In dit artikel kijken wij niet per se naar de grootste hoeveelheid records die op straat zijn beland, maar meer naar hoeveel risico of schade deze inbraak heeft veroorzaakt voor bedrijven, verzekeraars, gebruikers en accountbezitters. In sommige gevallen zijn wachtwoorden en andere informatie goed versleuteld waardoor een wachtwoordreset een groot deel van het risico wegnam.

Home Depot

Datum: September 2014

Impact: Gestolen credit/debitcard-gegevens van 56 miljoen klanten.

Deze Amerikaanse winkelketen liet in September 2014 weten dat het in april slachtoffer was geworden van een POS-hack. Deze systemen waren besmet met malware. Deze software was speciaal gebouwd voor deze systemen en dezen zich voor als antivirus-software.

Het bedrijf beloofde in maart 2016 19,5 miljoen dollar te betalen aan hun klanten ter compensatie. 6,5 miljoen dollar daarvan werd gebruikt om extra creditcard-beveiligingsmaatregelen te treffen.

Adobe

Datum: Oktober 2013

Impact: 38 miljoen gebruikersrecords

Beveiligingsblogger Brian Krebs liet weten dat het weken duurde voordat het bedrijf in kaart had gebracht wat er allemaal was gestolen. In eerste instantie werd er gezegd dat hackers bijna drie miljoen versleutelde creditcardgegevens en logindata van een onbekende hoeveelheid gebruikers hadden gestolen.

Later bracht Adobe naar buiten dat de aanvallers ID's en versleutelde wachtwoorden van 38 miljoen "actieve gebruikers" hadden buitgemaakt. Later bleek het om meer dan 150 gebruikersnamen en gehashte wachtwoordparen te gaan. Na enkele weken onderzoek kwam het bedrijf erachter dat ook van sommige Adobe-projecten de broncode was gelekt evenals klantnamen, ID's, wachtwoorden en creditcardinformatie. Het bedrijf betaalde in augustus 2015 1 miljoen dollar schikkingsgeld aan een onbekend aantal gebruikers.

Stuxnet

Datum: Ergens in 2010, maar begon in 2005

Impact: Gebouwd om Iran's nucleaire energieprogramma aan te vallen, maar werd ook ingezet voor real-world intrusion en disruptie van nutsbedrijven en het openbaar vervoer.

De directe effecten van deze worm waren in eerste instantie minimaal, maar uiteindelijk kwam deze malware hoog in de lekkenlijst te staan omdat deze aanval een hoop fysieke schade aanrichtte.

Deze malware was ontworpen om alleen Siemens SCADA-systemen aan te vallen en het sloopte uiteindelijk Irans nucleaire programma door ongeveer 984 uranium verrijkende centrifuges te slopen. De aanval zou zijn gedaan door de Amerikaanse overheid in samenwerking met Israël, al is dat nooit officieel toegegeven.

VeriSign

Datum: 2010

Impact: Het is niet bekend hoeveel informatie er is gestolen.

Beveiligingsexperts zijn het er allemaal over eens dat het ergste van het VeriSign-lek toch wel de manier is waarom het bedrijf de boel heeft afgehandeld. VeriSign heeft de aanvallen nooit naar buiten gebracht, het werd pas bekend in 2011.

VeriSign meldde dat er geen kritieke systemen als DNS-servers of certificaatservers waren aangevallen, maar zei wel dat "Toegang was verkregen tot informatie op een klein deel van zonde computers en servers". Het bedrijf nooit gezegd welke informatie de criminelen hebben buitgemaakt.

Yahoo

Datum: 2013 - 2014

Impact: 1,5 miljard gebruikersaccounts

Beveiligingsonderzoekers staan er versteld van dat Yahoo er drie jaar over deed om erachter te komen dat er in 2013 één miljard gebruikersaccounts waren gestolen. Een andere hackersgroep sloeg in 2014 nogmaals toe en maakte daarbij nog eens 500 miljoen records buit. Het ging om namen, e-mail adressen, geboortedatum en telefoonnummers. Yahoo liet weten dat de wachtwoorden goed waren gehasht (met het robuuste bcrypt-algoritme).

Yahoo probeerde in 2016 zichzelf te verkopen aan Verizon en de onthullingen van deze hacks zorgden ervoor dat er 350 miljoen dollar van de vraagprijs afging. Verizon heeft het bedrijf uiteindelijk overgenomen voor 4,48 miljard dollar. Dit gold echter niet voor het gedeelte waarin Alibaba heeft geïnvesteerd.

Het bedrijf heeft z'n naam na de verkoop gewijzigd naar Altaba Inc.

Adult Friend Finder

Datum: Oktober 2016

Impact: Meer dan 412,2 miljoen accounts

Het FriendFinder Netwerk (dat onder andere bestond in een vorm voor standaardafspraakjes en websites met content alleen voor volwassenen als Adult Friend Finder, Penthouse.com, Cams.com, iCams.com en Stripshow.com) werd het slachtoffer van datadiefstal in oktober 2016. Hackers verzamelden 20 jaar aan data uit zes databases waaronder namen, e-mail adressen en wachtwoorden.

De meeste wachtwoorden waren beschermd met slechts een zwak SHA-1 hashingalgoritme. Dat betekent dat 99 procent van alle verkregen data al te lezen voordat LeakedSource.com de analyse van de gestolen data online plaatste in november.

De hackers maakten misbruik van een lek in een Local File Inclusion-module op het netwerk dat draaide op de productieservers van Adult Friend Finder. AFF-onderdirecteur Diana Ballou liet later weten dat er inderdaad een kwetsbaarheid was gevonden en dat het lek was gedicht.

eBay

Datum: Mei 2014

Impact: 145 miljoen gebruikers

Het bedrijf werd in mei 2014 aangevallen en de aanvallers gingen er vandoor met namen, adressen, geboortedatums en versleutelde wachtwoorden van alle 145 miljoen gebruikers. Ebay liet weten dat de malafide hackers zijn binnen gekomen op het netwerk met credentials van drie medewerkers. Zij konden 229 dagen lang rondneuzen op het interne netwerk van het bedrijf en kopieerden de volledige database.

Het bedrijf vroeg gebruikers hun wachtwoord te wijzigen, maar liet weten dat financiële informatie als creditcard-nummers op een andere plek waren opgeslagen en niet was gevonden door de criminelen. Het bedrijf werd destijds bekritiseerd dat het niet goed communiceerde met de buitenwereld en gebruikers slecht informeerde. Het proces om wachtwoorden te resetten liet ook te wensen over.

CEO John Donahue zei dat de inbraak resulteerde in een daling van gebruikersactiviteit maar dat het op financieel gebied niet echt een impact maakte. Het bedrijf maakte dat jaar 6 procent winst.

Heartland Payment Systems

Datum: Maart 2008

Impact: 134 miljoen credit cards gestolen dankzij een SQL-injectie die werd gebruikt om spyware te installeren op Heartlands data-systemen.

Het bedrijf verwerkte 100 miljoen betalingstransacties per maand voor 175.000 bedrijven (kleine en middelgrote retailers). Het lek werd pas ontdekt in januari 2009 toen Visa en MasterCard Heartland lieten weten verdachte transacties te detecteren.

Het bedrijf voldeed niet langer aan de Payment Card Industry Data Security Standaard (PCI DSS) en mocht geen transacties meer verwerken van grote creditcardmaatschappijen tot mei 2009. Het bedrijf moest ook 145 miljoen dollar als compensatie voor frauduleuze betalingen.

Er zijn uiteindelijk wel een paar mensen de cel voor ingedraaid. Albert Gonzalez en twee Russische metgezellen werden in maart 2010 veroordeeld tot 20 jaar gevangenisstraf.

Target-winkels

Datum: December 2013

Impact: Creditcard- en pinpasinformatie, en NAW-gegevens van 110 klanten

De inbraak vond vlak voor Thanksgiving plaats maar werd pas enkele weken later ontdekt. Het bedrijf werd gehackt via een 3rd-party aircoleverancier. Deze was verbonden met de Point of Sale (POS) kaartlezers en kon op deze manier alle creditcardgegevens verzamelen.

De CIO van Target nam in 2014 ontslag en de kosten van deze inbraak werden geschat op ongeveer 162 miljoen dollar. Het bedrijf werd geprezen omdat het flinke beveiligingsmaatregelen nam na de inbraak, toch kreeg Target in mei 2017 een ultimatum om nog betere beveiligingsmaatregelen toe te passen.

TJX Companies, Inc.

Datum: December 2006

Impact: 94 miljoen creditcard-records gestolen

Het is niet helemaal duidelijk hoe deze hack heeft kunnen plaatsvinden. Een groep zegt dat een groep malafide hackers misbruik maakte van een zwak encryptie-systeem en op die manier creditcardgegevens stal tijdens draadloze overdracht van winkel naar winkel. Een andere groep beweert weer dat er was ingebroken in het netwerk van TJX via in-store kiosks.

Ook voor deze hack was Albert Gonzalez verantwoordelijk. Banken en verzekeraars claimden ongeveer 200 miljoen dollar te hebben verloren.

JP Morgan Chase

Datum: Juli 2014

Impact: 76 miljoen huishoudens en 7 miljoen kleine bedrijven

De grootste bank van Amerika werd in 2014 aangevallen en gegevens van 76 miljoen huishoudens en 7 miljoen kleine bedrijven werd buitgemaakt. Het ging om NAW-gegevens, e-mail adressen en interne informatie.

De bank meldde dat er geen geld was gestolen en dat er geen bewijs was dat account-informatie werd misbruikt, verder waren belangrijke gegevens als BSN's, gebruikersgegevens wachtwoorden en geboortedatums niet waren gestolen.

Toch is het hackers gelukt root-privileges te krijgen bij meer dan 90 vestigingen wat betekent dat zij bankrekeningen konden aanmaken, afsluiten en geld konden doorsluizen naar andere rekeningen.

Er zijn in 2015 uiteindelijk vier mannen opgepakt maar niet iedereen is uiteindelijk schuldig bevonden.

US Office of Personnel Management (OPM)

Datum: 2012 - 2014

Impact: Persoonlijke informatie van 22 miljoen Amerikaanse overheidsmedewerkers en ex-medewerkers

Het bedrijf werd in 2012 gehackt maar men kwam er pas in maart 2014 achter. Een tweede malafide hacker(groep) brak in 2014 in via een 2rd-party contractor in 2014 en bleef bijna een jaar onopgemerkt. De indringers verzamelden zoveel mogelijk data waaronder vingerafdruk-data. Later bleek ook informatie over de gezinnen van de medewerkers te zijn buitgemaakt (deze informatie werd opgeslagen voor verklaringen van goed gedrag en background-checks)

Uit een rapport (PDF) van the House Committee on Oversight and Government Reform valt te lezen dat meerdere generaties last (zullen) hebben van deze hack.

Sony's Playstation Network (PSN)

Datum: 20 april 2011

Impact: 77 miljoen Playstation network-accounts gehackt. Dit kostte het bedrijf 171 miljoen dollar omdat de dienst een maand uit de lucht was.

Dit is de grootste gaming community-hack ooit. Ruim 77 miljoen accounts werden gehackt waarvan 12 miljoen onversleutelde creditcard-gegevens die waren gekoppeld aan deze accounts. Hackers kwamen zo achter volledige namen, wachtwoorden, e-mail adressen, thuisadressen, aankoopgeschiedenis, creditcardnummers en login-gegevens.

"De gemiddelde beveiligingsmedewerker zou zich kunnen afvragen hoe dit bij andere grote bedrijven is geregeld als het bij Sony al zo'n zootje is," liet John Linkous, van elQnetworks weten. "Wees voorzichtig aan wie je je data geeft, het is het wellicht niet waard voor wat online spelletjes."

Sony schikte voor 15 miljoen dollar in een class action-rechtszaak.

Anthem

Datum: Februari 2015

Impact: Diefstal van persoonlijke informatie van 78,8 miljoen huidige- en ex-klanten

Deze een- na grootste zorgverzekeraar in Amerika (voorheen bekend als WellPont) bracht in 2015 naar buiten dat een cyberaanval de namen, adressen, BSN, geboortedatums en arbeidsgeschiedenis van huidige en ex-klanten is gestolen. Zo'n beetje alles wat je nodig hebt om identiteitsfraude te plegen.

Dit was volgens Fortune de grooste hack in de zorgwereld ooit en het leek erop dat een buitenlandse overheid professionele hackers had ingehuurd om deze data te stelen. Er hoefde slechts één medewerker van het bedrijf op een link te klikken in een phishingmail om deze hack mogelijk te maken.

Het is nog niet duidelijk hoeveel deze hack het bedrijf gaat kosten, maar men schat meer dan 100 miljoen dollar. Anthem zegt overigens geen bewijs te hebben gevonden dat de data is verkocht of misbruikt. Creditcard- en medische informatie is overigens niet buitgemaakt.

RSA Security

Datum: Maart 2011

Impact: 40 miljoen werknemer-records gestolen.

De impact van deze cyberaanval, die informatie van beveiligingsgigant SecurID buitmaakte, wordt tot op de dag van vandaag nog steeds bediscussieerd. De beveiligingstak van EMC zegt dat het twee verschillende hackergroepen samenwerkten met een buitenlandse overheid om een serie phishingaanvallen tegen RSA-medewerkers te lanceren. De malafide hackers deden zich voor als medewerkers om het bedrijfsnetwerk binnen te kunnen dringen.

EMC meldde verder dat het bedrijf tenminste 66 miljoen dollar heeft uitgegeven om de schade te beperken. RSA meldde verder dan er geen consumentennetwerken waren getroffen door de hack, maar John Linkous, van elQnetworks inc. geloofde er in elk geval niks van. "Het hielp niet echt mee dat RSA vaag bleef over de aanval en (belangrijker nog) de gestolen data. Het was slechts een kwestie van tijd voordat soortgelijke aanvallen op Lockheed-Martin, L3 en andere plaatsvond. Al deze aanvallen zouden dankzij de RSA-hack plaats hebben gevonden. Zelfs goede beveiligingsbedrijven als RAS zijn niet immuun voor hacks."

Jennifer Bayuk, onafhankelijke beveiligingsconsultant, vertelde SearchSecurity in 2012 dat deze hack "een gigantische klap in het gezicht van de beveiligingsindustrie was omdat RSA zo'n icoon was. Zij zijn een typisch beveiligingsbedrijf. Het feit dat zij ook gevoelig kunnen zijn voor zulke dingen was een vervelende verrassing."