kredietbureau.
Yahoo Japan (2013)
22 miljoen gebruikersaccounts werden in gevaar gebracht toen een poging werd gedetecteerd om toegang te krijgen tot administratieve delen van de Japanse servers van Yahoo. Volgens Yahoo is geen persoonlijk identificeerbare informatie gestolen.
Court Ventures (2012)
Court Ventures was bezig met de verkoop van kredietinformatie aan een Vietnamese identiteitsdiefstaldienst, wat resulteerde in meer dan 200 miljoen records verkocht over meerdere jaren. Deze records bevatten financiële gegevens, kredietstatus, sofinummers en bankgegevens.
Blizzard (2012)
Spelers van Diablo III, Starcraft II en World of Warcraft, zo'n 14 miljoen gamers, werden op de hoogte gesteld van een datalek die hun gebruikersaccounts op Blizzard.net in gevaar had gebracht. Gecodeerde wachtwoorden, antwoorden op beveiligingsvragen en e-mailadressen van gebruikers buiten China werden met deze inbreuk gestolen.
178.com (2011)
Hackers stalen 10 miljoen gebruikersaccounts van de Chinese gaming site, samen met verschillende andere soortgelijke sites in China.
Nexon Korea Corp (2011)
De gegevens van 13,2 miljoen abonnees van een online game in Korea werden gestolen door een hack van de servers van de site.
Tianya (2011)
28 miljoen duidelijke tekstwachtwoorden en 40 miljoen gebruikersaccounts van China's 12 meest populaire websites op dat moment verschenen op het DarkNet.
Auction.co.kr (2008)
De records van 18 miljoen leden van deze Zuid-Koreaanse veilingsite werden gestolen door een Chinese hacker. De records bevatten gebruikersinformatie en een grote hoeveelheid financiële gegevens.
GS Caltex (2008)
Twee cd's met de klantenlijst van dit bedrijf (11,9 miljoen klanten) werden gevonden in een straat in Seoul.
HM Revenue and Customs (2007)
Computerschijven met vertrouwelijke informatie van over 25 miljoen ontvangers van kinderbijslag gingen verloren in het Verenigde Koninkrijk. De schijven gingen verloren tijdens de doorvoer vanuit hun hoofdkantoor in Newcastle naar het hoofdkantoor van een verzekeraar in Edinburgh.
T-Mobile, Deutsche Telecom (2006)
Dieven gingen op pad met een opslagapparaat met namen, adressen, mobiele telefoonnummers, enkele geboortedata en enkele e-mailadressen van een aantal spraakmakende Duitse burgers. Gelukkig bevatte het gestolen apparaat geen financiële gegevens zoals creditcards of bankrekeningen.
De grote onbekende
Opgemerkt moet worden dat sommige van de gemelde lekken van invloed zijn geweest op een onbekend aantal klanten. Er kunnen dus nog meer gegevenslekken zijn geweest groter dan 10 miljoen records. Bovendien kunnen datalekken soms onontdekt blijven, voor altijd of voor een bepaalde periode.
De nieuwe General Data Protection Regulation (GDPR) in de EU (algemene verordening gegevensbescherming) omvat de eis dat bedrijven binnen 72 uur gegevenslekken (die aan bepaalde criteria voldoen) moeten melden. Hoewel er een staats wet in Californië is die betrekking heeft op het melden van gegevensschendingen, is er geen federale wetgeving die verplichte rapportage van gedetailleerde gegevensinbreuken vereist. Het niet melden van een schending kan echter leiden tot rechtszaken van getroffen gebruikers, dus melden de meeste bedrijven dat ze zijn gehackt, wanneer ze dat ontdekken en informatie zijn kwijtgeraakt.
Toch is de hoeveelheid gerapporteerde informatie volledig overgelaten aan het rapporterende bedrijf, zelfs tot het toegeven dat er een schending is geweest zonder details te geven over welke gegevens of zelfs hoeveel gegevens het risico hebben gelopen om door onbevoegde personen te worden bekeken. Volgens de Privacy Rights Clearinghouse hebben duizenden bedrijven ervoor gekozen om niet te melden hoeveel van de aan hen toevertrouwde gegevens is gelekt of zelfs hoeveel van hun klanten mogelijk in gevaar zijn geweest.
Het is bekend dat sommige van deze bedrijven informatie verzamelen zonder eerst de deelnemers te informeren dat hun informatie in een database wordt geladen. Elke winkel waar iemand binnenloopt, verzamelt informatie over waar je naar kijkt, wat je oppakt, koopt en waarmee je de winkel verlaat. Koppel die gegevens aan gezichtsherkenning van de beveiligingscamera's, evenals de informatie die wordt ontvangen van het kassasysteem en ze hebben een identiteit om aan die gegevensinvoer te hechten.
Zowat elke winkel heeft nu een of andere vorm van lidmaatschap waar klanten worden aangemoedigd om zich vrijwillig aan te melden met kortingen op brandstof, spaarpunten in de winkel, aangepaste digitale kortingsbonnen en andere soortgelijke incentives (stimulansen). Al deze zijn in feite niet gratis. Je verkoopt je persoonlijk identificeerbare informatie aan deze bedrijven in ruil voor de voordelen die verbonden zijn aan het lidmaatschapssysteem van de winkel.
Wat kan je doen?
Er zijn een aantal zaken die je kan doen om de schade te beperken of zelfs te voorkomen dat je informatie in verkeerde handen terechtkomt. Zaken als het gebruik van een online anonimiteitstool (zoals een VPN), het installeren van antivirussoftware, het gebruik van sterke wachtwoorden en het inschakelen van twee factor authenticatie kunnen helpen. In het geval van het laatste, als het platform dat je probeert te beveiligen geen twee factor authenticatie biedt, kun je mogelijk een externe twee factor authenticatie-app gebruiken, zoals DUO Mobile of Google Authenticator.
Aan de meer extreme kant is er altijd de mogelijkheid om contact op te nemen met elk bedrijf aan wie je je informatie hebt toevertrouwd. Je kan hen vragen wat ze hebben gedaan, niet alleen om datalekken te voorkomen, maar ook welke acties ze zullen ondernemen in het geval van een gegevenslek.
Een handig hulpmiddel om te controleren of je gegevens betrokken zijn (geweest) bij een gegevenslek is de website: have I been pwned?.
Toekomstige hacks
Een steeds meer voorkomende hack die in de toekomst nog vaker voor bij zal komen is crypto jacking. Hierbij hebben hackers het gemumd op je Crypto munten zo als Bitcoin en Litecoin.