업계에 관계없이 대부분의 기업과 기관은 운영에 PII와 같은 일부 민감한 데이터를 포함합니다. 이 정보가 효과적으로 보호되지 않으면 수억 명의 민간인의 이익에 영향을 미치고 기업에 헤아릴 수 없는 재정적 손실을 초래할 수 있습니다. 다음 기사에서는 지난 3년 동안 미국의 공공 기업과 민간 기업의 데이터 유출을 조사하여 데이터 유출의 주요 수치, 손실 정도 및 추세를 보여줍니다.
데이터 유출에 대한 주요 수치
먼저 눈길을 끄는 일련의 수치를 살펴보겠습니다.
우리가 수년 동안 추적해 온 데이터 유출
메리어트 스타우드 데이터 위반
2018년 11월 30일, 메리어트는 2014년부터 2018년 9월 10일 사이에 예약한 고객 중 약 3억 8,700만 명에 달하는 스타우드 호텔의 객실 예약 데이터베이스가 해킹당한 사실을 발견했습니다. 투숙객의 이름, 생년월일, 성별, 주소, 여권번호 등이 유출됐다. 메리어트는 또한 유출 가능성에는 암호화된 신용카드 정보도 포함되어 있으며 동시에 암호화 키가 도난당할 가능성도 배제할 수 없다고 덧붙였습니다. 메리어트는 데이터 유출로 인해 9억 1200만 달러의 벌금을 물었고 최대 125억 달러에 달하는 여러 법적 조치에 직면해 있습니다.
Facebook이 해킹당했습니다
2018년 9월 28일, Facebook은 이번 주에 발견된 해킹 공격에서 공격자가 코드 취약점을 사용하여 사용자 계정 키를 훔치고 잠재적으로 침입하여 5천만 달러를 훔치는 것으로 나타났다고 발표했습니다. 사용자 계정. 해커가 악용한 취약점은 'Guest View' 기능과 관련이 있다. 이 기능의 목적은 사용자가 자신의 페이지를 다른 사용자의 관점에서 볼 수 있도록 하고 관련 개인 정보 보호 설정을 지정한 후 다른 사람이 볼 수 있는지 여부를 확인하는 것입니다. 이 사건으로 페이스북은 430억 달러의 시장 가치를 잃었고, 최대 16억 달러의 벌금을 물게 됐다.
온라인 교과서 대여 회사 Chegg 정보 유출
2018년 9월 19일, 온라인 교과서 대여 회사 Chegg는 4월 말에 승인되지 않은 당사자가 사용자를 호스팅하는 회사 데이터베이스에 접근했다고 밝혔습니다. 데이터 권한에는 이름, 이메일, 배송 주소 및 비밀번호가 포함됩니다. EasyBib을 포함한 다양한 브랜드의 사용자 데이터도 영향을 받을 수 있습니다. 해킹 사실이 밝혀진 후 Chegg 주가는 하루에 12달러 급락했습니다.
빅 데이터 회사 Exactis 데이터 유출
2018년 6월, 빅 데이터 회사 Exactis는 공개적으로 접근 가능한 데이터베이스에서 미국 시민에 대한 거의 모든 정보가 포함된 3억 4천만 개의 기업 및 소비자 계정이 노출된 사실을 발견했습니다. 집 주소, 이메일 주소, 나이, 자녀 수, 종교, 심지어 가족 애완동물까지. 이그젝티스의 정보유출은 해커들의 데이터베이스 스터핑이나 기타 악의적인 공격에 의한 것이 아니라 서버가 방화벽 장벽 없이 공개 데이터베이스 검색 범위에 직접 노출되었기 때문에 발생한 것이다.
신용 평가 거대 기업인 Equifax 데이터 유출
2017년 9월, Equifax는 5월과 7월 사이에 해킹을 당해 1억 4,300만 명의 사용자의 개인 정보가 손상되었다는 사실을 발견했습니다. 위험에 노출된 개인정보에는 이름, 주민등록번호, 미국 주민등록번호, 주소, 운전면허번호, 사회보장계좌번호 등이 포함됐다. 신용카드번호 20만9000명과 개인세금도 포함됐다. 182,000명의 신용 파일이 유출되었습니다. 이는 당시 역사상 가장 큰 규모의 유출 사건이었습니다. Equifax의 주가는 사건이 발표된 지 하루 만에 폭락했으며 법률, 구제, 보험 및 조사 비용으로 4억 3900만 달러에 달했습니다. Equifax의 CEO, CSO, 최고 보안 책임자, CIO 최고 정보 책임자는 사건 직후 은퇴를 발표했습니다.
레스토랑 체인인 Sonic Drive-In이 공격당했습니다.
2017년 9월 Sonic Drive-In은 신용카드 프로세서에서 비정상적인 활동을 발견했습니다. - 판매단말기 악성코드의 공격대상은 고객의 신용카드정보입니다. 미국에서는 체인점 3,600개 중 325개가 악성코드 공격을 받아 6개월간 지속됐고, 신용카드 500만장이 시중에 팔렸다. 그 결과 Sonic Drive-In은 법적 손해배상금으로 430만 달러를 지불했습니다.
사용자 정보를 훔치기 위해 Uber가 해킹당했습니다.
2016년 말, 해커들은 Uber의 AWS 인스턴스 자격 증명을 훔쳐 수천만 명의 Uber 사용자 및 운전자의 개인 데이터를 획득했습니다. 전화번호, 이메일 주소, 이름 등 5700만 명의 개인 신원정보가 도난당했고, 운전자 60만7000명의 운전면허증 번호도 도난당했다. Uber는 최종적으로 1억 4,800만 달러의 법적 합의금을 지불했습니다.
Yahoo!에서 발생한 두 건의 데이터 침해
2016년 Yahoo!는 두 건의 데이터 침해를 발표했습니다. 그 중 하나는 9월에 5억 명 이상의 계정 소유자를 손상시켰습니다. 12월에는 더 많은 영향을 미친 또 다른 사건이 있었습니다. 10억 명 이상의 계정 보유자. 유출된 정보는 2014년부터 2016년 12월 사이에 수집되었습니다. 해커가 훔친 정보에는 사용자 이름, 이메일 주소, 전화번호, 생일, 비밀번호, 보안 질문 및 답변이 포함됩니다. Yahoo!는 교정 및 법적 비용으로 9,500만 달러 이상을 지출했으며 해킹 사실을 투자자에게 즉시 공개하지 않은 이유로 추가로 3,500만 달러의 벌금을 물었습니다. 불규칙성으로 인해 Verizon은 원래 제안보다 3억 5천만 달러 적은 금액으로 Yahoo!를 인수했습니다.
직장 소셜 소프트웨어 LinkedIn이 해킹당했습니다
2016년 Peace라는 러시아 해커가 LinkedIn 사용자 정보를 다크 웹에서 판매했습니다. 여기에는 계좌 번호가 포함되어 있습니다. 해당 암호화폐는 당시 약 2,200달러에 해당하는 5비트코인에 판매되었습니다. 해커 피스(Hacker Peace)는 이 데이터가 2012년 피스(Peace)가 링크드인(LinkedIn)을 해킹해 600만 개 이상의 링크드인 계정 정보를 온라인으로 판매한 공격에서 비롯됐다고 말했습니다.
정보 유출에 가장 취약한 회사는 어디일까요?
데이터 유출 계몽
안슈 네트워크는 위 데이터에서 몇 가지 특징을 발견했습니다
*이 기사의 저자: An Shujun, FreeBuf.COM에서 복제됨