Il 2021 è stato un anno da record in termini di dimensioni delle violazioni dei dati. Secondo i dati raccolti e analizzati dal team di Atlas Vpn, nel 2021 sono stati colpiti 5,9 miliardi di account.
Il primo trimestre del 2021 è stato quello di maggior successo per gli hacker, con un totale di 4 miliardi di account violati. Nel secondo trimestre, il numero di account interessati da fughe di dati è sceso del 65% a 1,4 miliardi. La seconda metà dell’anno ha registrato un numero significativamente inferiore di violazioni degli account. Complessivamente, 357 milioni e 93 milioni di account sono stati interessati da fughe di dati nel terzo e quarto trimestre.
Dalla “Comb” 3,2 miliardi di violazioni
Febbraio, in particolare, ha visto la più grande violazione dei dati di tutti i tempi: la cosiddetta “Compilation of many breaches” (Comb) si è rivelata responsabile della fuga di ben 3,2 miliardi di combinazioni uniche di e-mail e password con testo non crittografato. La violazione è stata denominata in questo modo perché non è il risultato di un singolo hack di un’organizzazione specifica, ma piuttosto combina i dati trapelati da una serie di diverse violazioni nell’arco di cinque anni, tra cui Netflix, LinkedIn e altri. I dati violati sono stati offerti per la prima volta in vendita su RaidForums, un forum sotterraneo di condivisione di database e mercato, per soli 2 dollari a febbraio.
Altre violazioni che sono arrivate tra le prime cinque maggiori fughe di dati del 2021 includono LinkedIn (700 milioni di persone), Facebook (533 milioni di persone), il Ministero della Salute brasiliano (220 milioni di persone) e SocialArks (214 milioni di persone).
LinkedIn e Facebook fra le maggiori vittime del 2021
I dati degli utenti di LinkedIn, in particolare, sono stati esposti a un enorme dump di dati a giugno. I record di 700 milioni di utenti, che costituivano circa il 93% dell’intero database degli utenti di LinkedIn, sono stati messi in vendita sul dark web. I dati trapelati includono indirizzi e-mail degli utenti, nomi completi, numeri di telefono, indirizzi fisici, record di geolocalizzazione, sesso, esperienza personale e professionale e altro ancora. LinkedIn ha sottolineato che il dump dei dati non è stato il risultato di una vera e propria violazione dei dati, ma piuttosto un evento di scraping dei dati.
Oltre a LinkedIn, anche Facebook ha subito una fuga di informazioni nel 2021 a causa dello scraping. Ad aprile, le informazioni personali di 533 milioni di utenti provenienti da 106 Paesi sono state pubblicate su un forum di hacking. Le informazioni trapelate includono numeri di telefono, nomi completi, posizioni, indirizzi e-mail e informazioni biografiche degli utenti. Facebook afferma che la fuga di dati è il risultato di una vecchia vulnerabilità che è stata corretta nel 2019.
Il quarto posto della lista è occupato da un’altra fuga di notizie da record che ha rivelato i dati di 220 milioni di brasiliani, compresi quelli già deceduti. La perdita di questa scala è la più grande nella storia brasiliana. A gennaio, i dati violati sono stati scoperti su un forum del dark web e contenevano nomi, identificatori fiscali univoci, immagini facciali, indirizzi, numeri di telefono, e-mail, punteggio di credito, stipendio e altre informazioni.
Importante anche l’attacco sferrato ai danni di SocialArks, agenzia di social media cinese, che ha subito una violazione dei dati a gennaio a causa di un’errata configurazione del cloud. La violazione ha colpito oltre 400 GB di informazioni personali di circa 214 milioni di utenti di Facebook, Instagram e LinkedIn, inclusi nomi, paese di residenza, informazioni di contatto, posizione di lavoro, dati degli abbonati e collegamenti al profilo.
“Meno dati archiviati, meno rischi di violazioni”
“Anche se le violazioni dei dati stanno diventando una minaccia crescente, sembra che le organizzazioni non stiano ancora facendo abbastanza sforzi per proteggere le informazioni personali dei loro utenti – afferma Ruta Cizinauskaite, scrittrice e ricercatrice di sicurezza informatica presso Atlas Vpn -. Una delle prime cose che ogni organizzazione dovrebbe fare è valutare la quantità di dati sensibili degli utenti che raccoglie: meno dati sensibili vengono archiviati, minore è il rischio che vengano divulgati“.
Fonte: Corcom