Ha ma businessről, márkáról vagy bármilyen online szolgáltatásról beszélsz, az adatvédelem már nem kiegészítő téma, hanem alap, ún. „core” kockázat. Adatvédelmi incidensnek azt nevezzük, amikor a kezelt személyes adatok sérülnek, elvesznek, illetéktelenek számára hozzáférhetővé válnak vagy jogosulatlanul közlik őket. Ez történhet támadás, emberi hiba vagy akár beszállítói hiba miatt is.
Legnagyobb felhasználószámú adatszivárgások
A rekorderek közé tartozik a Yahoo, ahol utólag derült ki, hogy a 2013-as támadás végül az összes, nagyjából 3 milliárd felhasználói fiókot érintette. A kompromittált adatok között e-mailek, telefonszámok, születési dátumok és jelszóhash-ek szerepeltek. A bejelentés évekig húzódott, ami tovább mélyítette a reputációs kárt.
A Marriottnál 2014-től évekig észrevétlen maradt a Starwood foglalási rendszer kompromittálása. A vállalat első közlése 500 millió vendégről szólt, amit később 383 millióra pontosítottak. A hoteliparban ez volt az egyik legkomolyabb, hosszú ideig tartó beszivárgás.
A LinkedInnél 2021-ben egy 500 millió profilt érintő, főként nyilvános adatokból „scrapelt” csomag került kereskedésbe a dark web környékén. Bár nem klasszikus rendszerszintű betörés volt, a tömegesség és az adatok összefűzhetősége miatt a kockázat valós.
Az Adobe 2013-as incidensében kezdetben néhány millió, majd legalább 38 millió fiók adatai kerültek elő, köztük titkosított jelszavak és bankkártyaadatok. A fejlesztői forráskódok kiszivárgása külön extra kockázatot jelentett.
Pénzügyi és kritikus infrastruktúrák, ahol különösen fáj
Az Equifax hitelinformációs óriást 2017-ben értékes személyes adatokkal együtt érte támadás, közel 147–148 millió ügyfél érintettségével. Az ügy végül 2019-ben mintegy 700 millió dolláros rendezésbe torkollott, ami jól mutatja a jogi-kártérítési kitettség mértékét.
A Target 2013-as betörésében kb. 40 millió bankkártya- és további 70 millió személyes adat került illetéktelen kézbe. A támadók beszállítói hozzáférést használtak ki, ami azóta is tankönyvi példa beszállítói kockázatkezelésre.
A Colonial Pipeline 2021-ben zsarolóvírus-támadás miatt állította le átmenetileg a szállítást; az ellátási zavar pánikvásárláshoz és benzinhiányhoz vezetett az USA keleti partján. A történet jól mutatja, hogy egy digitális incidens hogyan válhat pillanatok alatt fizikai ellátási problémává.
Politika, big tech és ellátási lánc: a hatás sokszor rendszerszintű
A Facebook–Cambridge Analytica ügyben a felhasználói adatok politikai profilozásra kerültek felhasználásra a 2016-os amerikai választások idején. Az EU és több hatóság is vizsgálódott, és a platformok adatmegosztási gyakorlata azóta is kiemelt fókusz alatt áll.
A SolarWinds 2020-as ellátásilánc-támadása során kompromittált frissítésen át jutottak be célpontok tömegéhez. Több tízezer ügyfél töltötte le a fertőzött Orion verziót, a tényleges kémkedés viszont célzott volt – és rendkívül kifinomult.
2024-ben a Microsoftnál az orosz állami hátterű Midnight Blizzard jelszó-spray technikával tört be vállalati e-mailfiókokba, köztük felső vezetői postafiókokba. A cég később jelezte: az ellopott információkat a támadók újabb próbálkozásokhoz is felhasználták.
Az új korszak: automatizált zsarolás, beszállítói célpontok és óriás-adatcsomagok
A MOVEit 2023-as, CVE-2023-34362 jelű 0-day sebezhetőségét a Cl0p csoport ipari módszerrel használta ki: tömegesen több ezer szervezetnél loptak adatot, és „kettős zsarolásra” álltak át. A támadás jól mutatta, mennyire sérülékeny egy népszerű file-transzfer megoldásra épülő ökoszisztéma.
A Snowflake-ügy 2024-ben több nagyvállalatot érintett: a sajtóhírek szerint a Ticketmasternél akár százmilliós nagyságrendű ügyféladat érintettsége is felmerült, miközben a Santander egyes munkavállalói adataihoz is hozzáfértek. A történet lényege a harmadik fél körüli identitás- és hozzáférésvédelem.
A 23andMe 2023-as incidense során közel 6,9 millió ember genetikai és családfa-információihoz kapcsolódó adatai kerülhettek illetéktelenekhez. A genetikai adatok különleges személyes adatok, így a reputációs és jogi kockázat még magasabb.
Az AT&T 2024-ben megerősítette, hogy 73 millió ügyfél adatai kerültek ki – köztük biztonsági jelszavak is. A távoli piactereken megjelenő adatszettek „másodlagos” kárhullámot indítanak el jelszó-újrafelhasználás és célzott csalások révén.
A Sony PlayStation Network 2011-es leállása több mint 70 millió felhasználót érintett, és hónapokig tartó bizalomvesztést okozott. A klasszikus példa ma is jól illusztrálja: az ügyféladatok mellett az elérhetőség elvesztése is súlyos következményekkel jár.
Gyors toplista
- Yahoo, 2013 – ~3 milliárd fiók A modern kori adatszivárgások „ősanyja”, évekkel későbbi pontosítással.
- Marriott/Starwood, 2014–2018 – akár 383 millió vendég Hosszú ideig észrevétlen beszivárgás, utólagos pontosítással.
- Equifax, 2017 – ~147 millió fogyasztó Többéves jogi következmények és történelmi nagyságrendű pénzügyi rendezés.
- LinkedIn, 2021 – 500 millió profil „scrape” A nyilvános és félig nyilvános adatok összegyűjtése is komoly kockázat.
- AT&T, 2024 – 73 millió ügyfél Tömeges hitelesítőadat-kitettség, másodlagos visszaélések melegágya.
A fenti esetek közös tanulsága, hogy a legtöbb nagy botrány több tényező találkozásából születik: technikai sérülékenység, gyenge hozzáférés-védelem, beszállítói lánc rései vagy adatminimálás hiánya. A nagy incidensek nem feltétlenül a legfejlettebb „0-day” (zero day) támadásokból születnek, hanem gyakran alap higiéniai hiányosságokból: nem kényszerített jelszó-rotáció, hiányzó MFA, túl széles jogosultság, monitorozás nélküli adatmozgatás. És ami a legfontosabb: a gyors, transzparens kommunikáció és az átlátható értesítési folyamat csökkenti a reputációs kárt, míg a hallgatás évekre elnyúló bizalomvesztést okoz.