データ侵害の歴史
データ侵害は、何十年にもわたってますます一般的になり、有害になっています。 ただし、侵害がどのように進化したか、攻撃者がこれらの攻撃をどのように組織化できるか、何が盗まれる可能性があるか、侵害が発生するとデータに何が起こるかについての有益な例として、いくつかの際立ったものがあります。
デジタル データの侵害は、インターネットが普及するずっと前から始まっていましたが、多くの点で今日見られる漏洩と類似していました。 1984 年に、信用調査機関の TRW Information Systems (現在の Experian) がデータベース ファイルの 1 つが侵害されたことに気付いたときに、初期の画期的な事件が発生しました。 この宝物は、何者かがシアーズの店舗の管理メモから取り出して「電子掲示板」に投稿した数字のパスコードによって保護されていました。これは、人々が固定電話接続を使用してアクセスして変更できる、一種の初歩的な Google ドキュメントです。 そこから、掲示板の閲覧方法を知っている人なら誰でも、パスワードを使用して TRW ファイルに保存されているデータにアクセスできた可能性があります。9,000 万人のアメリカ人の個人データと信用履歴です。 パスワードは 1 か月間公開されました。 当時、TRW は、この状況を知り次第、データベースのパスワードを変更したと述べていました。 この事件は、昨年の信用調査機関 Equifax への侵害 (以下で説明) よりも小さくなっていますが、TRW の失効はあらゆる場所のデータ企業に対する警告であり、多くの人が明らかに注意を払っていませんでした。
TRW 事件のような大規模な侵害は、年月が経ち、インターネットが成熟するにつれて散発的に発生しました。 2010 年代初頭までに、モバイル デバイスとモノのインターネットが相互接続性を大幅に拡大したため、データ侵害の問題が特に差し迫ったものになりました。 ユーザー名とパスワードのペアやクレジット カード番号を盗んだり、すでに公開されている情報源から集められた大量のデータを侵害したりすると、攻撃者は誰かのオンライン ライフ全体の鍵を入手する可能性があります。 特に特定の侵害は、盗まれたユーザー データのダークウェブ エコノミーの拡大に拍車をかけました。
これらのインシデントの 1 つは、2012 年の LinkedIn の侵害で、最初は 650 万のパスワードが流出したように見えました。 データは、判読不能で再利用が困難になるように保護するためにハッシュ化または暗号化されたスクランブルがかけられていましたが、ハッカーはすぐにハッシュを「解読」して、LinkedIn ユーザーの実際のパスワードを公開し始めました。 LinkedIn 自体は、影響を受けたアカウントのパスワードをリセットするための予防措置を講じましたが、攻撃者は、ユーザーが同じパスワードを再利用した Web 上の他のアカウントを見つけることで、それらのアカウントから多くの利益を得ました。 あまりにも一般的なパスワードの衛生管理が不十分であることは、1 回の侵害でユーザーが何年も悩まされる可能性があることを意味します。
LinkedIn のハッキングも、最初に登場したときよりもさらに深刻であることが判明しました。 2016 年、「ピース」として知られるハッカーが、1 億 1,700 万人の LinkedIn ユーザーからアカウント情報、特に電子メール アドレスとパスワードの販売を開始しました。 それ以来、LinkedIn の侵害から盗まれたデータは、犯罪者によって転用され転売されてきました。非常に多くの人々が何年にもわたって多数のアカウントで同じパスワードを再利用しているため、攻撃者は今日に至るまでデータを悪用することに成功しています。
しかし、2013 年末から 2014 年末にかけて、主要な小売業者であるターゲット、ニーマン マーカス、ホーム デポが相次いで大規模な侵害に見舞われるまで、データ侵害は真の意味で食卓の餌にはなりませんでした。 2013 年 12 月に初めて公開されたターゲットのハッキングは、7,000 万人のアメリカ人の個人情報 (名前、住所、電話番号、電子メール アドレスなど) に影響を与え、4,000 万のクレジット カード番号を侵害しました。 わずか数週間後の 2014 年 1 月、ニーマン マーカスは、自社の POS システムが Target に感染したのと同じマルウェアの攻撃を受け、約 1 億 1000 万人のニーマン マーカスの顧客の情報と 110 万のクレジットとデビットが流出したことを認めました。カード番号。 その後、これら 2 つの侵害の影響が数か月続いた後、2014 年 9 月、ホーム デポは、ハッカーが同社の決済端末にマルウェアをインストールして、システムから 5,600 万のクレジット カードとデビット カードの番号を盗んだと発表しました。
しかし同時に、さらに壊滅的で不吉な攻撃が行われていました. 人事管理局は、米国政府職員の管理および人事部門です。 この部門は、セキュリティクリアランスを管理し、身元調査を実施し、過去および現在のすべての連邦職員の記録を保持しています。 米国政府内で何が起こっているか知りたい場合は、この部門をハッキングしてください。 だから中国はそうした。
中国政府に関係のあるハッカーが OPM のネットワークに 2 回侵入し、最初は 2013 年にネットワークの技術的な設計図を盗み、その後すぐに 2 回目の攻撃を開始し、他のすべてのサーバー ログインの認証を管理する管理サーバーを制御しました。 言い換えれば、OPM が 2015 年に何が起こったかを完全に認識し、侵入者を排除するために行動するまでに、ハッカーは 2,150 万の社会保障番号を含む、連邦職員の生活のあらゆる側面に関する数千万の詳細な記録を盗むことができました。および 560 万の指紋レコード。 場合によっては、犠牲者は連邦職員ではなく、身元調査を受けた政府職員となんらかの形で関係していたにすぎません。 (これらのチェックには、被験者の家族、友人、同僚、子供の地図など、あらゆる種類の非常に具体的な情報が含まれます。)