Les 5 plus grandes violations de données de 2022

Chaque année, vous confiez vos données à des entreprises. Vous leur faites confiance pour le protéger, le garder hors des mains des cybercriminels et prendre les mesures adéquates pour vous assurer que vos données personnelles ne sont pas accessibles à un criminel indépendant disposant d’un portefeuille crypto. Et certaines de ces entreprises échouent, ce qui entraîne la vente des détails des clients sur le dark web, voire sur le web ouvert.

Cette année n’a pas été différente des années précédentes – seuls les noms et les détails des pires contrevenants ont changé. Ce sont les plus grandes violations de données de 2022, basées non seulement sur la quantité de données divulguées, mais aussi sur le type d’informations volées.

1. Néopets : juillet 2022

Neopets est une plate-forme virtuelle pour animaux de compagnie avec des centaines de millions d’utilisateurs et avec deux types différents de monnaie virtuelle. Semblables aux Tamagotchis d’autrefois, les utilisateurs de Neopets doivent se connecter régulièrement pour nourrir et prendre soin de leurs charges virtuelles, de peur qu’ils ne tombent malades et ne meurent. Neopets est modérément controversé en ce sens qu’il gagne de l’argent via une publicité immersive destinée aux enfants et que l’une de ses devises peut être achetée contre de l’argent réel.

En juillet, un porte-parole de Neopets a annoncé sur Twitter que « les données des clients ont peut-être été volées ». Il est apparu plus tard qu’environ 69 millions de comptes Neopets pourraient avoir été compromis. Les données volées, y compris les noms d’utilisateur, les e-mails et les mots de passe, les dates de naissance, les pays, les codes postaux et les sexes, ont été proposées à la vente avec un accès en direct à la base de données, où les intrus pouvaient modifier les statistiques, les animaux de compagnie et les crédits du jeu. Le tout pour un maigre quatre Bitcoins (environ 65 000 $ en argent d’aujourd’hui).

L’incident de 2022 n’est que le dernier d’une série d’embarras de sécurité flagrants de Neopets remontant à 2014.

2. Kiwi Farms : septembre 2022

Loin d’être une entreprise agricole pour les grosses baies comestibles, Kiwi Farms est un forum communautaire mieux connu comme un havre de vitriol et de haine, où les utilisateurs sont libres d’organiser la pêche à la traîne, le harcèlement et le harcèlement. Créé à l’origine pour harceler un artiste en particulier, Kiwi Farms compte 16 000 connexions actives par jour et a été lié à plusieurs suicides.

Le 19 septembre, le fondateur de Kiwi Farms, Joshua Moon a écrit :

Le forum a été piraté. Vous devez supposer ce qui suit.

Supposons que votre mot de passe pour les Kiwi Farms a été volé.

Supposons que votre e-mail a été divulgué.

Supposons que toute adresse IP que vous avez utilisée sur votre compte Kiwi Farms au cours du mois dernier a été divulguée.

L’attaque a été possible grâce à l’utilisation abusive de cookies de session, et a peut-être conduit certains membres du forum à reconsidérer leur relation avec le site toxique.

3. District scolaire unifié de Los Angeles : septembre/octobre 2022

Le groupe de piratage lié à la Russie, Vice Society, était à l’origine de ce piratage de septembre qui a vu un demi-téraoctet de données du district scolaire unifié de Los Angeles détenu contre rançon.

Ni la Vice Society ni le Los Angeles Unified School District n’ont révélé le montant de la rançon, et lorsque la date limite de paiement du 4 octobre s’est écoulée, la Vice Society a vidé l’intégralité du trésor de 500 Go sur son site Web sombre.

Les informations comprenaient les détails du passeport, les numéros de sécurité sociale, les formulaires fiscaux, les contrats, les documents juridiques, les rapports financiers, les détails du compte bancaire, les informations sur la santé, les données des tests COVID-19, les rapports de condamnation antérieurs et les évaluations psychologiques des étudiants.

4. Crypto.com : janvier 2022

Crypto.com a été piraté par des criminels en janvier, et alors que le nombre d’utilisateurs concernés était relativement faible à 439, les voleurs ont réussi à s’enfuir avec un montant stupéfiant de 30 millions de dollars, comprenant 4 836,26 Etherium, 443,93 Bitcoin et 66 200 $ dans d’autres devises.

Cela a marqué le début d’une année très mouvementée pour les investisseurs en crypto, les mois suivants voyant le prix de presque toutes les pièces s’effondrer et l’effondrement de plus d’un échange de crypto.

Le piratage a peut-être été la meilleure chose qui aurait pu arriver aux investisseurs : s’ils encaissaient leur crypto dès qu’ils étaient remboursés par crypto.com, les détenteurs de pièces concernés gagneraient désormais 16,3 millions de dollars collectivement.

5. Uber : septembre 2022

Uber figure à peine sur cette liste pour l’attaque de septembre 2022, au cours de laquelle un pirate de 18 ans a rejoint le Slack interne de l’entreprise et a envoyé un message à tous les employés, annonçant qu’il avait subi une violation de données. Les rapports de l’époque indiquaient que l’intrus était probablement en mesure d’accéder et de modifier les services cloud d’Uber, ainsi que le courrier, le stockage dans le cloud et les référentiels de code.

Mais la plus grande nouvelle pour Uber en 2022 est que la société omniprésente de covoiturage a finalement admis qu’elle avait été piratée depuis 2016, avec 57 millions d’utilisateurs touchés. L’ancien responsable de la sécurité d’Uber, Joe Sullivan, doit être jugé pour cette infraction.

Mentions (dés)honorables : SuperVPN, GeckoVPN et ChatVPN

SuperVPN, GeckoVPN et ChatVPN ont en fait été violés en 2021, révélant une sélection de noms complets, noms d’utilisateur, pays, détails de facturation, adresses e-mail, chaînes de mots de passe générées aléatoirement, et plus encore d’environ 21 millions d’utilisateurs. Comme les utilisateurs de VPN utilisent généralement des applications VPN pour dissimuler leur présence, leur identité et leur emplacement en ligne, la perte de données est particulièrement inquiétante.

Les données ont été mises en vente sur le dark web depuis 2021, mais elles ont été déversées gratuitement dans de nombreux groupes Telegram en mai 2022.

Protégez-vous des violations de données en 2023

Bien sûr, les entreprises ne peuvent pas divulguer accidentellement vos données ou les laisser vulnérables à des piratages malveillants si elles ne les ont pas pour commencer, et vous devez veiller à en divulguer le moins possible.

• Si vous êtes préoccupé par votre vie privée ou si vous souhaitez masquer vos activités en ligne, vous devez utiliser une société VPN réputée.
• Utilisez les alias de messagerie pour que les entreprises et les organisations n’aient pas accès à une adresse pouvant être utilisée à d’autres fins. S’ils finissent par subir une violation de données, cela n’aura pas tellement d’importance pour vous.
• Vous pouvez utiliser des cartes de crédit virtuelles pour effectuer des achats ponctuels. Si le numéro de carte est divulgué, les fraudeurs ne peuvent pas l’utiliser pour vider vos comptes.
• Générez des mots de passe différents et difficiles à déchiffrer pour chaque site et service que vous utilisez. Si vous avez du mal à vous en souvenir, utilisez un gestionnaire de mots de passe tel que Bitwarden. Un fork de ce projet, Vaultwarden, peut même être auto-hébergé sur un Raspberry Pi.

Les pirates vont pirater

La perte de vos informations d’identification de compte, de votre argent ou de vos données personnelles en raison de procédures de sécurité inadéquates d’une entreprise est l’un des coûts potentiels de la conduite des affaires dans la troisième décennie du 21e siècle. Essayez d’utiliser des cartes de crédit virtuelles et des alias de messagerie lorsque vous le pouvez.

Il n’y a pas que les entreprises qui se font pirater. Les criminels ciblent également les individus, et vous devez vous assurer que vos appareils personnels sont aussi sécurisés que possible.