Histoires d'horreur : top 5 des violations de données les plus effrayantes

Les violations de données sont en hausse

Les violations de données ne sont pas une nouveauté. Depuis une dizaine d'années, les violations de données sont de plus en plus fréquentes, et nous en entendons parler presque tous les jours. En fait, nous en entendons tellement parler que nous sommes presque désensibilisés, ce qui est plutôt alarmant, car ce sont nos données qui sont compromises lors de ces violations.

Un récent rapport de Risk Based Security a révélé qu'au cours du premier semestre de 2021, 18,8 milliards d'enregistrements ont été exposés en raison de violations de données. La cybercriminalité est en hausse générale, principalement pour une raison évidente : la pandémie COVID-19. Selon Forbes, les menaces liées aux logiciels malveillants ont augmenté de 358 % et les menaces liées aux ransomwares de 435 % entre 2019 et 2020.

Sans plus attendre, nous allons vous raconter ces histoires.

Equifax

En septembre 2017, Equifax, une agence d'évaluation du crédit à la consommation, a révélé que près de la moitié des citoyens du pays avaient vu leurs informations personnelles compromises dans l'une des pires violations de données de tous les temps. La violation a exposé les données sensibles de 145,5 millions de clients, notamment des numéros de sécurité sociale, des dates de naissance, des adresses et, dans certains cas, des permis de conduire. Les pirates ont également mis la main sur les numéros de cartes de crédit de plus de 200 000 personnes. Avec toutes ces informations à portée de main, les pirates responsables de l'une des plus importantes violations de tous les temps pouvaient voler des identités, obtenir des hypothèques, des prêts, et bien plus encore. Sans compter que ces ensembles de données ont probablement été vendus sur le dark web. L'aspect le plus effrayant de cette violation est qu'Equifax a attendu plus d'un mois pour l'annoncer. Finalement, en juillet 2019, l'agence d'évaluation du crédit à la consommation a révélé un montant de compensation de 675 millions de dollars pour les consommateurs, qui a été utilisé pour payer des services de surveillance du crédit pour les personnes touchées.

Target

En 2013, 40 millions d'acheteurs de Target ont appris que leurs informations sensibles avaient été exposées. Target, l'un des plus grands détaillants des États-Unis, a été victime d'une violation massive de données comprenant plus de 40 millions de numéros de cartes de crédit et de débit ainsi que des codes de vérification, des numéros de téléphone, des noms et des adresses e-mail. On ne peut qu'imaginer ce que les malfaiteurs à l'origine de la violation pourraient faire avec toutes ces données à leur disposition.

Pour obtenir un accès non autorisé aux données, les pirates ont lancé une attaque par hameçonnage élaborée sur un fournisseur tiers étroitement lié à Target. Cette attaque réussie a permis aux escrocs connectés de pirater les systèmes de points de vente de Target.

La violation s'est produite pendant la période des achats de Noël, après Thanksgiving, mais n'a pas été signalée avant le 18 décembre. Finalement, Target a versé 18,8 millions de dollars et a proposé de payer jusqu'à 10 000 dollars à tout client prouvant qu'il avait subi des pertes en raison de la violation.

Marriott

En 2018, l'hôtel Marriott International a annoncé qu'il avait été victime d'une violation de données massive exposant les informations sensibles de près de 400 millions de personnes. La nouvelle a secoué le monde et les clients de Marriott. Au cours de l'enquête, il a été révélé que les pirates responsables de la cyberattaque avaient mis la main sur des informations personnelles sensibles telles que les noms des clients, leurs numéros de téléphone, leurs adresses postales, leurs adresses e-mail, leurs dates de naissance, leur genre, leurs informations d'arrivée et de départ, leurs dates de réservation, etc. Comme pour les autres violations décrites ici, les pirates disposant de toutes ces informations pouvaient se livrer à une usurpation d'identité et à d'autres activités douteuses.

La chaîne hôtelière internationale a finalement été condamnée à verser une amende de 18,4 millions de livres sterling par le Bureau du commissaire à l'information (ICO) du Royaume-Uni en 2020 pour ne pas avoir assuré la sécurité des données personnelles de ses clients. Fait intéressant, le New York Times a relié l'attaque aux services de renseignement chinois, qui recherchaient des données sur les citoyens américains.

Adult Friend Finder

En octobre 2016, le réseau social pour adultes Friend Finder Networks a subi une violation qui a exposé des données d'utilisateurs recueillies pendant 20 ans dans six bases de données. La violation concernait 339 millions de comptes associés au plus grand site Web de la société, AdultFriendFinder.com. Les données volées comprenaient également au moins 15 millions de comptes supprimés qui, en fin de compte, n'avaient pas été supprimés des bases de données. Il a été révélé que les cybercriminels responsables de la violation ont pu recueillir des informations sensibles telles que des noms, des noms d'utilisateur, des adresses e-mail, des mots de passe, des informations sur le navigateur, l'adresse IP et l'historique des achats. Par la suite, des enquêtes ont révélé que les mots de passe exposés étaient hachés via l'algorithme SHA-1, connu pour sa faiblesse. En raison de la nature sensible du site Web, les données piratées pourraient s'avérer extrêmement préjudiciables pour les personnes concernées.

Facebook

En avril 2019, il a été découvert que de grandes quantités de données Facebook avaient été exposées sur l'Internet public. Les informations sensibles exposées appartenaient à plus de 530 millions d'utilisateurs de Facebook dans 106 pays. Après une analyse plus approfondie, il a été révélé que les données exposées comprenaient des noms de comptes, des numéros de téléphone, des identifiants Facebook, des lieux, des dates de naissance et, dans certains cas, des adresses e-mail. Deux ans plus tard (en 2021), les données volées ont été publiées sur un forum de piratage de bas niveau pour être téléchargées librement. Même si les données dataient déjà de quelques années lorsqu'elles ont été publiées, elles peuvent encore s'avérer précieuses pour les cybercriminels. Elles pourraient être utilisées pour du vol d'identité ou des fraudes, ainsi que pour escroquer des personnes par usurpation d'identité.

Dernières réflexions

Avez-vous peur après avoir lu ces horribles récits de violations de données ? Vous devriez. La divulgation de vos informations personnelles peut être une expérience stressante et anxiogène. Elle pourrait avoir des conséquences dévastatrices dans la vie réelle. Nous le savons tous dans une certaine mesure, mais nous y pensons rarement, et nous agissons encore plus rarement. Il est temps de l'admettre : la cybersécurité est aussi importante que toute autre forme de sécurité physique. Après tout, nous ne laissons jamais nos portes ou nos fenêtres grandes ouvertes. Voyez la sécurité numérique de la même manière. Elle agit comme un verrou sur votre vie numérique, qui est tout aussi importante que la vie réelle. Dans ce domaine, tout commence par les mots de passe.

Nous savons que les mots de passe peuvent être délicats, puisque vous devez utiliser des combinaisons fortes, uniques et complexes pour chaque compte. Impossible de tous les retenir. Pour cela, utilisez des gestionnaires de mots de passe tels que NordPass. Non seulement ils vous permettent de stocker et d'accéder en toute sécurité à vos mots de passe chaque fois que vous en avez besoin, mais ils vous font également gagner du temps en remplissant automatiquement vos identifiants de connexion. En fait, avec un gestionnaire de mots de passe, vous ne devez retenir qu'un seul mot de passe — votre mot de passe principal. Dans le monde numérique d'aujourd'hui, un gestionnaire de mots de passe devrait être aussi courant qu'un portefeuille.