Theo báo cáo của Risk Based Security có hơn 38 tỷ hồ sơ đã bị hack kể từ năm 2010. Theo ước tính gần đây của Cục điều tra dân số, có khoảng 327 triệu người Mỹ. Trung bình có khoảng 116 tài khoản đã bị xâm nhập mỗi năm trong một thập kỷ qua.
Theo báo cáo của CNBC Make It, có ít nhất 40.650 vụ đánh cắp dữ liệu đã xảy ra kể từ đầu năm 2010. Các vụ tấn công này xảy ra rất nhiều và nhỏ, nhưng vẫn có một số vụ hack lớn đã đi vào lịch sử.
Dựa trên số lượng tài khoản bị ảnh hưởng trong mỗi lần vi phạm dữ liệu được công bố kể từ năm 2010, Trung tâm Trộm cắp Tài nguyên Danh tính (Identity Theft Resource Center) đã đưa ra bảng xếp hạng cho CNBC Make It. Chỉ những vi phạm được xác nhận là đã ảnh hưởng đến một số hồ sơ nhất định mới được đưa vào bảng xếp hạng.
Trong năm qua, nhiều công ty, chẳng hạn như 7-Eleven, WhatsApp và Fortnite, đã công bố các lỗ hổng bảo mật ảnh hưởng đến hàng triệu trang web và để lộ thông tin khách hàng, nhưng mức độ vi phạm lại không được tiết lộ.
Trong bài viết này, chúng ta sẽ cùng điểm qua những vụ vi phạm dữ liệu lịch sử nhất trong thập kỷ qua.
15 công ty lớn bị Hack lớn nhất lịch sử
1. Dubsmash
Tổng số hồ sơ bị xâm phạm: 161,5 triệu
Theo Dubsmash, tin tặc đã lấy được tên, địa chỉ email và mã băm mật khẩu của 162 triệu người dùng vào tháng Hai.
Những dữ liệu bị vi phạm này đã được bán trên dark web vào tháng 2 năm 2019, ngay cả khi nó xảy ra vào tháng 12 năm 2018. Đã có hơn 600 triệu tài khoản bị đưa vào danh sách dữ liệu từ 16 trang web bị tấn công.
2. Equifax
Tổng số hồ sơ bị xâm phạm: 147 triệu
Các vụ vi phạm dữ liệu như của Equifax là một trong những vụ vi phạm lớn nhất trong lịch sử. 147 triệu người tiêu dùng Mỹ đã bị ảnh hưởng bởi vụ vi phạm dữ liệu này, về cơ bản đó là 56% dân số của Mỹ vào tháng 9 năm 2017. Tin tặc có quyền truy cập vào tên, SNN, ngày sinh, số thẻ tín dụng và thậm chí cả số bằng lái xe của nạn nhân.
Equifax đã thừa nhận rằng công ty đã thất bại trong việc cài đặt các bản vá lỗi cần thiết cho lỗ hổng trong khi vào tháng 3 thì họ đã nhận được thông báo rằng tin tặc có thể khai thác lỗ hổng đó.
Một cuộc điều tra liên bang và tiểu bang về việc xử lý vụ vi phạm dữ liệu lớn của Equifax đã dẫn đến một khoản thanh toán 700 triệu đô la vào tháng Bảy. Khi Equifax thông báo về vụ vi phạm, thì vẫn chưa rõ dữ liệu mà tin tặc có được từ vụ vi phạm năm 2017 có được bán trên dark web hay không.
3. Ủy ban Quốc gia Đảng Cộng hòa
Tổng số hồ sơ bị xâm phạm: 198 triệu
Vào tháng 6 năm 2017, các chuyên gia an ninh mạng đã phát hiện ra thông tin cử tri có thể truy cập công khai trên một máy chủ chứa thông tin của 198 triệu người Mỹ. Hóa ra là một công ty tiếp thị bảo thủ do Ủy ban Quốc gia Đảng Cộng hòa thuê đã không bảo mật thông tin cử tri. Ngoài địa chỉ nhà, ngày sinh, và ý kiến về các vấn đề chính trị, máy chủ đám mây của Deep Root có thể bị truy cập công khai trong khoảng 12 ngày.
4. UnderArmour (MyFitnessPal)
Tổng số hồ sơ bị xâm phạm: 143,6 triệu
Một tin tặc đã giành được quyền truy cập vào cơ sở dữ liệu phụ trợ của ứng dụng thể dục và ăn kiêng MyFitnessPal, thuộc công ty may mặc thể dục UnderAmour vào tháng 3 năm 2018.
Tin tặc có thể đã lấy được tên người dùng, mật khẩu và email. Mật khẩu đã được băm được mã hóa và phải được bẻ khóa để sử dụng.
5. Exactis
Tổng số hồ sơ bị xâm phạm: 340 triệu
Exactis, một công ty tiếp thị và tổng hợp dữ liệu có trụ sở tại Hoa Kỳ, hầu như không được hầu hết người Mỹ chú ý cho đến tháng 6 năm 2018. Trước đó, Exactis đã âm thầm xây dựng cơ sở dữ liệu thông tin cá nhân của hàng triệu người Mỹ.
Vinny Troia, một nhà nghiên cứu bảo mật giàu kinh nghiệm, đã phát hiện ra lỗ hổng của cơ sở dữ liệu này vào đầu tháng 6 năm 2018, khi nó được xây dựng trên một máy chủ không an toàn. Có khoảng hai terabyte dữ liệu của Exactis bị lộ, bao gồm địa chỉ e-mail, địa chỉ nhà, số điện thoại và thông tin về các thành viên trong nhà, bao gồm cả sở thích và con cái của họ.
6. Zynga
Tổng số hồ sơ bị xâm phạm: 218 triệu
Zynga, trò chơi phổ biến “Draw Something” và “Words with Friends” dành cho thiết bị di động, đã thông báo vào tháng 10 rằng tin tặc đã quét thông tin đăng nhập tài khoản vào ngày 12 tháng 9.
Khoảng 218 triệu người dùng iOS và Android đã tải xuống trò chơi này trước ngày 2 tháng 9 năm 2019, cũng đã bị hacker truy cập bằng tên người dùng, email, ID đăng nhập, một số ID Facebook, số điện thoại và ID tài khoản Zynga.
7. Marriott (Starwood)
Tổng số hồ sơ bị xâm phạm: 383 triệu
Vào tháng 11 năm 2018, Marriott Hotels đã báo cáo rằng hơn 300 triệu người đã bị lộ thông tin liên hệ, số hộ chiếu, địa chỉ và thông tin cá nhân thông qua một vụ vi phạm dữ liệu lớn. Điều đáng chú ý là Khách sạn Marriott đã mua khách sạn Starwood vào năm 2016.
Có tới 500 triệu tài khoản khách của Starwood đã bị xâm phạm; Nhóm dữ liệu của Marriott xác nhận rằng vụ hack có thể đã diễn ra từ năm 2014.
Tổng số hồ sơ bị xâm phạm: 1,37 tỷ
River City Media đã bị xâm phạm 1,4 tỷ hồ sơ, một công ty chuyên về tiếp thị qua email. Khi một bản sao lưu không chính xác được định cấu hình, công ty đã vô tình công bố cơ sở dữ liệu chứa địa chỉ IP, tên và địa chỉ vật lý trực tuyến.
Vào thời điểm phát hiện ra vi phạm dữ liệu, nhà nghiên cứu bảo mật của MacKeeper, Chris Vickery cho biết River City Media có thể thu thập dữ liệu thông qua các hoạt động thư rác liên quan đến việc gửi email cho mọi người với nội dung kiểm tra tín dụng, học bổng và rút thăm trúng thưởng.
9. Veeam
Tổng số hồ sơ bị xâm phạm: 445 triệu
Một công ty quản lý dữ liệu xử lý sai dữ liệu của khách hàng sẽ ảnh hưởng không tốt đến hình tượng của công ty. Đó là những gì mà công ty Veeam của Thụy Sĩ đã trải qua. Cơ sở dữ liệu tiếp thị đã bị các bên thứ ba truy cập nhầm, theo một tuyên bố từ công ty.
Ước tính có khoảng 445 triệu tên, email và địa chỉ IP đã bị lộ trong cơ sở dữ liệu của họ trong khoảng 10 ngày do “lỗi của con người”. Họ nói rằng hầu hết dữ liệu trong cơ sở dữ liệu bị lộ là dữ liệu trùng lặp và 4,5 triệu địa chỉ email duy nhất đã bị lộ.
10. Yahoo!
Tổng số hồ sơ bị xâm phạm: khoảng 3 tỷ
Tính đến thời điểm hiện tại, Yahoo được biết đến là công ty vừa trải qua vụ vi phạm dữ liệu lớn nhất. Khoảng một tỷ tên, địa chỉ email, số điện thoại và ngày sinh của người dùng Yahoo đã bị lộ do nhiều vụ hack trong nhiều năm qua. Verizon đã công bố kế hoạch mua lại Yahoo vào tháng 7/2016. Công ty cũng đã công bố vụ vi phạm vào tháng 9 năm 2016, vụ này đã ảnh hưởng đến 500 triệu tài khoản Yahoo vào năm 2014.
Sau thông báo đó, vào tháng 12 cùng năm, họ đã công bố rằng có ít nhất một tỷ tài khoản người dùng đã bị lộ do một cuộc tấn công vào mạng của họ vào năm 2013.
Verizon lưu ý rằng tất cả ba tỷ người dùng Yahoo đã bị ảnh hưởng bởi cuộc tấn công năm 2013 sau khi việc bán Yahoo kết thúc vào năm 2017. Một vụ kiện tập thể chống lại Yahoo về cách họ xử lý các tin tặc cuối cùng đã được giải quyết với số tiền 117,5 triệu đô la vào tháng 4 năm 2019.
11. Quest Diagnostics
Tổng số hồ sơ bị xâm phạm: 11,9 triệu
Cơ quan Thu thập Y tế Hoa Kỳ, một nhà cung cấp của bộ phận thanh toán và thu tiền của công ty xét nghiệm Quest Diagnostics, là nạn nhân của một vụ vi phạm dữ liệu vào tháng Sáu. Trong 8 tháng, khoảng 11,9 triệu thông tin y tế, tài chính và cá nhân của khách hàng đã bị lộ. Bao gồm số thẻ tín dụng, số điện thoại, tài khoản và thông tin y tế.
AMCA không phải là công ty duy nhất bị ảnh hưởng, vì LabCorp cho biết 7,7 triệu dữ liệu cá nhân và tài chính của khách hàng cũng đã bị lộ. Việc nộp đơn xin phá sản được đưa ra chỉ vài tuần sau khi AMCA được thông báo về các vi phạm. Sau khi phát hiện ra vi phạm, LabCorp, Quest Diagnostics, Conduent và CareCentrix đều bỏ AMCA.
12. Capital One
Tổng số hồ sơ bị xâm phạm: 100 triệu
Thông tin ứng dụng của hơn 100 triệu người Mỹ và 6 triệu người Canada đã bị tin tặc xâm nhập kể từ năm 2005.
Dữ liệu từ các ứng dụng bị tấn công dao động từ năm 2005 đến đầu năm 2019 và bao gồm tên, địa chỉ, mã zip, địa chỉ email, số điện thoại và ngày sinh của người tiêu dùng.
Ước tính có khoảng 140.0000 khách hàng sử dụng thẻ tín dụng tại Hoa Kỳ có số tài khoản ngân hàng bị lộ, cũng như 80.000 chủ thẻ tín dụng.
Sự khác biệt rõ ràng giữa vi phạm của Capital One và các vi phạm dữ liệu lớn khác là vi phạm này bao gồm các thông tin nhạy cảm, như số An sinh xã hội.
13. Houzz
Tổng số hồ sơ bị xâm phạm: 48,9 triệu
Tin tặc đã đánh cắp tên người dùng và mật khẩu được mã hóa từ khách hàng của Houzz, cũng như thông tin hồ sơ công khai, công ty đã thông báo cho khách hàng về vụ việc này vào đầu năm. Theo ITRC, 48.881.308 tài khoản đã bị ảnh hưởng bởi vụ vi phạm. Một vụ vi phạm khác của Houzz đã xảy ra vào tháng 12 năm 2018; tuy nhiên, không có thông tin tài chính nào bị lộ.
14. Premera
Tổng số hồ sơ bị xâm phạm: 11 triệu
Vào tháng 10 năm 2015, tin tặc Trung Quốc đã tấn công công ty bảo hiểm y tế Anthem trong nỗ lực tìm hiểu thông tin chi tiết về hệ thống bảo hiểm y tế của Mỹ. Công ty bảo hiểm nhỏ Premera cho biết họ đã bị tấn công khoảng 11 triệu lần trong tháng 3, không chỉ Anthem.
Tin tặc thường nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe để bán thông tin của họ trên thị trường chợ đen vì dữ liệu chăm sóc sức khỏe đã trở thành một trong những tài sản có giá trị nhất.
15. Carphone Warehouse
Tổng số hồ sơ bị xâm phạm: 2,5 triệu
Gần 2,5 triệu thông tin chi tiết của cá nhân đã bị đánh cắp và thông tin thẻ tín dụng của họ được mã hóa trong vụ vi phạm mạng lớn nhất ở Anh vào năm 2015. Một cuộc tấn công mạng tinh vi đã diễn ra nhằm vào công ty mà cơ quan giám sát đang điều tra.
Các vụ việc ở Việt Nam thì có: Zing, MSB, BKAV, Con cưng… cũng được xem là các vụ hack đình đám khi để lộ lọt dữ liệu người dùng