Siamo a fine anno ed è ora di tirare le somme: vediamo i peggiori data breach del 2018

Siamo a fine anno e, come ogni anno, è il momento di tiare le somme. Questo vale anche per la sicurezza informatica.

Il 2018 è stato un anno pieno di avvenimenti in campo di protezione dei dati, il più importante fra tutti è sicuramente l’entrata in vigore del GDPR del 25 maggio.

Da quella data sono iniziati a venire fuori le dichiarazioni riferite a diversi attacchi subiti dalle aziende nel corso di questi 12 mesi (o comunque scoperti durante l’anno) che hanno colpito i dati personali di migliaia di persone.

Vediamo la top 10 dei più disastrosi data breach del 2018.

10. Facebook: luglio 2017 – settembre 2018

Per Facebook il 2018 è stato sicuramente un anno nero. I guai passati dal social network sono stati moltissimi e le falle sulla sicurezza dei loro sistemi non sono certo passate inosservate, soprattutto al Parlamento Europeo.

L’accatto al numero 10 della nostra classifica ha permesso ad alcuni malintenzionati di sfruttare vulnerabilità nel codice di Facebook per mettere le mani su “token di accesso” (essenzialmente chiavi digitali che consentono loro l’accesso completo agli account degli utenti compromessi) e quindi a scansionare i dati degli utenti.

Questo data breach si stima abbia causato danni a 29 milioni di utenti.

Ne avevamo parlato qui.

9. Chegg: 29 aprile 2018 – 19 settembre 2018

Chegg è una azienda specializzata in noleggio di libri di testo online (sia in formato fisico che digitale), aiuto per i compiti, tutoraggio online, borse di studio e matching per stage. È pensato per aiutare gli studenti delle scuole superiori e del college.

In questo caso l’azienda è stata violata e sono state sottratti nomi utenti e password. Il danno stimato è di circa 40 milioni di profili violati.

8. Google+: 2015 – marzo 2018, 7 novembre – 13 novembre

Nemmeno il colosso Google è stato risparmiato. Il punto debole, in questo caso, è stato il social Google+ che ha permesso, a causa di un bug, l’esportazione dei dati personali dei suoi utenti.

Il danno stimato è di 52,5 milioni di sottoscrittori violati e la chiusura del social prevista per aprile 2019.

Più info qui.

7. Cambridge Analytica feat. Facebook: anno 2015

Non è stato il caso che ha messo a rischio più utenti in assoluto ma è sicuramente quello che ha destato il maggior effetto mediatico: una app realizzata per definire la personalità di chi la scaricava, chiamata “thisideourdigital life”, trasmetteva impropriamente informazioni degli utenti a società terze, tra cui Cambridge Analytica, un’azienda che pare abbia usato queste informazioni per creare annunci mirati e fake news a sfondo politico, favorendo la vittoria di Trump alle presidenziali USA.

Cosa c’entra Facebook? L’app è stata scaricata da “soli” 270.000 utenti ma, grazie alle politiche di condivisione di informazioni del social, i dati raccolti sono stati, grazie alle connessioni di “amicizia” virtuale, 87 milioni.

Qui ne avevamo parlato meglio. 

6. MyHeritage: 26 ottobre 2017

Il sito MyHeritage, che conserva informazioni sul dna di milioni di utenti per collegarli attraverso le parentele di antenati, è stato attaccato a fine 2017, mettendo a rischio 92 milioni di password e email.

Qui la storia e gli effetti del GDPR.

5. Quora – scoperto nel novembre 2018

Il sito di domande Quora è stato attaccato da alcuni hacker che sono riusciti a entrare nei loro server, ottenendo un accesso non autorizzato.

Le informazioni coinvolte nella breccia alla sicurezza del sito, legate direttamente agli account, sarebbero nome, indirizzo email e IP, password crittografata e dati importati da reti collegate dagli utenti. Altre informazioni trafugate riguarderebbero dei contenuti e azioni pubbliche sul sito come le domande, le risposte, i commenti e gli upvotes. Infine sarebbero stati trafugati contenuti e azioni non pubblici, ad esempio richieste di risposta, downvotes e messaggi privati.

Gli utenti colpiti sono circa 100 milioni.

Qui la storia. 

4. MyFitnessPal – febbraio 2018

Cos’è successo: un “soggetto non autorizzato” ha ottenuto l’accesso ai dati dagli account utente su MyFitnessPal, un’app di fitness di proprietà di Under Armour.

Utenti colpiti: 150 milioni.

3. Exactis – giugno 2018

Un esperto di sicurezza informatica ha individuato un database “con praticamente tutti i cittadini statunitensi” esposti “su un server accessibile pubblicamente”, anche se non è chiaro se qualche hacker abbia avuto accesso a tali informazioni. Questi dati comprendevano numeri di telefono, indirizzi, mail e nominativi di circa 340 milioni di persone.

Qui c’è la storia ma è in inglese.

 2. Hotel Marriott Starwood – 2014 – settembre 2018

Dal 2014 un’intrusione ai sistemi di prenotazione degli hotel Starwood ha permesso di violare e copiare le informazioni private (nomi, numeri di telefono, delle carte di pagamento con data e scadenza) di 500 milioni degli ospiti.
Ecco cosa è successo

 1. Aadhaar – non si sa quando sia iniziata la violazione ma è stata scoperta a marzo 2018

Ed ecco il vincitore.

Il database ID del governo indiano, che memorizza l’identità dei cittadini e le loro informazioni biometriche, ha avuto “una fuga di dati su un sistema gestito da una società di servizi statali di nome Indane”. Indane non aveva protetto correttamente la API, che è utilizzata per accedere al database, che ha dato a chiunque l’accesso alle informazioni di Aadhaar.

Si stima siano stati colpiti circa 1.1 miliari di utenti.