Divulgación intencional o no intencional de información segura
Una violación de datos es una violación de la seguridad, en la que datos sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados, alterados o utilizados por un individuo no autorizado para hacerlo. [1] Otros términos son divulgación de información no intencional , fuga de datos , fuga de información y fuga de datos . Los incidentes van desde ataques concertados por parte de individuos que piratean para beneficio personal o malicia ( sombrero negro ), crimen organizado , activistas políticos o gobiernos nacionales , hasta sistemas de seguridad mal configurados o eliminación descuidada de equipos informáticos o medios de almacenamiento de datos usados . La información filtrada puede abarcar desde asuntos que comprometen la seguridad nacional hasta información sobre acciones que un gobierno o funcionario considera vergonzosas y quiere ocultar. Una violación de datos deliberada por parte de una persona con conocimiento de la información, generalmente con fines políticos, se describe más a menudo como una "filtración". [2]
Las violaciones de datos pueden ser bastante costosas para las organizaciones con costos directos (remediación, investigación, etc.) e indirectos (daños a la reputación , provisión de ciberseguridad a las víctimas de datos comprometidos, etc.).
Según la organización de consumidores sin fines de lucro Privacy Rights Clearinghouse, un total de 227.052.199 registros individuales que contenían información personal confidencial estuvieron involucrados en violaciones de seguridad en los Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo incidentes en los que aparentemente los datos confidenciales no fueron expuestos. [4]
Muchas jurisdicciones han aprobado leyes de notificación de violaciones de datos , que exigen que una empresa que haya sido objeto de una violación de datos informe a los clientes y tome otras medidas para remediar posibles lesiones. 50 estados de EE. UU. tienen algún tipo de ley de notificación de violación de datos; las definiciones de lo que constituye "información personal" varían. Por eso, Estados Unidos requiere leyes de protección de datos más transparentes y completas, especialmente debido a las diferentes leyes estatales y la creciente cantidad de datos confidenciales que se recopilan. [5]
Definición
Una violación de datos puede incluir incidentes como robo o pérdida de medios digitales como cintas de computadora , discos duros o computadoras portátiles con información no cifrada , publicación de dicha información en la World Wide Web sin las precauciones adecuadas de seguridad de la información , transferencia de dicha información a un sistema. que no sea completamente abierto pero que no esté apropiada o formalmente acreditado en materia de seguridad, como correo electrónico no cifrado , o la transferencia de dicha información a los sistemas de información de una agencia posiblemente hostil, como una corporación competidora o una nación extranjera, donde pueda estar expuesto a técnicas de descifrado más intensivas. [6]
ISO/IEC 27040 define una violación de datos como: compromiso de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos protegidos transmitidos, almacenados o procesados de otra manera . [7]
Confianza y privacidad
La noción de un entorno de confianza es algo vaga. La salida de un miembro del personal de confianza con acceso a información confidencial puede convertirse en una violación de datos si el miembro del personal conserva el acceso a los datos después de la terminación de la relación de confianza. En los sistemas distribuidos, esto también puede ocurrir con una ruptura en una red de confianza . La calidad de los datos es una forma de reducir el riesgo de una violación de datos, [8] en parte porque permite al propietario de los datos calificarlos según su importancia y brindar una mejor protección a los datos más importantes.
La mayoría de estos incidentes publicitados en los medios involucran información privada sobre individuos, por ejemplo, números de seguridad social . La pérdida de información corporativa, como secretos comerciales , información corporativa confidencial y detalles de contratos , o de información gubernamental con frecuencia no se informa, ya que no hay ninguna razón convincente para hacerlo en ausencia de daños potenciales a los ciudadanos privados y la publicidad en torno a tales un evento puede ser más dañino que la pérdida de los datos en sí. [9]
Amenazas internas versus amenazas externas
Quienes trabajan dentro de una organización son una causa importante de violaciones de datos. Las estimaciones de infracciones causadas por errores accidentales de "factor humano" rondan el 20% según el Informe de investigaciones de infracciones de datos de 2021 de Verizon. [10] La categoría de amenazas externas incluye piratas informáticos, organizaciones cibercriminales y actores patrocinados por el Estado. Las asociaciones profesionales de administradores de activos de TI trabajan agresivamente con los profesionales de TI para educarlos sobre las mejores prácticas de reducción de riesgos [11] para amenazas internas y externas a los activos, el software y la información de TI. Si bien la prevención de seguridad puede desviar un alto porcentaje de intentos, en última instancia, un atacante motivado probablemente encontrará una manera de ingresar a cualquier red determinada. John Chambers , director ejecutivo de Cisco, ha dicho: "Hay dos tipos de empresas: las que han sido pirateadas y las que no saben que han sido pirateadas". [12] El agente especial del FBI para operaciones especiales cibernéticas, Leo Taddeo, advirtió en la televisión Bloomberg: "La noción de que puedes proteger tu perímetro se está quedando en el camino y la detección ahora es crítica". [13]
Violación de datos médicos
Algunas celebridades han sido víctimas de violaciones de acceso inapropiado a registros médicos, aunque más a nivel individual, y no como parte de una violación típicamente mucho mayor. [14] Dada la serie de violaciones de datos médicos y la falta de confianza del público, algunos países han promulgado leyes que exigen que se establezcan salvaguardias para proteger la seguridad y la confidencialidad de la información médica cuando se comparte electrónicamente y para otorgar a los pacientes algunos derechos importantes. para monitorear sus registros médicos y recibir notificaciones por pérdida y adquisición no autorizada de información de salud. Estados Unidos y la UE han impuesto notificaciones obligatorias sobre violaciones de datos médicos. [15] Las violaciones de información médica reportables son cada vez más comunes en los Estados Unidos. [dieciséis]
Consecuencias
Aunque estos incidentes plantean el riesgo de robo de identidad u otras consecuencias graves, en la mayoría de los casos no hay daños duraderos; O la brecha de seguridad se soluciona antes de que personas sin escrúpulos accedan a la información, o el ladrón solo está interesado en el hardware robado, no en los datos que contiene. Cuando tales incidentes se hacen públicos, es habitual que la parte infractora intente mitigar los daños proporcionando a la víctima la suscripción a una agencia de informes crediticios , por ejemplo, nuevas tarjetas de crédito u otros instrumentos. En el caso de Target , la infracción de 2013 le costó a Target una caída significativa en sus ganancias, que se desplomaron aproximadamente un 40 por ciento en el cuarto trimestre del año. [18] A finales de 2015, Target publicó un informe afirmando una pérdida total de 290 millones de dólares por tarifas relacionadas con la violación de datos. [19]
La filtración de Yahoo revelada en 2016 puede ser una de las más costosas en la actualidad. Puede reducir el precio de su adquisición por parte de Verizon en mil millones de dólares. [20] Verizon posteriormente publicó su renegociación con Yahoo acordando reducir el precio final de 4,800 millones de dólares a 4,480 millones de dólares. [21] Los delitos cibernéticos cuestan a las empresas de energía y servicios públicos un promedio de 12,8 millones de dólares cada año en pérdidas de negocios y equipos dañados, según DNV GL, un organismo de certificación internacional y sociedad de clasificación con sede en Noruega. [22] Las filtraciones de datos han costado a las organizaciones sanitarias 6.200 millones de dólares en los últimos dos años (presumiblemente en 2014 y 2015), según un estudio de Ponemon. [23] Según los estudios, los ataques más comunes para las violaciones de datos de atención médica se realizan a través de piratería e incidentes de TI. [24]
En el sector de la atención de salud, a más de 25 millones de personas les han robado su atención médica, lo que ha resultado en el robo de identidad de más de seis millones de personas, y el costo de bolsillo de las víctimas se acerca a los 56 mil millones de dólares. [25] Privacy Rights Clearinghouse (PRC) ha mostrado registros desde enero de 2005 hasta diciembre de 2018 de que ha habido más de 9000 eventos de vulneración. Además, las causas que conducen a cada infracción, como ataques internos, fraude con tarjetas de pago, dispositivo portátil perdido o robado, malware infectado y envío de un correo electrónico a la persona equivocada (DISC). Esto muestra que muchos errores comunes que conducen a una violación de datos son los humanos que cometen errores que permiten a los piratas informáticos explotarlos y realizar un ataque. [26]
Es muy difícil obtener información sobre la pérdida de valor directa e indirecta resultante de una violación de datos. Un enfoque común para evaluar el impacto de las violaciones de datos es estudiar la reacción del mercado ante un incidente de este tipo como indicador de las consecuencias económicas. Esto generalmente se lleva a cabo mediante el uso de estudios de eventos , donde se puede construir una medida del impacto económico del evento utilizando los precios de los valores observados durante un período de tiempo relativamente corto. Se han publicado varios estudios de este tipo con diversos resultados, incluidos trabajos de Kannan, Rees y Sridhar (2007), [27] Cavusoglu, Mishra y Raghunathan (2004), [28] Campbell, Gordon, Loeb y Lei (2003). ) [29] así como Schatz y Bashroush (2017). [30]
Dado que el volumen de datos está creciendo exponencialmente en la era digital y las fugas de datos ocurren con más frecuencia que nunca, evitar que se filtre información confidencial a partes no autorizadas se convierte en una de las preocupaciones de seguridad más apremiantes para las empresas. [31] Para salvaguardar los datos y las finanzas, las empresas y las empresas a menudo tienen que incurrir en costos adicionales para tomar medidas preventivas ante posibles violaciones de datos. [32] De 2017 a 2021, el gasto mundial previsto en seguridad de Internet superará el billón de dólares. [32]
Ernst & Young , mayo, 234.000 clientes de Hotels.com (después de una pérdida similar de datos sobre 38.000 empleados de clientes de Ernst & Young en febrero) [4]
Boeing , diciembre, 382.000 empleados (después de pérdidas similares de datos sobre 3.600 empleados en abril y 161.000 empleados en noviembre de 2005) [4]
2007
DA Davidson & Co. 192.000 nombres de clientes, números de cuentas y de seguridad social, direcciones y fechas de nacimiento de clientes [38]
A principios de 2008, Countrywide Financial (desde entonces adquirida por Bank of America ) supuestamente fue víctima de una violación de datos cuando, según informes noticiosos y documentos judiciales, el empleado René L. Rebollo Jr. robó y vendió hasta 2,5 millones de información personal de clientes, incluida números de seguridad social. [42] [43] Según la denuncia legal: "A partir de 2008, coincidentemente después de que vendieron sus carteras hipotecarias bajo 'grupos de titulización' indebidos y fraudulentos, y coincidentemente después de que su cartera hipotecaria entró en default masivo como resultado de ello, Countrywide se enteró que la información financiera de potencialmente millones de clientes había sido robada por ciertos agentes, empleados u otras personas de Countrywide". [44] En julio de 2010, Bank of America resolvió más de 30 demandas colectivas relacionadas ofreciendo monitoreo de crédito gratuito, seguro contra robo de identidad y reembolso por pérdidas a hasta 17 millones de consumidores afectados por la supuesta violación de datos. El acuerdo se estimó en 56,5 millones de dólares sin incluir las costas judiciales. [45]
2009
En diciembre de 2009 un RockYou! Se vulneró la base de datos de contraseñas que contenía 32 millones de nombres de usuario y contraseñas en texto plano, lo que comprometió aún más el uso de contraseñas débiles para cualquier propósito.
En mayo de 2009, The Daily Telegraph reveló el escándalo de los gastos parlamentarios del Reino Unido . A finales de abril se ofreció a varios periódicos del Reino Unido un disco duro que contenía recibos escaneados de miembros del Parlamento y pares de la Cámara de los Lores del Reino Unido, y finalmente The Daily Telegraph lo adquirió. Publicó detalles en entregas a partir del 8 de mayo. Aunque el Parlamento tenía la intención de publicar los datos, estos debían estar redactados, tachando los detalles que los miembros individuales consideraran "sensibles". El periódico publicó escaneos sin editar que mostraban detalles de las reclamaciones, muchas de las cuales parecían violar las reglas y sugerían un abuso generalizado del sistema de gastos generosos. La tormenta mediática resultante provocó la dimisión del presidente de la Cámara de los Comunes y el procesamiento y encarcelamiento de varios parlamentarios y lores por fraude. El sistema de gastos fue revisado y reforzado, poniéndolo más a la par de los esquemas de la industria privada. El Servicio de Policía Metropolitana continúa investigando posibles fraudes y la Fiscalía de la Corona está considerando nuevos procesamientos. Varios parlamentarios y lores se disculparon e hicieron una restitución total, parcial o nula, y conservaron sus escaños. Otros que habían sido avergonzados por los medios de comunicación no se ofrecieron a la reelección en las elecciones generales del Reino Unido de 2010 . Aunque contó con menos de 1.500 personas, el asunto recibió la mayor cobertura mediática mundial sobre cualquier violación de datos (hasta febrero de 2012).
En enero de 2009, Heartland Payment Systems anunció que había sido "víctima de una violación de seguridad dentro de su sistema de procesamiento", posiblemente parte de una "operación global de ciberfraude". [46] La intrusión ha sido considerada la mayor violación criminal de datos de tarjetas jamás realizada, con estimaciones de hasta 100 millones de tarjetas de más de 650 empresas de servicios financieros comprometidas. [47]
2010
A lo largo del año, Chelsea Manning hizo públicos grandes volúmenes de datos militares secretos.
2011
En abril de 2011, Sony experimentó una violación de datos dentro de su PlayStation Network , comprometiendo la información personal de aproximadamente 77 millones de usuarios.
En junio de 2011, Citigroup reveló una violación de datos dentro de su operación de tarjetas de crédito, que afectó aproximadamente a 210.000 (1%) de las cuentas de sus clientes. [48]
2012
En el verano de 2012, el escritor principal de Wired.com , Mat Honan, afirma que "los piratas informáticos destruyeron toda mi vida digital en el lapso de una hora" al piratear sus contraseñas de Apple, Twitter y Gmail para obtener acceso a su cuenta de Twitter y en el proceso. , afirma que los piratas informáticos borraron todos sus dispositivos, eliminando todos sus mensajes y documentos, incluidas todas las fotografías que había tomado de su hija de 18 meses. [49] El exploit se logró con una combinación de información proporcionada a los piratas informáticos por el soporte técnico de Amazon a través de ingeniería social y el sistema de recuperación de contraseña de Apple que utilizó esta información. [50] En relación con su experiencia, Mat Honan escribió un artículo que describe por qué las contraseñas no pueden mantener a los usuarios seguros. [51]
En octubre de 2012, una agencia policial se puso en contacto con el Departamento de Ingresos de Carolina del Sur (DoR) con pruebas de que se había robado información de identificación personal (PII) de tres personas. [52] Más tarde se informó que se estimaba que 3,6 millones de números de Seguridad Social estaban comprometidos junto con 387.000 registros de tarjetas de crédito. [53]
2013
En octubre de 2013, Adobe Systems reveló que su base de datos corporativa había sido pirateada y que se habían robado unos 130 millones de registros de usuarios. Según Adobe, "Durante más de un año, el sistema de autenticación de Adobe ha cifrado criptográficamente las contraseñas de los clientes utilizando el algoritmo SHA-256 , incluida la sal de las contraseñas y la iteración del hash más de 1.000 veces. Este sistema no fue objeto del ataque que publicamos revelado el 3 de octubre de 2013. El sistema de autenticación involucrado en el ataque era un sistema de respaldo y fue designado para ser desmantelado. El sistema involucrado en el ataque utilizó cifrado Triple DES para proteger toda la información de contraseña almacenada". [54]
A finales de noviembre y principios de diciembre de 2013, Target Corporation anunció que se habían robado datos de alrededor de 70 millones de tarjetas de crédito y débito . Se trata de la segunda mayor vulneración de tarjetas de crédito y débito después de la vulneración de datos de TJX Companies , donde casi 46 millones de tarjetas se vieron afectadas. [55]
En agosto de 2014, casi 200 fotografías de celebridades fueron robadas de cuentas de iCloud de Apple y publicadas en el sitio web del tablero de imágenes 4chan . Una investigación de Apple descubrió que fueron obtenidos "mediante un ataque muy dirigido a nombres de usuario, contraseñas y preguntas de seguridad". [56] Reforzó la seguridad de iCloud a través de una autenticación de 2 factores opcional, después de una violación de celebridades. Apple endurece la seguridad de iCloud después de una violación de celebridades: Leo Kelion; 17 de septiembre de 2014; bbc
En septiembre de 2014, Home Depot sufrió una filtración de datos de 56 millones de números de tarjetas de crédito. [57]
En octubre de 2014, Staples sufrió una filtración de datos de 1,16 millones de tarjetas de pago de clientes. [58]
En noviembre de 2014 y durante semanas después , Sony Pictures Entertainment sufrió una violación de datos que involucró información personal sobre los empleados de Sony Pictures y sus familias, correos electrónicos entre empleados, información sobre los salarios de los ejecutivos de la empresa, copias de películas de Sony (anteriormente) inéditas y otra información. Los piratas informáticos implicados afirman haber obtenido más de 100 terabytes de datos de Sony. [59]
2015
En octubre de 2015, el proveedor de telecomunicaciones británico TalkTalk sufrió una violación de datos cuando un grupo de piratas informáticos de 15 años robó información sobre sus cuatro millones de clientes. El precio de las acciones de la empresa cayó sustancialmente debido al problema (alrededor del 12%), debido en gran parte a la mala publicidad que rodeó la filtración. [60]
En julio de 2015, el sitio web para adultos Ashley Madison sufrió una violación de datos cuando un grupo de piratas informáticos robó información sobre sus 37 millones de usuarios. Los piratas informáticos amenazaron con revelar nombres de usuarios y detalles específicos si Ashley Madison y un sitio compañero, EstablishedMen.com, no cerraban permanentemente. [61]
En febrero de 2015, Anthem sufrió una filtración de datos de casi 80 millones de registros, incluida información personal como nombres, números de Seguro Social, fechas de nacimiento y otros detalles confidenciales. [62]
En junio de 2015, la Oficina de Gestión de Personal del gobierno de EE. UU. sufrió una violación de datos en la que los registros de 22,1 millones de empleados federales actuales y anteriores de los Estados Unidos fueron pirateados y robados. [63]
2016
En febrero de 2016, el hacker británico Kane Gamble, de 15 años, filtró los datos personales de más de 20.000 empleados del FBI , [64] incluidos los nombres de los empleados, sus puestos de trabajo, números de teléfono y direcciones de correo electrónico. [65] El juez dijo que Gamble participó en "ciberterrorismo por motivos políticos". [66]
En marzo de 2016, el sitio web de la Comisión Electoral de Filipinas fue desfigurado por el grupo hacktivista " Anonymous Filipinas ". Un problema mayor surgió cuando un grupo llamado LulzSec Pilipinas subió la base de datos completa de COMELEC a Facebook al día siguiente. [67]
En abril de 2016, los medios de comunicación difundieron información robada de un exitoso ataque a la red del bufete de abogados centroamericano Mossack Fonseca , y los " Papeles de Panamá " resultantes tuvieron repercusiones en todo el mundo. [68] Quizás una reivindicación justificada de una actividad ilegal o poco ética, pero sin embargo ilustra el impacto de los secretos que salen a la luz. El Primer Ministro de Islandia se vio obligado a dimitir [69] y se produjo una importante reorganización de los cargos políticos en países tan lejanos como Malta. [70] Inmediatamente se iniciaron múltiples investigaciones en países de todo el mundo, incluido un análisis exhaustivo de las normas bancarias internacionales [71] o extraterritoriales en los EE. UU. [72] Obviamente, las implicaciones son enormes para la capacidad de una organización, ya sea una firma de abogados o un departamento gubernamental—para guardar secretos. [73]
En septiembre de 2016, Yahoo informó que hasta 500 millones de cuentas en 2014 habían sido violadas en una aparente violación de datos "patrocinada por el estado". Más tarde, en octubre de 2017, se informó que se habían vulnerado 3 mil millones de cuentas, lo que representa cada cuenta de Yahoo en ese momento.
2017
Bóveda 7 , las técnicas de piratería de la CIA reveladas en la violación de datos. [74] Los documentos filtrados, con nombre en código Vault 7 y fechados entre 2013 y 2016, detallan las capacidades de la CIA para realizar vigilancia electrónica y guerra cibernética, [75] como la capacidad de comprometer los sistemas operativos de la mayoría de los teléfonos inteligentes (incluido el de Apple ). iOS y Android de Google ), así como otros sistemas operativos como Microsoft Windows , macOS y Linux . [76] Joshua Adam Schulte , un ex empleado de la CIA, ha sido condenado por filtrar secretos de piratería informática de la CIA a WikiLeaks. [77]
Equifax , julio de 2017, 145.500.000 registros de consumidores, la mayor filtración de datos conocida en la historia en ese momento [78], lo que podría llevar a la demanda colectiva más grande de la historia. [79] A principios de octubre de 2017, las ciudades de Chicago y San Francisco y la Commonwealth de Massachusetts presentaron acciones coercitivas contra Equifax luego de la violación de datos de julio de 2017, en la que los piratas informáticos supuestamente explotaron una vulnerabilidad en el software de código abierto utilizado para crear Portal de disputas de consumidores en línea de Equifax. [80] Los piratas informáticos no sólo tenían información de residentes de EE. UU. sino también de residentes del Reino Unido y Canadá. [81]
Estados Unidos – Documentos militares clasificados de Corea del Sur , octubre de 2017. Un legislador surcoreano afirmó que piratas informáticos norcoreanos robaron más de 235 gigabytes de documentos militares del Centro de Datos Integrados de Defensa en septiembre de 2016. Los documentos filtrados incluían planes operativos en tiempos de guerra entre Corea del Sur y Estados Unidos. [82]
En noviembre de 2017 se filtraron 14,3 millones de documentos sobre esquemas de evasión fiscal de entidades notables como celebridades y empresas como Apple , McDonald's y Nike . Los documentos consistían en datos de 1950 a 2016. Esta revelación se conoció como los Papeles del Paraíso . [83]
En marzo, Google identificó una vulnerabilidad que exponía la información personal de casi medio millón de usuarios. Parchó la vulnerabilidad y mantuvo la exposición privada de los usuarios hasta que The Wall Street Journal informó sobre el problema seis meses después del hecho. [85]
El 29 de marzo, Under Armour reveló una violación de datos de 150 millones de cuentas en MyFitnessPal , con datos comprometidos que consistían en nombres de usuarios, direcciones de correo electrónico de los usuarios y contraseñas cifradas. Under Armour fue notificada de la infracción en la semana del 19 al 25 de marzo y que la filtración ocurrió en algún momento de febrero. [86]
El 1 de abril se informó que se había producido una violación de datos en Saks Fifth Avenue / Lord & Taylor . Es posible que alrededor de cinco millones de titulares de tarjetas de crédito hayan visto comprometidos sus datos en tiendas de América del Norte. [87]
El 20 de julio se informó que el 4 de julio se produjo una violación de datos en SingHealth , una de las organizaciones de salud más grandes de Singapur, en la que se comprometieron alrededor de 1,5 millones de datos personales (incluidos los datos de algunos ministros, incluido el primer ministro de Singapur, Lee Hsien Loong ). En una conferencia de prensa, los ministros calificaron la violación de datos como la "violación de datos personales más grave". [88] [89]
El 1 de agosto, Reddit reveló que había sido pirateado. El pirata informático comprometió las cuentas de los empleados a pesar de que utilizaban autenticación de dos factores basada en SMS . Reddit se negó a revelar el número de usuarios afectados. [90]
El 7 de septiembre se informó que British Airways experimentó un robo de datos de alrededor de 380.000 registros de clientes, incluidos los datos bancarios completos. [91] [92]
El 3 de diciembre, Quora informó una violación de datos que afectó los datos de sus 100 millones de usuarios. [94]
A finales de 2018, se descubrió que el juego Fortnite de Epic Games tenía una vulnerabilidad de seguridad que habría permitido a un atacante utilizar los datos de la tarjeta de pago de las víctimas. [95] Se estima que esa y otras infracciones han llevado a que cuentas robadas de Fortnite se vendan ilegalmente por un valor de más de un millón de dólares estadounidenses al año en foros clandestinos. [96] En 2019 se estaba formando una demanda colectiva contra Epic Games. [97]
2019
En marzo, Capital One fue atacada porque el acceso no autorizado a Amazon Web Services (AWS) provocó una filtración de datos que afectó a 106 millones de clientes del servicio financiero. Este incumplimiento fue descubierto en junio por la entidad. [98]
El 16 de julio, la Agencia Nacional de Ingresos de Bulgaria, una rama del Ministerio de Finanzas del país. [101]
En septiembre, los datos personales de toda la población de Ecuador de 17 millones, junto con los de personas fallecidas, fueron violados después de que un servidor no seguro administrado por la firma de análisis de marketing Novestrat filtró nombres completos, fechas, lugares de nacimiento, educación, números de teléfono y números de identidad nacional. [102]
2020
El 7 de julio, el sitio de escritura Wattpad sufrió una importante filtración de datos por parte de ShinyHunters , que involucró a más de 270 millones de usuarios; Los datos de los usuarios se vendieron en un foro de la red oscura , incluidos los hashes de contraseñas. [103]
El 11 de noviembre, se filtró información del infame juego Animal Jam Classic y su juego hermano, Animal Jam, con más de 46 millones de cuentas, incluidos nombres de usuario, correos electrónicos, contraseñas y más, todo fue causado por una entidad de piratería de sitios web conocida como ShinyHunters. . [104]
A mediados de diciembre de 2020, se informó que varias entidades del gobierno federal de EE. UU. y muchas organizaciones privadas de todo el mundo que utilizaban productos SolarWinds , Microsoft y VMWare se convirtieron en víctimas de una extensa filtración y piratería de datos . [105]
Diciembre: Insomniac Games fue el objetivo de un grupo de hackers Rhysida . Los piratas informáticos filtraron 1,7 terabytes de información confidencial, incluidos los planes de Insomniac para los próximos diez años. Las filtraciones también incluyen la jugabilidad de Wolverine de Marvel, los contratos de Sony y Marvel, y más. Los piratas informáticos también divulgaron información personal de los empleados de Insomniac, incluidos sus pasaportes.
^ Sistemas de información sobre bienestar infantil estatales y tribales, planes de respuesta a violaciones de datos de seguridad de la información (PDF) (Reporte). Departamento de Salud y Servicios Humanos de los Estados Unidos, Administración para Niños y Familias. 1 de julio de 2015. p. 2. ACYF-CB-IM-15-04. Archivado (PDF) desde el original el 11 de noviembre de 2020.
^ "Fuga de los Papeles de Panamá: ¿La nueva normalidad?". Xconomía. 2016-04-26 . Consultado el 20 de agosto de 2016 .
^ abcdefghijk "Cronología de las violaciones de datos", Cámara de compensación de derechos de privacidad
^ Marcos, Ereni; Peña, Priscila; Labrecque, Lauren I.; Swani, Kunal (julio de 2023). "¿Son las violaciones de datos la nueva norma? Explorando las tendencias de las violaciones de datos, el sentimiento del consumidor y las respuestas a las invasiones de seguridad". Revista de Asuntos del Consumidor . 57 (3): 1089-1119. doi :10.1111/joca.12554. ISSN 0022-0078. S2CID 260327672.
^ Cuando hablamos de incidentes que ocurren en los NSS, ¿utilizamos términos comúnmente definidos? Archivado el 17 de abril de 2019 en Wayback Machine , "Preguntas frecuentes sobre incidentes y derrames", Oficina de Supervisión de la Seguridad de la Información de los Archivos Nacionales
^ "Tecnología de la información - Técnicas de seguridad - Seguridad del almacenamiento". www.iso.org . Consultado el 24 de octubre de 2020 .
^ Equipo ISBuzz (1 de agosto de 2017). "El NHS debe priorizar la calidad para evitar nuevas violaciones de datos". ISBuzz . Consultado el 29 de diciembre de 2023 .
^ Wickelgren, Abraham (2001). "Daños por incumplimiento de contrato: ¿Debería el gobierno recibir un trato especial?". Revista de Derecho, Economía y Organización . 17 : 121-148. doi :10.1093/jleo/17.1.121.
^ "Análisis y resultados del DBIR 2021". Negocios de Verizon . Consultado el 23 de diciembre de 2021 .
^ "La lista de verificación de TI para prevenir la filtración de datos". Soluciones y servicios de TI Filipinas - Aim.ph. Archivado desde el original el 16 de junio de 2016 . Consultado el 6 de mayo de 2016 .
^ "Las 10 citas más memorables de John Chambers como director ejecutivo de Cisco". Mundo de la Red . Archivado desde el original el 21 de enero de 2019 . Consultado el 10 de noviembre de 2016 .
^ "FBI en Bloomberg TV". Archivado desde el original el 20 de abril de 2015.
^ Ornstein, Charles (15 de marzo de 2008). "Hospital para castigar el espionaje de Spears". Los Ángeles Times . Consultado el 26 de julio de 2013 .
^ Kierkegaard, Patricio (2012). "Violación de datos médicos: la notificación retrasada es la notificación denegada". Derecho Informático . 28 (2): 163–183. doi :10.1016/j.clsr.2012.01.003.
^ McCoy, Thomas H.; Perlis, Roy H. (25 de septiembre de 2018). "Tendencias temporales y características de las violaciones de datos de salud notificables, 2010-2017". JAMA . 320 (12): 1282-1284. doi :10.1001/jama.2018.9222. ISSN 1538-3598. PMC 6233611 . PMID 30264106.
^ "Estudio anual de 2010: coste alemán de una filtración de datos" (PDF) . Instituto Ponemon. Febrero de 2011. Archivado desde el original (PDF) el 24 de septiembre de 2015 . Consultado el 12 de octubre de 2011 .
^ Harris, Elizabeth A. (27 de febrero de 2014). "La filtración de datos perjudica las ganancias en Target". Los New York Times . Consultado el 11 de mayo de 2016 .
^ Manworren, Nathan; Letwat, Josué; Diario, Olivia (mayo de 2016). "Por qué debería preocuparse por la violación de datos de Target". Horizontes empresariales . 59 (3): 257–266. doi :10.1016/j.bushor.2016.01.002. ISSN 0007-6813.
^ "Verizon quiere un descuento de mil millones de dólares después de las preocupaciones sobre la privacidad de Yahoo". TechCrunch . 6 de octubre de 2016.
^ Trautman, Lawrence J. (2016). "Estándar de atención de ciberseguridad de directores y funcionarios corporativos: la filtración de datos de Yahoo". Serie de documentos de trabajo de la SSRN . doi :10.2139/ssrn.2883607. ISSN 1556-5068. S2CID 168229059.
^ "Procesamiento de hidrocarburos". 29 de septiembre de 2016.
^ "Las violaciones de datos cuestan a la industria de la salud 6.200 millones de dólares". Revisión ASC de Becker . 12 de mayo de 2016.
^ Seh, Adil Hussain; Zarour, Mohammad; Alenezi, Mamdouh; Sarkar, Amal Krishna; Agrawal, Alka; Kumar, Rajeev; Ahmad Khan, Raees (junio de 2020). "Violación de datos sanitarios: conocimientos e implicaciones". Cuidado de la salud . 8 (2): 133. doi : 10.3390/healthcare8020133 . ISSN 2227-9032. PMC 7349636 . PMID 32414183.
^ Meisner, Marta (24 de marzo de 2018). "Consecuencias financieras de los ciberataques que provocan filtraciones de datos en el sector sanitario". Revista Copernicana de Finanzas y Contabilidad . 6 (3): 63. doi : 10.12775/CJFA.2017.017 . ISSN 2300-3065.
^ Hammouchi, Hicham; Cherqi, Othmane; Mezzour, Ghita; Ghogho, Mounir; Koutbi, Mohammed El (1 de enero de 2019). "Profundizando en las violaciones de datos: un análisis exploratorio de datos de las violaciones de piratería a lo largo del tiempo". Procedia Ciencias de la Computación . 151 : 1004-1009. doi : 10.1016/j.procs.2019.04.141 . ISSN 1877-0509.
^ Kannan, Karthik; Rees, Jackie; Sridhar, Sanjay (septiembre de 2007). "Reacciones del mercado a los anuncios de violaciones de seguridad de la información: un análisis empírico". Revista Internacional de Comercio Electrónico . 12 (1): 69–91. doi :10.2753/jec1086-4415120103. ISSN 1086-4415. S2CID 1267488.
^ Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). "El efecto de los anuncios sobre violaciones de seguridad de Internet en el valor de mercado: reacciones del mercado de capitales para empresas infringidas y desarrolladores de seguridad de Internet". Revista Internacional de Comercio Electrónico . 9 (1): 69-104. doi :10.1080/10864415.2004.11044320. JSTOR 27751132. S2CID 10753015.
^ Campbell, Katherine; Gordon, Lorenzo A.; Loeb, Martín P.; Zhou, Lei (1 de julio de 2003). "El coste económico de las violaciones de seguridad de la información anunciadas públicamente: evidencia empírica del mercado de valores*". Revista de seguridad informática . 11 (3): 431–448. doi :10.3233/JCS-2003-11308. ISSN 1875-8924.
^ Schatz, Daniel; Bashroush, Rabih (14 de marzo de 2016). "El impacto de las repetidas violaciones de datos en el valor de mercado de las organizaciones" (PDF) . Información y seguridad informática . 24 (1): 73–92. doi :10.1108/ics-03-2014-0020. ISSN 2056-4961. Archivado desde el original (PDF) el 22 de septiembre de 2017.
^ Cheng, largo; Liu, colmillo; Yao, Dangfei (2017). "Violación de datos empresariales: causas, desafíos, prevención y direcciones futuras". CABLES Datos Min. Conocimiento. Discov . 7 (5): e1211. doi : 10.1002/widm.1211 . hdl : 10919/80426 . S2CID 28320918.
^ ab Ryle PM, Goodman L, Soled JA. Consecuencias fiscales de las violaciones de datos y el robo de identidad. Revista de Contabilidad . Octubre de 2020: 1-6.
^ "ChoicePoint pagará 15 millones de dólares por violación de datos", NBC News
^ "La información de las tropas en servicio activo forma parte de los datos robados del VA Archivado el 1 de abril de 2010 en Wayback Machine ", Network World , 6 de junio de 2006
^ Manning, Jeff (13 de abril de 2010). "DA Davidson multado por seguridad informática después de una violación de datos". El oregoniano . Consultado el 26 de julio de 2013 .
^ "El robo de datos de TJ Maxx es peor de lo que se informó por primera vez". Noticias NBC . 2007-03-29 . Consultado el 16 de febrero de 2009 .
^ "Cinta de respaldo de GE Money con 650.000 registros desaparecidos en Iron Mountain". Semana de la Información . Archivado desde el original el 26 de enero de 2013 . Consultado el 11 de mayo de 2016 .
^ "Reino Unido: publicados los detalles de los activistas del BNP". BBC. 2008-11-18 . Consultado el 11 de mayo de 2016 .
^ Reckard, E. Scott (24 de agosto de 2010). "Bank of America resuelve demandas por robo de datos en todo el país". Los Ángeles Times .
^ "En todo el país demandado por violación de datos, demanda colectiva solicita 20 millones de dólares en daños", Bank Info Security , 9 de abril de 2010
^ "Información privada vendida en todo el país, reclamaciones colectivas", Courthouse News , 5 de abril de 2010
^ "La convergencia de datos, identidad y riesgos regulatorios", Blog Hacer negocios un poco menos riesgosos
^ Heartland Payment Systems descubre software malicioso en su sistema de procesamiento Archivado el 27 de enero de 2009 en Wayback Machine.
^ Lecciones de la filtración de datos en Heartland, MSNBC , 7 de julio de 2009
^ Greenberg, Andy (9 de junio de 2011). "Citibank revela el uno por ciento de las cuentas de tarjetas de crédito expuestas a la intrusión de piratas informáticos". Forbes . Consultado el 5 de septiembre de 2014 .
^ Honan, Mat (15 de noviembre de 2012). "Elimine la contraseña: por qué una cadena de caracteres ya no puede protegernos". Cableado . Consultado el 17 de enero de 2013 .
^ Honan, Mat (6 de agosto de 2012). "Cómo las fallas de seguridad de Apple y Amazon me llevaron a mi piratería épica". Cableado . Consultado el 26 de enero de 2013 .
^ "Protección del individuo contra la filtración de datos". La Revista de la Ley Nacional . Grupo Legal Raymond. 2014-01-14 . Consultado el 17 de enero de 2013 .
^ "Informe de respuesta a incidentes públicos" (PDF) . Estado de Carolina del Sur. 2012-11-12. Archivado desde el original (PDF) el 23 de agosto de 2014 . Consultado el 10 de octubre de 2014 .
^ "Carolina del Sur: la madre de todas las filtraciones de datos". El Correo y la Mensajería . 2012-11-03. Archivado desde el original el 8 de septiembre de 2016 . Consultado el 10 de octubre de 2014 .
^ Bueno, Dan. (01/11/2013) Cómo un error épico de Adobe podría fortalecer la mano de los descifradores de contraseñas. Ars Técnica. Consultado el 10 de junio de 2014.
^ "Target confirma el acceso no autorizado a los datos de tarjetas de pago en tiendas de EE. UU.". Corporación objetivo. 19 de diciembre de 2013. Archivado desde el original el 24 de noviembre de 2021 . Consultado el 19 de enero de 2016 .
^ "Aviso a los medios de Apple: actualización de la investigación de fotografías de celebridades". Cable comercial . StreetInsider.com. 2 de septiembre de 2014 . Consultado el 5 de septiembre de 2014 .
^ Melvin Backman (18 de septiembre de 2014). "Home Depot: 56 millones de tarjetas expuestas en incumplimiento". CNNMoney .
^ "Staples: la infracción puede haber afectado a las tarjetas de 1,16 millones de clientes". Fortuna . 19 de diciembre de 2014 . Consultado el 21 de diciembre de 2014 .
^ James Cook (16 de diciembre de 2014). "Los piratas informáticos de Sony tienen más de 100 terabytes de documentos. Hasta ahora sólo han publicado 200 Gigabytes". Business Insider . Consultado el 18 de diciembre de 2014 .
^ "TalkTalk pirateado... otra vez". Verificar y asegurar. 2015-10-23. Archivado desde el original el 23 de diciembre de 2015 . Consultado el 23 de octubre de 2015 .
^ "Sitio de trampas en línea AshleyMadison pirateado". krebsonsecurity.com. 2015-07-15 . Consultado el 20 de julio de 2015 .
^ "La filtración de datos en la aseguradora de salud Anthem podría afectar a millones". 15 de febrero de 2015.
^ "Los ataques a las bases de datos de OPM comprometieron a 22,1 millones de personas, dicen las autoridades federales". El Washington Post. 9 de julio de 2015.
^ "El adolescente británico que 'aterrorizó cibernéticamente' a funcionarios de inteligencia estadounidenses recibe dos años de detención. Archivado el 22 de abril de 2018 en la Wayback Machine ". El independiente. 21 de abril de 2018.
^ "Los piratas informáticos publican información de contacto de 20.000 empleados del FBI Archivado el 22 de abril de 2018 en Wayback Machine ". CNN. 8 de febrero de 2016.
^ El adolescente británico Kane Gamble recibe dos años por piratear al exjefe de la CIA, John Brennan. Archivado el 22 de abril de 2018 en Wayback Machine ". Deutsche Welle. 20 de abril de 2018.
^ "Cinco lecciones de seguridad de TI de la filtración de datos de Comelec". Soluciones y servicios de TI Filipinas - Aim.ph. Consultado el 6 de mayo de 2016 .
^ Explicación de la filtración masiva de datos de los Papeles de Panamá. Mundo de la informática. 5 de abril de 2016.
^ Freytas-tamura, Kimiko De (30 de octubre de 2016). "El primer ministro de Islandia dimite después de que el Partido Pirata lograra grandes avances". Los New York Times . ISSN 0362-4331 . Consultado el 10 de noviembre de 2016 .
^ "Ver: ¿Desaparecerá el escándalo de Panamá después de la reorganización?". Tiempos de Malta . Consultado el 10 de noviembre de 2016 .
^ "La UE debe tomar medidas contra el blanqueo de dinero, dicen los reguladores - Law360".
^ "Estados Unidos prepara regla del banco sobre empresas fantasma en medio de la furia de los 'Papeles de Panamá'". Noticias NBC . Consultado el 10 de noviembre de 2016 .
^ "¿Pueden los secretos seguir siendo secretos?". Buceo CIO . Consultado el 10 de noviembre de 2016 .
^ Shane, Scott; Mazzetti, Marcos; Rosenberg, Matthew (7 de marzo de 2017). "WikiLeaks publica un tesoro de presuntos documentos de piratería de la CIA". Los New York Times .
^ Greenberg, Andy (7 de marzo de 2017). "Cómo la CIA puede piratear su teléfono, PC y TV (dice WikiLeaks)". CABLEADO .
^ "Vault 7: Wikileaks revela detalles de los ataques de la CIA a televisores Android, iPhone, Windows, Linux, MacOS e incluso Samsung". Informática . 7 de marzo de 2017.
^ "¿Quién es Joshua Adam Schulte? Ex empleado de la CIA acusado de fuga del Refugio 7". Semana de noticias . 19 de junio de 2018.
^ Mathews, Lee, "La violación de datos de Equifax afecta a 143 millones de estadounidenses", Forbes , 7 de septiembre de 2017.
^ Mills, Chris, "Equifax ya se enfrenta a la demanda colectiva más grande en la historia de Estados Unidos", BGR , 8 de septiembre de 2017.
^ Reise, Sarah T. (3 de octubre de 2017). "Los gobiernos estatales y locales actúan rápidamente para demandar a Equifax". La Revista de la Ley Nacional . Consultado el 7 de octubre de 2017 .
^ Los piratas informáticos de Corea del Norte robaron los planes militares de Corea del Sur y Estados Unidos para acabar con el liderazgo de Corea del Norte: legisladora, Reuters, Christine Kim, 10 de octubre de 2017
^ De Sanctis, Fausto Martin (2017), "Tipologías de lavado de dinero evidenciadas en los" Papeles de Panamá "", Lavado de dinero internacional a través de bienes raíces y agronegocios , Cham: Springer International Publishing, págs. 31–83, ISBN978-3-319-52068-1, recuperado el 26 de enero de 2024
^ Graham-Harrison, Emma; Cadwalladr, Carole (17 de marzo de 2018). "Revelado: 50 millones de perfiles de Facebook recopilados para Cambridge Analytica en una importante violación de datos". El guardián . Archivado desde el original el 18 de marzo de 2018.
^ Wong, Julia Carrie ; Solón, Olivia (9 de octubre de 2018). "Google cerrará Google+ después de no revelar la violación de datos del usuario". El guardián . Consultado el 10 de octubre de 2018 .
^ "Violación de datos de MyFitness Pal 15 de marzo de 2018: pirateado". www.javarosa.org . Archivado desde el original el 31 de marzo de 2018 . Consultado el 3 de abril de 2018 .
^ "Violación de Saks, Lord & Taylor: datos robados en 5 millones de tarjetas". CNNMoney . Abril de 2018 . Consultado el 3 de abril de 2018 .
^ "El sistema de salud de Singapur se vio afectado por la 'violación más grave de datos personales' en un ciberataque; los datos del primer ministro Lee fueron el objetivo". Archivado desde el original el 26 de julio de 2018 . Consultado el 20 de julio de 2018 .
^ Tham, Irene (20 de julio de 2018). "La información personal de 1,5 millones de pacientes de SingHealth, incluido el primer ministro Lee, fue robada en el peor ciberataque de Singapur". Los tiempos del estrecho .
^ "Todo lo que necesita saber sobre la violación de datos de Reddit". siliciorepublic.com . 2018-08-02 . Consultado el 5 de diciembre de 2018 .
^ "Robo de datos de clientes". British Airways . Consultado el 20 de octubre de 2018 .
^ Sandle, Paul (6 de septiembre de 2018). "BA se disculpa después de que 380.000 clientes sufrieran un ciberataque". Reuters . Consultado el 20 de octubre de 2018 .
^ "US CMS dice que se accedió a 75.000 archivos de personas en violación de datos". Crónica de Deccán . 20 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
^ "Contraseñas de 100 millones de usuarios de Quora robadas en una violación de datos" . 4 de diciembre de 2018. Archivado desde el original el 12 de enero de 2022 . Consultado el 27 de enero de 2019 .
^ Ng, Alfred (16 de enero de 2019). "Fortnite tenía una vulnerabilidad de seguridad que permitía a los piratas informáticos apoderarse de las cuentas". CNET .
^ O'Donnell, Lindsey (31 de agosto de 2020). "Las cuentas robadas de Fortnite hacen que los piratas informáticos ganen millones al año". puesto de amenaza .
^ Batchelor, James (12 de agosto de 2019). "Epic Games se enfrenta a una demanda colectiva por la violación de datos de Fortnite". GamesIndustry.biz .
^ Novaes Neto, Nelson; Madnick, Stuart E.; Moraes G. de Paula, Anquises; Malara Borges, Natasha (2020). "Un estudio de caso de la filtración de datos de Capital One". Revista Electrónica SSRN . doi :10.2139/ssrn.3542567. ISSN 1556-5068.
^ "El unicornio tecnológico australiano Canva sufre una violación de seguridad". ZDNet . Consultado el 7 de diciembre de 2019 .
^ "139 millones de usuarios afectados por una filtración de datos de Canva". Guía de Tom . 24 de mayo de 2019 . Consultado el 7 de diciembre de 2019 .
^ "Un hacker provoca una filtración masiva de datos en Bulgaria". Archivado desde el original el 29 de septiembre de 2020 . Consultado el 17 de julio de 2019 .
^ "La base de datos filtra datos sobre la mayoría de los ciudadanos de Ecuador, incluidos 6,7 millones de niños". ZDNet . 16 de septiembre de 2019 . Consultado el 16 de septiembre de 2019 .
^ Abrams, L. (14 de julio de 2020). "La violación de datos de Wattpad expone la información de la cuenta de millones de usuarios". Computadora que suena . Consultado el 29 de diciembre de 2023 .
^ "La violación de datos de Animal Jam amenaza la privacidad de los niños". Corporación Zoho. 2023 . Consultado el 29 de diciembre de 2023 .
^ Sanger, David E.; Perlroth, Nicole; Schmitt, Eric (15 de diciembre de 2020). "El alcance de la piratería rusa se vuelve claro: varias agencias estadounidenses resultaron afectadas". Los New York Times .
^ "Hack de Microsoft: 3.000 servidores de correo electrónico del Reino Unido siguen sin ser seguros". Noticias de la BBC . 2021-03-12 . Consultado el 12 de marzo de 2021 .
^ Díaz-Struck, Emilia; et al. (3 de octubre de 2021). "Pandora Papers: Un tsunami de datos extraterritoriales. Los 11,9 millones de registros de Pandora Papers llegaron de 14 empresas de servicios extraterritoriales diferentes en una mezcla de archivos y formatos, incluso tinta sobre papel, que presentan un enorme desafío de gestión de datos". Consorcio Internacional de Periodistas de Investigación . Consultado el 5 de octubre de 2021 .
^ Faife, Corin (3 de marzo de 2022). "Un grupo vinculado a Anonymous piratea un sitio de investigación espacial ruso y afirma filtrar archivos de la misión". El borde . Consultado el 9 de marzo de 2022 .
^ Boland, Lauren (17 de abril de 2023). "Se está llevando a cabo una investigación sobre un ciberataque que afecta a organizaciones benéficas para sobrevivientes de agresión sexual". El diario.es decir . Consultado el 18 de abril de 2023 .
enlaces externos
"Data Loss Database" es un proyecto de investigación destinado a documentar incidentes de pérdida de datos conocidos y notificados en todo el mundo.