Una violación de datos es la liberación intencional o no intencional de información segura o privada / confidencial a un entorno no confiable. Otros términos para este fenómeno incluyen divulgación de información no intencional , fuga de datos , fuga de información y también derrame de datos . Los incidentes van desde ataques concertados de sombreros negros o personas que piratean para obtener algún tipo de beneficio personal, asociados con el crimen organizado , activistas políticos o gobiernos nacionales, hasta la eliminación descuidada de equipos informáticos usados o medios de almacenamiento de datos. y fuente imposible de piratear.
Definición: "Una violación de datos es una violación de seguridad en la que los datos sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados o utilizados por una persona no autorizada para hacerlo". [1] Las filtraciones de datos pueden involucrar información financiera como datos de tarjetas de crédito y débito, datos bancarios, información de salud personal (PHI), información de identificación personal (PII), secretos comerciales de corporaciones o propiedad intelectual . La mayoría de las filtraciones de datos involucran datos no estructurados vulnerables y sobreexpuestos : archivos, documentos e información confidencial. [2]
Las violaciones de datos pueden ser bastante costosas para las organizaciones con costos directos (remediación, investigación, etc.) e indirectos (daños a la reputación, brindar seguridad cibernética a las víctimas de datos comprometidos, etc.)
Según la organización de consumidores sin fines de lucro Privacy Rights Clearinghouse, un total de 227,052,199 registros individuales que contenían información personal sensible estuvieron involucrados en violaciones de seguridad en los Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo incidentes donde los datos sensibles aparentemente no estuvieron realmente expuestos. [3]
Muchas jurisdicciones han aprobado leyes de notificación de violación de datos , que requieren que una empresa que ha estado sujeta a una violación de datos informe a los clientes y tome otras medidas para remediar posibles lesiones.
Definición
Una violación de datos puede incluir incidentes como robo o pérdida de medios digitales , como cintas de computadora , discos duros o computadoras portátiles que contienen dichos medios en los que dicha información se almacena sin cifrar , la publicación de dicha información en la red mundial o en una computadora a la que se pueda acceder de otra manera. desde Internet sin las debidas precauciones de seguridad de la información , la transferencia de dicha información a un sistema que no está completamente abierto pero que no está acreditada de manera apropiada o formal para la seguridad al nivel aprobado, como correo electrónico no cifrado , o transferencia de dicha información a la información sistemas de una agencia posiblemente hostil, como una corporación competidora o una nación extranjera, donde puede estar expuesta a técnicas de descifrado más intensivas. [4]
ISO / IEC 27040 define una violación de datos como: compromiso de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos protegidos transmitidos, almacenados o procesados de otra manera . [5]
Confianza y privacidad
La noción de un entorno de confianza es algo fluida. La partida de un miembro del personal de confianza con acceso a información confidencial puede convertirse en una violación de datos si el miembro del personal retiene el acceso a los datos después de la terminación de la relación de confianza. En los sistemas distribuidos, esto también puede ocurrir con una ruptura en una red de confianza . La calidad de los datos es una forma de reducir el riesgo de una violación de datos, [6] en parte porque permite al propietario de los datos clasificarlos según su importancia y brindar una mejor protección a los datos más importantes.
La mayoría de estos incidentes publicados en los medios de comunicación involucran información privada sobre personas, por ejemplo , números de seguridad social . La pérdida de información corporativa, como secretos comerciales , información corporativa confidencial y detalles de contratos , o de información gubernamental, con frecuencia no se informa, ya que no existe una razón de peso para hacerlo en ausencia de daños potenciales a los ciudadanos privados y la publicidad en torno a tales un evento puede ser más dañino que la pérdida de los datos en sí. [7]
Amenazas internas versus amenazas externas
Quienes trabajan dentro de una organización son una de las principales causas de filtraciones de datos. Las estimaciones de infracciones causadas por errores accidentales de "factor humano" oscilan entre el 37% del Ponemon Institute [8] y el 14% del Informe de Investigaciones de Fugas de Datos de Verizon 2013. [9] La categoría de amenaza externa incluye hackers, organizaciones ciberdelincuentes y actores patrocinados por el estado. Las asociaciones profesionales de administradores de activos de TI [10] trabajan enérgicamente con los profesionales de TI para educarlos sobre las mejores prácticas de reducción de riesgos [11] para amenazas internas y externas a los activos, software e información de TI. Si bien la prevención de la seguridad puede desviar un alto porcentaje de intentos, en última instancia, es probable que un atacante motivado encuentre un camino hacia una red determinada. Una de las 10 citas principales del CEO de Cisco , John Chambers, es: "Hay dos tipos de empresas: las que han sido pirateadas y las que no saben que han sido pirateadas". [12] El agente especial del FBI para operaciones especiales cibernéticas, Leo Taddeo, advirtió en la televisión Bloomberg: "La idea de que puede proteger su perímetro se está quedando en el camino y la detección ahora es fundamental". [13]
Violación de datos médicos
Algunas celebridades se han encontrado a sí mismas como víctimas de violaciones inapropiadas de acceso a los registros médicos, aunque más a nivel individual, no como parte de una violación típicamente mucho mayor. [14] Dada la serie de violaciones de datos médicos y la falta de confianza del público, algunos países han promulgado leyes que exigen que se establezcan salvaguardias para proteger la seguridad y la confidencialidad de la información médica que se comparte electrónicamente y para otorgar a los pacientes algunos derechos importantes. para monitorear sus registros médicos y recibir notificaciones por pérdida y adquisición no autorizada de información médica. Estados Unidos y la UE han impuesto notificaciones obligatorias de violación de datos médicos. [15] Las infracciones notificables de información médica son cada vez más comunes en los Estados Unidos. [dieciséis]
Consecuencias
Aunque estos incidentes plantean el riesgo de robo de identidad u otras consecuencias graves, en la mayoría de los casos no hay daños duraderos; o la brecha en la seguridad se corrige antes de que personas sin escrúpulos accedan a la información, o el ladrón solo está interesado en el hardware robado, no en los datos que contiene. Sin embargo, cuando tales incidentes se hacen públicos, es habitual que la parte infractora intente mitigar los daños proporcionando a la víctima la suscripción a una agencia de informes crediticios , por ejemplo, nuevas tarjetas de crédito u otros instrumentos. En el caso de Target, la infracción de 2013 le costó a Target una caída significativa en las ganancias, que se estimó en un 40 por ciento en el cuarto trimestre del año. [18] A fines de 2015, Target publicó un informe en el que afirmaba una pérdida total de 290 millones de dólares por tarifas relacionadas con la violación de datos. [19]
La brecha de Yahoo revelada en 2016 puede ser una de las más caras en la actualidad. Puede reducir el precio de su adquisición por parte de Verizon en mil millones de dólares. [20] Verizon luego dio a conocer su renegociación a Yahoo acordando reducir el precio final de $ 4.8 a $ 4.48 mil millones. [21] Según DNV GL, un organismo internacional de certificación y sociedad de clasificación con sede en Noruega, los delitos cibernéticos cuestan a las empresas de energía y servicios públicos un promedio de $ 12,8 millones cada año en negocios perdidos y equipo dañado. [22] Las filtraciones de datos le han costado a las organizaciones sanitarias 6.200 millones de dólares en los últimos dos años (presumiblemente en 2014 y 2015), según un estudio de Ponemon. [23]
En la atención médica, más de 25 millones de personas han sufrido el robo de su atención médica, lo que ha provocado el robo de identidad de más de 6 millones de personas, y el costo de bolsillo de las víctimas es cercano a los $ 56 mil millones. [24] La Cámara de Compensación de Derechos de Privacidad (PRC) ha mostrado registros desde enero de 2005 hasta diciembre de 2018 que ha habido más de 9000 eventos de violaciones. Además, las causas conducen a cada infracción, como ataque interno, fraude con tarjetas de pago, dispositivo portátil perdido o robado, malware infectado y envío de un correo electrónico a la persona equivocada (DISC). Esto muestra que muchos de los errores comunes que conducen a una violación de datos son los humanos que cometen errores que permiten a los piratas informáticos explotarlos y realizar un ataque. [25]
Es notoriamente difícil obtener información sobre la pérdida de valor directa e indirecta resultante de una violación de datos. Un enfoque común para evaluar el impacto de las filtraciones de datos es estudiar la reacción del mercado a un incidente como un indicador de las consecuencias económicas. Por lo general, esto se lleva a cabo mediante el uso de estudios de eventos , donde se puede construir una medida del impacto económico del evento utilizando los precios de los valores observados durante un período de tiempo relativamente corto. Se han publicado varios estudios de este tipo con hallazgos variables, incluidos trabajos de Kannan, Rees y Sridhar (2007), [26] Cavusoglu, Mishra y Raghunathan (2004), [27] Campbell, Gordon, Loeb y Lei (2003). ) [28] , así como Schatz y Bashroush (2017). [29]
Dado que el volumen de datos está creciendo exponencialmente en la era digital y las fugas de datos ocurren con más frecuencia que nunca, evitar que la información confidencial se filtre a partes no autorizadas se convierte en una de las preocupaciones de seguridad más urgentes para las empresas. [30] Para salvaguardar los datos y las finanzas, las empresas y las empresas a menudo tienen que incurrir en costos adicionales para tomar medidas preventivas sobre posibles violaciones de datos. [31] De 2017 a 2021, el gasto mundial previsto en seguridad de Internet superará el billón de dólares. [31]
Incidentes mayores
Los incidentes notables incluyen:
2005
- Ameriprise Financial , computadora portátil robada , 24 de diciembre, 260.000 registros de clientes [3]
- ChoicePoint , febrero, 163.000 registros de consumidores [32]
2006
- Escándalo de datos de búsqueda de AOL (a veces denominado "Data Valdez ", [33] [34] [35] debido a su tamaño)
- Departamento de Asuntos de Veteranos , mayo, 28,600,000 veteranos, reservas y personal militar en servicio activo [3] [36]
- Ernst & Young , mayo, 234.000 clientes de Hoteles.com (después de una pérdida similar de datos sobre 38.000 empleados de clientes de Ernst & Young en febrero) [3]
- Boeing , diciembre, 382.000 empleados (después de pérdidas similares de datos sobre 3.600 empleados en abril y 161.000 empleados en noviembre de 2005) [3]
2007
- DA Davidson & Co. 192.000 nombres de clientes, cuentas de clientes y números de seguridad social, direcciones y fechas de nacimiento [37]
- La pérdida de 2007 de datos estatales de Ohio y Connecticut por Accenture
- TJ Maxx , datos de 45 millones de cuentas de crédito y débito [38]
- Escándalo de datos sobre prestaciones por hijos en el Reino Unido de 2007
- CGI Group , agosto, 283.000 jubilados de la ciudad de Nueva York [3]
- The Gap , septiembre, 800.000 solicitantes de empleo [3]
- Memorial Blood Center, diciembre, 268.000 donantes de sangre [3]
- Comisión Electoral del Condado de Davidson, diciembre, 337.000 votantes [3]
2008
- En enero de 2008, GE Money , una división de General Electric , reveló que se sabe que una cinta magnética que contiene 150.000 números de seguro social e información de tarjetas de crédito en la tienda de 650.000 clientes minoristas falta en una instalación de almacenamiento de Iron Mountain Incorporated . JC Penney se encuentra entre los 230 minoristas afectados. [39]
- Horizon Blue Cross and Blue Shield of New Jersey , enero, 300.000 miembros [3]
- Lifeblood, febrero, 321.000 donantes de sangre [3]
- Filtración de la lista de miembros del Partido Nacional Británico [40]
- A principios de 2008, Countrywide Financial (desde que fue adquirida por Bank of America ) presuntamente fue víctima de una violación de datos cuando, según informes de noticias y documentos judiciales, el empleado Rene L.Rebollo Jr. robó y vendió hasta 2,5 millones de información personal de clientes, incluida números de seguro social. [41] [42] Según la demanda legal: "A partir de 2008, coincidentemente después de que vendieron sus carteras hipotecarias bajo 'grupos de titulización' ilícitos y fraudulentos, y coincidentemente después de que su cartera hipotecaria entrara en un impago masivo como resultado de ello - Countrywide aprendió que la información financiera de potencialmente millones de clientes había sido robada por ciertos agentes, empleados u otras personas de Countrywide ". [43] En julio de 2010, Bank of America resolvió más de 30 demandas colectivas relacionadas ofreciendo monitoreo de crédito gratuito, seguro contra robo de identidad y reembolso por pérdidas a hasta 17 millones de consumidores afectados por la presunta violación de datos. El acuerdo se estimó en $ 56,5 millones sin incluir los costos judiciales. [44]
2009
- En diciembre de 2009, un RockYou! La base de datos de contraseñas fue violada que contenía 32 millones de nombres de usuario y contraseñas de texto sin formato, comprometiendo aún más el uso de contraseñas débiles para cualquier propósito.
- En mayo de 2009, The Daily Telegraph reveló el escándalo de gastos parlamentarios del Reino Unido . A finales de abril se ofreció a varios periódicos del Reino Unido un disco duro que contenía los recibos escaneados de los miembros del Parlamento del Reino Unido y sus colegas de la Cámara de los Lores, y The Daily Telegraph finalmente lo adquirió. Publicaron detalles en entregas a partir del 8 de mayo. Aunque el Parlamento tenía la intención de que los datos se publicaran, esto debía estar en forma redactada, con los detalles que los miembros individuales consideraban "sensibles" en blanco. El periódico publicó escaneos no redactados que mostraban detalles de los reclamos, muchos de los cuales parecían infringir las reglas y sugerían un abuso generalizado del sistema de gastos generosos. La tormenta mediática resultante provocó la dimisión del presidente de la Cámara de los Comunes y el enjuiciamiento y encarcelamiento de varios diputados y lores por fraude. El sistema de gastos fue revisado y reforzado, poniéndose más a la par con los esquemas de la industria privada. El Servicio de Policía Metropolitana continúa investigando posibles fraudes y el Servicio de Fiscalía de la Corona está considerando nuevos enjuiciamientos. Varios diputados y lores se disculparon e hicieron una restitución total, parcial o nula, y mantuvieron sus asientos. Otros que habían sido avergonzados en los medios de comunicación no se ofrecieron a la reelección en las elecciones generales del Reino Unido de 2010 . Aunque contaba con menos de 1.500 personas, el asunto recibió la mayor cobertura mediática mundial de cualquier violación de datos (en febrero de 2012).
- En enero de 2009, Heartland Payment Systems anunció que había sido "víctima de una violación de seguridad dentro de su sistema de procesamiento", posiblemente parte de una "operación global de fraude cibernético". [45] La intrusión ha sido calificada como la mayor violación criminal de datos de tarjetas hasta la fecha, con estimaciones de hasta 100 millones de tarjetas de más de 650 empresas de servicios financieros comprometidas. [46]
2010
- A lo largo del año, Chelsea Manning dio a conocer al público grandes volúmenes de datos militares secretos.
2011
- En abril de 2011, Sony experimentó una violación de datos dentro de su PlayStation Network . Se estima que la información de 77 millones de usuarios se vio comprometida.
- En marzo de 2011, RSA SecurID sufrió una violación de su almacén de claves semilla del sistema de tokens SecurID, donde se robaron las claves semilla para su sistema de autenticación de 2 factores , lo que permitió a los atacantes replicar los tokens de hardware utilizados para el acceso seguro en entornos corporativos y gubernamentales.
- En junio de 2011, Citigroup reveló una violación de datos dentro de la operación de su tarjeta de crédito, que afectó aproximadamente a 210.000 o el 1% de las cuentas de sus clientes. [47]
2012
- En el verano de 2012, el escritor senior de Wired.com , Mat Honan, afirma que "los piratas informáticos destruyeron toda mi vida digital en el lapso de una hora" al piratear sus contraseñas de Apple, Twitter y Gmail para obtener acceso a su cuenta de Twitter y en el proceso, afirma que los piratas informáticos borraron todos sus dispositivos, borrando todos sus mensajes y documentos, incluidas todas las fotos que había tomado de su hija de 18 meses. [48] El exploit se logró con una combinación de información. proporcionada a los piratas informáticos por el soporte técnico de Amazon a través de la ingeniería social , y el sistema de recuperación de contraseñas de Apple que utilizó esta información. [49] En relación con su experiencia, Mat Honan escribió un artículo en el que explicaba por qué las contraseñas no pueden mantener seguros a los usuarios. [50]
- En octubre de 2012, una agencia de aplicación de la ley se comunicó con el Departamento de Ingresos de Carolina del Sur (DoR) con evidencia de que se había robado información de identificación personal (PII) de tres personas. [51] Más tarde se informó que un estimado de 3.6 millones de números de Seguro Social se vieron comprometidos junto con 387,000 registros de tarjetas de crédito. [52]
2013
- En octubre de 2013, Adobe Systems reveló que su base de datos corporativa fue pirateada y se robaron unos 130 millones de registros de usuarios. Según Adobe, "durante más de un año, el sistema de autenticación de Adobe ha codificado las contraseñas de los clientes mediante el algoritmo SHA-256 , incluido el procesamiento de las contraseñas y la iteración del hash más de 1.000 veces. Este sistema no fue objeto del ataque que publicamos divulgado el 3 de octubre de 2013. El sistema de autenticación involucrado en el ataque era un sistema de respaldo y fue designado para ser desmantelado. El sistema involucrado en el ataque utilizó cifrado Triple DES para proteger toda la información de contraseña almacenada ". [53]
- A finales de noviembre y principios de diciembre de 2013, Target Corporation anunció que se robaron datos de alrededor de 70 millones de tarjetas de crédito y débito . Es la segunda violación más grande de tarjetas de crédito y débito después de la violación de datos de TJX Companies, donde se vieron afectadas casi 46 millones de tarjetas. [54]
- En 2013, Edward Snowden publicó una serie de documentos secretos que revelaron un espionaje generalizado por parte de la Agencia de Seguridad Nacional de los Estados Unidos y agencias similares en otros países.
2014
- En agosto de 2014, se robaron casi 200 fotografías de celebridades de las cuentas de iCloud de Apple y se publicaron en el sitio web del panel de imágenes 4chan . Una investigación de Apple descubrió que las imágenes se obtuvieron "mediante un ataque muy dirigido a nombres de usuario, contraseñas y preguntas de seguridad". [55] Sin embargo, Apple reforzó la seguridad de iCloud a través de una autenticación de 2 factores opt-in, después de la violación de una celebridad. [1]
- En septiembre de 2014, Home Depot sufrió una violación de datos de 56 millones de números de tarjetas de crédito. [56]
- En octubre de 2014, Staples sufrió una violación de datos de 1,16 millones de tarjetas de pago de clientes. [57]
- En noviembre de 2014 y durante semanas después , Sony Pictures Entertainment sufrió una filtración de datos que involucraba información personal sobre los empleados de Sony Pictures y sus familias, correos electrónicos entre empleados, información sobre salarios ejecutivos en la compañía, copias de películas de Sony (previamente) inéditas y otra información. Los piratas informáticos involucrados afirman haber tomado más de 100 terabytes de datos de Sony. [58]
2015
- En octubre de 2015, el proveedor de telecomunicaciones británico TalkTalk sufrió una violación de datos cuando un grupo de piratas informáticos de 15 años robó información sobre sus 4 millones de clientes. El precio de las acciones de la compañía cayó sustancialmente debido al problema, alrededor del 12%, debido en gran parte a la mala publicidad que rodeó la filtración. [59]
- En julio de 2015, el sitio web para adultos Ashley Madison sufrió una violación de datos cuando un grupo de piratas informáticos robó información sobre sus 37 millones de usuarios. Los piratas informáticos amenazaron con revelar nombres de usuario y detalles específicos si Ashley Madison y un sitio similar, EstablishctedMen.com, no cerraban permanentemente. [60]
- En febrero de 2015, Anthem sufrió una violación de datos de casi 80 millones de registros, incluida información personal como nombres, números de seguro social, fechas de nacimiento y otros detalles confidenciales. [61]
- En junio de 2015, la Oficina de Gestión de Personal del gobierno de EE. UU. Sufrió una violación de datos en la que se piratearon y robaron los registros de 22,1 millones de empleados federales actuales y anteriores de los Estados Unidos. [62]
2016
- En febrero de 2016, el hacker británico de 15 años Kane Gamble filtró los datos personales de más de 20.000 empleados del FBI [63], incluidos los nombres de los empleados, cargos, números de teléfono y direcciones de correo electrónico. [64] El juez dijo que Gamble se involucró en "terrorismo cibernético por motivos políticos". [sesenta y cinco]
- En marzo de 2016, el sitio web de la Comisión Electoral de Filipinas fue desfigurado por el grupo hacktivista " Filipinas anónima ". Un problema mayor surgió cuando un grupo llamado LulzSec Pilipinas subió la base de datos completa de COMELEC en Facebook al día siguiente. [66]
- En abril de 2016, los medios de comunicación llevaron información robada de un exitoso ataque a la red del bufete de abogados centroamericano Mossack Fonseca , y los “ Papeles de Panamá ” resultantes enviaron repercusiones en todo el mundo. [67] Tal vez una justificación justificada de una actividad ilegal o poco ética, esto, sin embargo, ilustra el impacto de los secretos que salen a la luz. El Primer Ministro de Islandia se vio obligado a dimitir [68] y se produjo una importante reorganización de los cargos políticos en países tan lejanos como Malta. [69] investigaciones múltiples se iniciaron inmediatamente en países de todo el mundo, incluyendo una mirada a internacionales [70] normas bancarias o en alta mar en los EE.UU. [71] Obviamente, las implicaciones son enormes a la capacidad de una organización, ya sea un bufete de abogados o un departamento gubernamental — para guardar secretos. [72]
- En septiembre de 2016, Yahoo informó que hasta 500 millones de cuentas en 2014 habían sido violadas en una aparente violación de datos "patrocinada por el estado". Más tarde, en octubre de 2017, se informó que se habían violado 3.000 millones de cuentas, lo que representaba todas las cuentas de Yahoo en ese momento.
2017
- Vault 7 , las técnicas de piratería de la CIA reveladas en la filtración de datos. [73] Los documentos filtrados, con nombre en código Bóveda 7 y que datan de 2013-2016 detalle las capacidades de la CIA para llevar a cabo la vigilancia electrónica y la guerra cibernética, [74] , tales como la capacidad de comprometer los sistemas operativos de la mayoría de los teléfonos inteligentes (incluyendo de Apple s' iOS y Google 's Android ), así como otros sistemas operativos como Microsoft Windows , macOS , y Linux . [75] Joshua Adam Schulte , un ex empleado de la CIA, ha sido acusado de filtrar secretos de piratería informática de la CIA a WikiLeaks. [76]
- Equifax , julio de 2017, 145,500,000 registros de consumidores, la mayor filtración de datos conocida en la historia en ese momento [77], lo que conduce a la posibilidad de la demanda colectiva más grande de la historia [78] A principios de octubre de 2017, las ciudades de Chicago y San Francisco y la Commonwealth of Massachusetts han presentado acciones de ejecución contra Equifax luego de la violación de datos de julio de 2017, en la que los piratas informáticos supuestamente explotaron una vulnerabilidad en el software de código abierto utilizado para crear el portal de disputas del consumidor en línea de Equifax. [79] Los piratas informáticos no solo tenían información de los residentes de EE. UU. Sino también del Reino Unido y los canadienses. [80]
- Estados Unidos - Documentos militares clasificados de Corea del Sur , octubre de 2017. Un legislador surcoreano afirmó que los piratas informáticos norcoreanos robaron más de 235 gigabytes de documentos militares del Centro de Datos Integrados de Defensa en septiembre de 2016. Los documentos filtrados incluían planes operativos de guerra de Corea del Sur y Estados Unidos. [81]
- Paradise Papers , noviembre de 2017.
2018
- Escándalo de datos de Facebook y Cambridge Analytica en marzo. [82]
- En marzo, Google identificó una vulnerabilidad que exponía la información personal de casi medio millón de usuarios. Si bien parchearon la vulnerabilidad, no revelaron la exposición a los usuarios hasta que The Wall Street Journal informó sobre el problema 6 meses después del hecho. [83]
- El 1 de agosto, Reddit reveló que fueron pirateados. El pirata informático pudo comprometer las cuentas de los empleados a pesar de que utilizaron la autenticación de dos factores basada en SMS . Reddit se negó a revelar la cantidad de usuarios afectados. [84]
- El 29 de marzo, Under Armour reveló una violación de datos de 150 millones de cuentas en MyFitnessPal , con datos comprometidos que consisten en nombres de usuario, direcciones de correo electrónico de los usuarios y contraseñas hash. Under Armour fue notificado de la violación en la semana del 19 al 25 de marzo, y que la filtración ocurrió en algún momento de febrero. [85]
- El 1 de abril se informó que se produjo una filtración de datos en Saks Fifth Avenue / Lord & Taylor . Aproximadamente 5 millones de titulares de tarjetas de crédito pueden haber visto comprometidos sus datos en las tiendas de América del Norte. [86]
- El 20 de julio se informó que el 4 de julio se produjo una filtración de datos en SingHealth , una de las organizaciones de salud más grandes de Singapur, con alrededor de 1,5 millones de datos personales (incluidos los datos de algunos ministros, incluido el primer ministro de Singapur, Lee Hsien Loong ). Los ministros en una conferencia de prensa calificaron la violación de datos como la "violación más grave de datos personales". [87] [88]
- El 7 de septiembre se informó que British Airways experimentó un robo de datos de aproximadamente 380.000 registros de clientes, incluidos los datos bancarios completos. [89] [90]
- El 19 de octubre, los Centros de Servicios de Medicare y Medicaid (CMS) de EE. UU . Informaron sobre una filtración de datos que expuso los archivos de 75.000 personas. [91]
- El 3 de diciembre, Quora informó sobre una violación de datos que afectó los datos de sus 100 millones de usuarios. [92]
2019
- En mayo, se expusieron datos personales de aproximadamente 139 millones de usuarios del servicio de diseño gráfico Canva , incluidos nombres reales de usuarios, nombres de usuario, direcciones e información geográfica y hash de contraseñas. [93] [94]
- El 16 de julio, la Agencia Nacional de Ingresos de Bulgaria, una rama del Ministerio de Finanzas del país. [95]
- En septiembre, los datos personales de toda la población de Ecuador de 17 millones, junto con las personas fallecidas, fueron violados después de que una empresa de análisis de marketing Novestrat administraba un servidor no seguro que filtrara nombres completos, fechas, lugares de nacimiento, educación, números de teléfono y números de identidad nacional. [96]
2020
- El 7 de julio, el sitio de escritura Wattpad sufrió una importante violación de datos por parte de ShinyHunters , que involucró a más de 270 millones de usuarios; Los datos de los usuarios se vendieron en un foro en la darknet , incluidos los hash de contraseñas. [97]
- A mediados de diciembre de 2020, se informó que varias entidades del gobierno federal de los EE. UU. Y muchas organizaciones privadas en todo el mundo que usaban los productos SolarWinds , Microsoft y VMWare , se convirtieron en víctimas de una violación y piratería de datos extensos . [98]
2021
- 2021 Violación de datos de Microsoft Exchange Server [99]
Ver también
- Divulgación completa (seguridad informática)
- Lista de violaciones de datos
- Capitalismo de vigilancia
- Violaciones de datos en India
Referencias
- ^ Departamento de salud y servicios humanos de Estados Unidos , Administración para niños y familias . Memorando de información . Consultado el 1 de septiembre de 2015.
- ^ "Filtración de los Papeles de Panamá: ¿La nueva normalidad?" . Xconomy. 2016-04-26 . Consultado el 20 de agosto de 2016 .
- ^ a b c d e f g h i j k " Cronología de violaciones de datos ", Cámara de compensación de derechos de privacidad
- ^ Cuando hablamos de incidentes que ocurren en NSS, ¿estamos usando términos comúnmente definidos? , "Preguntas frecuentes sobre incidentes y derrames",Oficina de supervisión de seguridad de la información de los Archivos Nacionales
- ^ "Tecnología de la información - Técnicas de seguridad - Seguridad del almacenamiento" . www.iso.org . Consultado el 24 de octubre de 2020 .
- ^ El NHS debe priorizar la calidad para evitar más violaciones de datos
- ^ Wickelgren, Abraham (2001). "Daños por incumplimiento de contrato: ¿debe el gobierno recibir un trato especial?". Revista de Derecho, Economía y Organización . 17 : 121-148. doi : 10.1093 / jleo / 17.1.121 .
- ^ Riesgo de fraude interno: segundo estudio anual . Ponemon.org (28 de febrero de 2013). Consultado el 10 de junio de 2014.
- ^ Informe de investigaciones de violación de datos de Verizon | Soluciones empresariales de Verizon . VerizonEnterprise.com. Consultado el 10 de junio de 2014.
- ^ Bienvenido a IAITAM Archivado el 16 de febrero de 2015 en la Wayback Machine . Iaitam.org. Consultado el 10 de junio de 2014.
- ^ "La lista de verificación de TI para prevenir la filtración de datos" . IT Solutions & Services Filipinas - Aim.ph . Archivado desde el original el 16 de junio de 2016 . Consultado el 6 de mayo de 2016 .
- ^ "Las 10 citas más memorables de John Chambers como CEO de Cisco" . Mundo de la red . Consultado el 10 de noviembre de 2016 .
- ^ "FBI en Bloomberg TV" . Archivado desde el original el 20 de abril de 2015.
- ^ Ornstein, Charles (15 de marzo de 2008). "Hospital para castigar el espionaje de Spears" . Los Angeles Times . Consultado el 26 de julio de 2013 .
- ^ Kierkegaard, Patrick (2012). "Violaciones de datos médicos: notificación retrasada es notificación denegada". Derecho Informático . 28 (2): 163–183. doi : 10.1016 / j.clsr.2012.01.003 .
- ^ McCoy, Thomas H .; Perlis, Roy H. (25 de septiembre de 2018). "Tendencias temporales y características de las infracciones notificables de datos de salud, 2010-2017" . JAMA . 320 (12): 1282-1284. doi : 10.1001 / jama.2018.9222 . ISSN 1538-3598 . PMC 6233611 . PMID 30264106 .
- ^ "Estudio anual de 2010: costo alemán de una violación de datos" (PDF) . Instituto Ponemon. Febrero de 2011 . Consultado el 12 de octubre de 2011 .
- ^ Harris, Elizabeth A. (27 de febrero de 2014). "La filtración de datos daña las ganancias en el objetivo" . The New York Times . Consultado el 11 de mayo de 2016 .
- ^ Manworren, Nathan; Letwat, Joshua; Daily, Olivia (mayo de 2016). "Por qué debería preocuparse por la violación de datos de Target". Horizontes de negocios . 59 (3): 257–266. doi : 10.1016 / j.bushor.2016.01.002 . ISSN 0007-6813 .
- ^ "Verizon quiere un descuento de mil millones de dólares después de las preocupaciones de privacidad de Yahoo" . TechCrunch . 6 de octubre de 2016.
- ^ Trautman, Lawrence J. (2016). "Estándar de atención de ciberseguridad de directores y funcionarios corporativos: la violación de datos de Yahoo". Serie de documentos de trabajo de la SSRN . doi : 10.2139 / ssrn.2883607 . ISSN 1556-5068 . S2CID 168229059 .
- ^ "Procesamiento de hidrocarburos" . 29 de septiembre de 2016.
- ^ "Las filtraciones de datos cuestan a la industria de la salud 6.200 millones de dólares" . Revisión de ASC de Becker . 12 de mayo de 2016.
- ^ Meisner, Marta (24 de marzo de 2018). "Consecuencias financieras de los ataques cibernéticos que conducen a filtraciones de datos en el sector de la salud" . Revista Copernicana de Finanzas y Contabilidad . 6 (3): 63. doi : 10.12775 / CJFA.2017.017 . ISSN 2300-3065 .
- ^ Hammouchi, Hicham; Cherqi, Othmane; Mezzour, Ghita; Ghogho, Mounir; Koutbi, Mohammed El (1 de enero de 2019). "Profundizar en las infracciones de datos: un análisis de datos exploratorio de las infracciones de piratería a lo largo del tiempo" . Procedia Informática . 151 : 1004–1009. doi : 10.1016 / j.procs.2019.04.141 . ISSN 1877-0509 .
- ^ Kannan, Karthik; Rees, Jackie; Sridhar, Sanjay (septiembre de 2007). "Reacciones del mercado a los anuncios de violación de la seguridad de la información: un análisis empírico". Revista Internacional de Comercio Electrónico . 12 (1): 69–91. doi : 10.2753 / jec1086-4415120103 . ISSN 1086-4415 . S2CID 1267488 .
- ^ Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). "El efecto de los anuncios de incumplimiento de seguridad de Internet en el valor de mercado: reacciones del mercado de capitales para empresas incumplidas y desarrolladores de seguridad de Internet". Revista Internacional de Comercio Electrónico . 9 (1): 69-104. doi : 10.1080 / 10864415.2004.11044320 . JSTOR 27751132 . S2CID 10753015 .
- ^ Campbell, Katherine; Gordon, Lawrence A .; Loeb, Martin P .; Zhou, Lei (1 de julio de 2003). "El costo económico de las brechas de seguridad de la información anunciadas públicamente: evidencia empírica del mercado de valores *" . Revista de seguridad informática . 11 (3): 431–448. doi : 10.3233 / JCS-2003-11308 . ISSN 1875-8924 .
- ^ Schatz, Daniel; Bashroush, Rabih (14 de marzo de 2016). "El impacto de los eventos repetidos de violación de datos en el valor de mercado de las organizaciones" (PDF) . Seguridad informática y de la información . 24 (1): 73–92. doi : 10.1108 / ics-03-2014-0020 . ISSN 2056-4961 .
- ^ Cheng, Long; Liu, Fang; Yao, Dangfei (2017). "Violación de datos empresariales: causas, desafíos, prevención y direcciones futuras" . Datos de ALAMBRES Mín. Knowl. Discov . 7 (5): e1211. doi : 10.1002 / widm.1211 . S2CID 28320918 .
- ^ a b Ryle PM, Goodman L, Soled JA. Consecuencias fiscales de las violaciones de datos y el robo de identidad. Revista de contabilidad . Octubre de 2020: 1-6.
- ^ " ChoicePoint para pagar $ 15 millones por violación de datos ", NBC News
- ^ diccionario de datos Valdez Doubletongued
- ^ Fuga masiva de datos de AOL Archivado el 13 de octubre de 2008 en Wayback Machine , Electronic Frontier Foundation
- ^ datos Valdez , Net Lingo
- ^ " Parte de información de tropas en servicio activo de datos robados de VA Archivado 2010-04-01 en Wayback Machine ", Network World , 6 de junio de 2006
- ^ Manning, Jeff (13 de abril de 2010). "DA Davidson multado por seguridad informática después de violación de datos" . El oregoniano . Consultado el 26 de julio de 2013 .
- ^ "Robo de datos de TJ Maxx peor de lo informado" . NBC News . 2007-03-29 . Consultado el 16 de febrero de 2009 .
- ^ "Cinta de respaldo de GE Money con 650.000 registros que faltan en Iron Mountain" . InformationWeek . Consultado el 11 de mayo de 2016 .
- ^ "Reino Unido - Se publicaron los detalles de los activistas del BNP" . BBC. 2008-11-18 . Consultado el 11 de mayo de 2016 .
- ^ Reckard, E. Scott (24 de agosto de 2010). "Bank of America resuelve demandas por robo de datos en todo el país" . Los Angeles Times .
- ^ " Todo el país demandado por violación de datos, demanda colectiva busca $ 20 millones en daños ", Bank Info Security , 9 de abril de 2010
- ^ " Información privada vendida en todo el país, reclamaciones de clase ", Courthouse News , 5 de abril de 2010
- ^ " La convergencia de datos, identidad y riesgos regulatorios ", Blog de hacer negocios un poco menos riesgoso
- ^ Heartland Payment Systems descubre software malicioso en su sistema de procesamiento. Archivado el 27 de enero de 2009 en Wayback Machine.
- ^ Lecciones de la filtración de datos en Heartland , MSNBC , 7 de julio de 2009
- ^ Greenberg, Andy (9 de junio de 2011). "Citibank revela un por ciento de las cuentas de tarjetas de crédito expuestas en intrusión de piratas informáticos" . Forbes . Consultado el 5 de septiembre de 2014 .
- ^ Honan, Mat (15 de noviembre de 2012). "Elimine la contraseña: por qué una cadena de caracteres ya no puede protegernos" . Cableado . Consultado el 17 de enero de 2013 .
- ^ Honan, Mat (6 de agosto de 2012). "Cómo las fallas de seguridad de Apple y Amazon llevaron a mi piratería épica" . Cableado . Consultado el 26 de enero de 2013 .
- ^ "Protección de la persona contra la violación de datos" . La Revisión de la Ley Nacional . Raymond Law Group. 2014-01-14 . Consultado el 17 de enero de 2013 .
- ^ "Informe de respuesta ante incidentes públicos" (PDF) . Estado de Carolina del Sur. 2012-11-12. Archivado desde el original (PDF) el 23 de agosto de 2014 . Consultado el 10 de octubre de 2014 .
- ^ "Carolina del Sur: la madre de todas las violaciones de datos" . El correo y el mensajero . 2012-11-03 . Consultado el 10 de octubre de 2014 .
- ^ Goodin, Dan. (2013-11-01) Cómo un error épico de Adobe podría fortalecer la mano de los crackers de contraseñas . Ars Technica. Consultado el 10 de junio de 2014.
- ^ "Target confirma el acceso no autorizado a los datos de la tarjeta de pago en las tiendas de EE . UU . " . Target Corporation. 19 de diciembre de 2013 . Consultado el 19 de enero de 2016 .
- ^ "Apple Media Advisory: actualización de la investigación de fotografías de celebridades" . Business Wire . StreetInsider.com. 2 de septiembre de 2014 . Consultado el 5 de septiembre de 2014 .
- ^ Melvin Backman (18 de septiembre de 2014). "Home Depot: 56 millones de tarjetas expuestas en incumplimiento" . CNNMoney .
- ^ "Staples: El incumplimiento puede haber afectado a 1,16 millones de tarjetas de clientes" . Fortuna . 19 de diciembre de 2014 . Consultado el 21 de diciembre de 2014 .
- ^ James Cook (16 de diciembre de 2014). "Los piratas informáticos de Sony tienen más de 100 terabytes de documentos. Hasta ahora solo han publicado 200 gigabytes" . Business Insider . Consultado el 18 de diciembre de 2014 .
- ^ "TalkTalk pirateado ... otra vez" . Verificar y asegurar. 2015-10-23. Archivado desde el original el 23 de diciembre de 2015 . Consultado el 23 de octubre de 2015 .
- ^ "Sitio de trampas en línea AshleyMadison pirateado" . krebsonsecurity.com. 2015-07-15 . Consultado el 20 de julio de 2015 .
- ^ "La filtración de datos en la aseguradora de salud Anthem podría afectar a millones" . 15 de febrero de 2015.
- ^ "Los ataques a las bases de datos OPM comprometieron a 22,1 millones de personas, dicen las autoridades federales ". The Washington Post. 9 de julio de 2015.
- ^ " Adolescente británico que 'cyber-aterrorizó' a los funcionarios de inteligencia de Estados Unidos obtiene dos años de detención Archivado 2018-04-22 en Wayback Machine ". El independiente. 21 de abril de 2018.
- ^ "Los piratas informáticos publican información de contacto de 20.000 empleados del FBI archivado 2018-04-22 en Wayback Machine ". CNN. 8 de febrero de 2016.
- ^ El adolescente británico Kane Gamble recibe dos años por piratear al exjefe de la CIA John Brennan. Archivado el 22 de abril de 2018 en Wayback Machine ". Deutsche Welle. 20 de abril de 2018.
- ^ "5 lecciones de seguridad de TI de la violación de datos de Comelec" . IT Solutions & Services Filipinas - Aim.ph . Consultado el 6 de mayo de 2016 .
- ^ La fuga de datos Documentos de Panamá explicó masiva . Mundo de la informática. 5 de abril de 2016.
- ^ Freytas-tamura, Kimiko De (30 de octubre de 2016). "Dimite el primer ministro de Islandia, después de que el partido pirata logra fuertes avances" . The New York Times . ISSN 0362-4331 . Consultado el 10 de noviembre de 2016 .
- ^ "Mire: ¿El escándalo de Panamá desaparecerá después de la reorganización?" . Tiempos de Malta . Consultado el 10 de noviembre de 2016 .
- ^ "La UE debe tomar medidas contra el blanqueo de capitales, dicen los reguladores - Law360" .
- ^ "EE.UU. prepara la regla del banco sobre empresas fantasma en medio de la furia de los 'Papeles de Panamá'" . NBC News . Consultado el 10 de noviembre de 2016 .
- ^ "¿Pueden los secretos seguir siendo secretos?" . CIO Dive . Consultado el 10 de noviembre de 2016 .
- ^ Shane, Scott; Mazzetti, Mark; Rosenberg, Matthew (7 de marzo de 2017). "WikiLeaks publica tesoro de supuestos documentos de piratería de la CIA" . The New York Times .
- ^ Greenberg, Andy (7 de marzo de 2017). "Cómo la CIA puede piratear su teléfono, PC y TV (dice WikiLeaks)" . CON CABLE .
- ^ "Vault 7: Wikileaks revela detalles de los ataques de la CIA a Android, iPhone Windows, Linux, MacOS e incluso televisores Samsung" . Computación . 7 de marzo de 2017.
- ^ "¿Quién es Joshua Adam Schulte? Ex empleado de la CIA acusado de fuga del Refugio 7" . Newsweek . 19 de junio de 2018.
- ^ Mathews, Lee, "La violación de datos de Equifax afecta a 143 millones de estadounidenses" , Forbes , 7 de septiembre de 2017.
- ^ Mills, Chris, "Equifax ya se enfrenta a la demanda colectiva más grande en la historia de Estados Unidos" , BGR , 8 de septiembre de 2017.
- ^ Reise, Sarah T. (3 de octubre de 2017). "Los gobiernos estatales y locales se mueven rápidamente para demandar a Equifax" . La Revisión de la Ley Nacional . Consultado el 7 de octubre de 2017 .
- ^ DeMarco, Edward. "Washington Wrap Up". ProQuest 2043172601 . Cite journal requiere
|journal=
( ayuda ) - ^ Los piratas informáticos de Corea del Norte robaron los planes militares de Corea del Sur y Estados Unidos para acabar con el liderazgo de Corea del Norte: legisladora , Reuters, Christine Kim, 10 de octubre de 2017
- ^ Graham-Harrison, Emma; Cadwalladr, Carole (17 de marzo de 2018). "Revelado: 50 millones de perfiles de Facebook recolectados para Cambridge Analytica en una importante filtración de datos" . The Guardian . Archivado desde el original el 18 de marzo de 2018.
- ^ Wong, Julia Carrie; Solon, Olivia (9 de octubre de 2018). "Google para cerrar Google+ después de no revelar la violación de datos del usuario" . el guardián . Consultado el 10 de octubre de 2018 .
- ^ "Todo lo que necesita saber sobre la violación de datos de Reddit" . siliconrepublic.com . 2018-08-02 . Consultado el 5 de diciembre de 2018 .
- ^ "Violación de datos de MyFitness Pal 15 de marzo de 2018 - pirateado" . www.javarosa.org . Archivado desde el original el 31 de marzo de 2018 . Consultado el 3 de abril de 2018 .
- ^ "Violación de Saks, Lord & Taylor: datos robados en 5 millones de tarjetas" . CNNMoney . Abril de 2018 . Consultado el 3 de abril de 2018 .
- ^ "Sistema de salud de Singapur golpeado por 'violación más grave de datos personales' en ciberataque; datos de PM Lee apuntados" .
- ^ "Información personal de 1,5 millones de pacientes de SingHealth, incluido PM Lee, robado en el peor ciberataque de Singapur" . 2018-07-20.
- ^ "Robo de datos de clientes" . British Airways . Consultado el 20 de octubre de 2018 .
- ^ Sandle, Paul (6 de septiembre de 2018). "BA se disculpa después de que 380.000 clientes sufrieran un ataque cibernético" . Reuters . Consultado el 20 de octubre de 2018 .
- ^ "El CMS de Estados Unidos dice que se accedió a 75.000 archivos de personas en caso de violación de datos" . Deccan Chronicle . 20 de octubre de 2018 . Consultado el 20 de octubre de 2018 .
- ^ "Contraseñas de 100 millones de usuarios de Quora robadas en violación de datos" . 4 de diciembre de 2018 . Consultado el 27 de enero de 2019 .
- ^ "El unicornio tecnológico australiano Canva sufre una violación de seguridad" . ZDNet . Consultado el 7 de diciembre de 2019 .
- ^ "139 millones de usuarios afectados por violación de datos de Canva" . Guía de Tom . Consultado el 7 de diciembre de 2019 .
- ^ "Hacker provoca una violación masiva de datos en Bulgaria" .
- ^ "Base de datos filtra datos sobre la mayoría de los ciudadanos de Ecuador, incluidos 6,7 millones de niños" . ZDNet . 16 de septiembre de 2019 . Consultado el 16 de septiembre de 2019 .
- ^ "La violación de datos de Wattpad expone la información de la cuenta de millones de usuarios" .
- ^ Sanger, David E .; Perlroth, Nicole; Schmitt, Eric (15 de diciembre de 2020). "El alcance de la piratería rusa se vuelve claro: varias agencias estadounidenses se vieron afectadas" . The New York Times .
- ^ "Hack de Microsoft: 3.000 servidores de correo electrónico del Reino Unido permanecen inseguros" . BBC News . 2021-03-12 . Consultado el 12 de marzo de 2021 .
enlaces externos
- " Data Loss Database " es un proyecto de investigación destinado a documentar incidentes de pérdida de datos conocidos y notificados en todo el mundo.
- " Infracciones que afectan a 500 o más personas ", infracciones informadas al Departamento de Salud y Servicios Humanos de EE. UU . Por entidades ( cubiertas por la HIPAA )