Alors que l'année 2019 touche à sa fin, d'autres nouvelles de violations de données font la une des journaux. Plus tôt dans l'année, le 2019 Midyear Quickview Data Breach Report a déclaré que 2019 était en passe d'être la "pire année jamais enregistrée" en matière de violations de données. Avec une augmentation de 54 % des violations au cours de l'année dernière et plus de 4 milliards d'enregistrements compromis, 2019 a eu sa part de certaines des plus grandes violations de données de tous les temps.
Les plus grandes violations de données de 2019
Fortnite
L'année a commencé par l'annonce que plus de 200 millions de joueurs dans le monde ont été victimes d'une violation de données causée par de multiples vulnérabilités dans la plateforme en ligne, Fortnite.
Le 16 janvier 2019, Epic Games, les créateurs du jeu vidéo Fortnite, ont déclaré qu'une faille dans le système de connexion de Fortnite permettait aux pirates d'usurper l'identité des joueurs et d'acheter de la monnaie du jeu en utilisant les cartes de crédit ou de débit enregistrées sur le compte.
Epic Games a reconnu et corrigé le problème, mais a depuis fait l'objet d'un procès dans lequel il est allégué que la société n'a pas informé les utilisateurs concernés.
Evite
En février 2019, Evite, un service de planification sociale et d'invitations électroniques, a révélé qu'une partie non autorisée avait acquis un fichier de stockage de données inactif contenant des informations sur les utilisateurs de l'entreprise, notamment des noms, des noms d'utilisateur, des adresses électroniques, des mots de passe, des dates de naissance, des numéros de téléphone et des adresses postales. La violation est soupçonnée d'avoir touché 100 millions d'utilisateurs.
Capital One
En mars 2019, une violation de données chez Capital One a entraîné l'exposition des données personnelles de 106 millions de clients. Ces données comprenaient les noms, adresses, dates de naissance, scores de crédit, numéros de sécurité sociale et numéros de comptes bancaires.
Une mauvaise configuration du serveur a été tenue pour responsable de la violation, qui a été classée comme "l'une des plus grandes violations de données jamais commises" et a touché environ 100 millions de clients américains et 6 millions au Canada.
Vérifications.io
Verifications.io, un service de validation d'e-mails, a subi une violation de données exposant quelque 763 millions d'enregistrements. Les données exposées comprennent l'adresse électronique, le nom, le sexe, l'adresse IP, le numéro de téléphone et d'autres informations personnelles. La violation a été découverte par les chercheurs en sécurité Bob Diachenko et Vinny Troia, qui sont tombés sur une base de données MongoDB non protégée et accessible au public, contenant 150 gigaoctets de données marketing détaillées.
Canva
Canva, un service australien de conception de sites web très en vue, a subi une violation de sa base de données qui a exposé les données personnelles d'environ 139 millions d'utilisateurs, notamment des adresses électroniques, des lieux géographiques, des noms, des mots de passe, des noms d'utilisateur et des données financières.
Les utilisateurs ont été informés par haveibeenpwned.com (HIBP) et Firefox Monitor de la violation de sécurité survenue le 24 mai 2019.
First American
La société d'assurance de biens immobiliers et de titres First American a accidentellement exposé plus de 885 millions de documents sensibles en ligne lorsque des données ont été mal stockées et rendues accessibles au public.
Ces informations, qui remontent à 2003, étaient disponibles sans aucune forme de protection et pouvaient être consultées sans le moindre mot de passe si une personne savait où chercher.
Les enregistrements numériques, qui comprenaient des numéros et des relevés de comptes bancaires, des relevés d'hypothèques et d'impôts, des numéros de sécurité sociale, des reçus de transactions électroniques et des images de permis de conduire, ont été mis à la disposition de tous sur le site Web de la société. Bien qu'il n'y ait actuellement aucune preuve suggérant que les informations ont été trouvées ou volées, l'ampleur de la violation de données était un trésor pour tout escroc ou voleur d'identité et donc très précieux.
First American a déclaré que la vulnérabilité était un "défaut de conception".
Quest Diagnostics
En juin, il a été révélé que des informations appartenant à 11,9 millions de patients de Quest Diagnostics avaient été compromises.
AMCA, un partenaire de recouvrement de factures, a été mis en cause lorsqu'un pirate informatique a pu accéder aux systèmes de l'entreprise, qui contenaient des informations sensibles sur les comptes bancaires et les données médicales de 11,9 millions de patients. L'incident aurait été causé par une faille de sécurité dans la chaîne d'approvisionnement interne.
Équateur
En septembre, les autorités équatoriennes ont ouvert une enquête sur une violation de données au cours de laquelle les données personnelles de près de 20 millions de personnes, soit plus que la population du pays, ont été mises en ligne.
Les données exposées comprenaient des informations personnelles telles que les noms et prénoms, les dates de naissance, les numéros de carte d'identité nationale, les numéros d'identification fiscale, les informations sur l'emploi et les noms des membres de la famille. Des informations financières ont également été divulguées, notamment l'état du compte des clients de la banque, le solde et le type de crédit.
Les failles de sécurité qui ont fait la une des journaux cette année sont riches d'enseignements pour la protection future des données au sein des organisations. Les conséquences néfastes d'une violation de données peuvent être paralysantes pour une organisation et la menace d'une exposition des données peut frapper n'importe quelle entreprise à tout moment. C'est pourquoi il est essentiel que les organisations prennent note des incidents précédents et qu'elles protègent mieux leurs vastes réserves de données en se concentrant sur l'hygiène, les pratiques et la formation de base en matière de sécurité.
Atténuer le risque humain
MetaCompliance est spécialisée dans la création de la meilleure formation de sensibilisation à la cybersécurité disponible sur le marché. Nos produits répondent directement aux défis spécifiques qui découlent des cybermenaces et de la gouvernance d'entreprise en facilitant l'engagement des utilisateurs en matière de cybersécurité et de conformité. N'hésitez pas à nous contacter pour savoir comment nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.
