Les 10 plus grandes violations de données de tous les temps

Les violations de données affectent les entreprises à un rythme exponentiel, représentant l'une des plus grandes menaces pour les données personnelles dans l'histoire de l'Internet.

Qu'il s'agisse de plateformes d'IA vulnérables ou de protocoles de sécurité des données médiocres, les mauvais acteurs exploitent ces vulnérabilités, volent les données des consommateurs et les utilisent à des fins lucratives ou à d'autres fins illégales.

En 2023, le nombre de violations de données signalées aux États-Unis a augmenté de 78 % par rapport à 2022.(ID Theft Center)

Vous trouverez ci-dessous une liste des dix plus grandes violations de données jamais survenues et des plus grandes violations survenues par année.

Les 10 violations de données les plus importantes de tous les temps

Pour commencer, j'ai dressé une liste des dix principales violations de données qui se sont produites jusqu'à présent.

1. Yahoo - 3 000 000 000 d'enregistrements perdus

En 2013, des pirates informatiques se sont introduits dans le système de Yahoo et ont divulgué des informations sur plus de 3 milliards de comptes. Heureusement, les données volées ne contenaient pas d'informations cruciales telles que des données de paiement, des mots de passe non hachés ou des numéros de compte bancaire.

2. Données publiques nationales - 2 900 000 000 d'enregistrements perdus

En avril 2024, il a été révélé qu'une violation historique de données s'était produite, les pirates ayant eu accès à des milliards de numéros de sécurité sociale, parmi d'autres données personnelles.

3. River City Media - 1 370 000 000 d'enregistrements perdus

En mars 2017, un opérateur de spams a exposé accidentellement 1,37 milliard d'enregistrements, ce qui en fait l'une des plus importantes violations de données jamais survenues. Cette violation s'est produite lorsque River City Media a accidentellement publié un instantané d'une sauvegarde de janvier 2017 sans protection par mot de passe.

4. Aadhaar - 1 100 000 000 dossiers perdus

En mars 2018, la base de données biométriques de l'Inde, Aadhaar, a été violée à la suite d'une fuite au sein d'une organisation de services publics appartenant à l'État. Tous les citoyens indiens enregistrés ont été touchés par cette faille et leurs numéros d'identité, leurs coordonnées bancaires et leurs noms ont été divulgués.

5. Conseil indien de la recherche médicale (ICMR) - 815 000 000 de dossiers perdus

En octobre 2023, les données des tests COVID de 815 millions de personnes (81,5 %) ont été volées au Conseil indien de la recherche médicale. L'acteur malveillant a tenté de vendre l'ensemble des données pour 80 000 dollars sur des forums de piratage. Quatre personnes ont été arrêtées dans le cadre de cette affaire.

6. Spambot - 711 000 000 enregistrements perdus

En août 2017, un spambot a divulgué des mots de passe et des courriels à la suite d'une mauvaise configuration. En conséquence, plus de 700 millions d'enregistrements - à peu près l'équivalent d'une adresse électronique pour chaque homme, femme et enfant en Europe - ont fait l'objet d'une fuite. Mais la brèche comprenait de nombreux comptes répétés et faux.

7. Facebook - 533 000 000 d'enregistrements perdus

En mars 2021, des pirates informatiques ont piraté le géant des médias sociaux Facebook en raison d'une vulnérabilité qui a été corrigée en 2019. Un nombre impressionnant de 533 millions d'enregistrements d'utilisateurs de 106 pays ont été publiés sur un forum de piratage, y compris les noms complets, les numéros de téléphone, les emplacements des utilisateurs, les informations biographiques et les adresses électroniques.

8. Syniverse - 500 000 000 d'enregistrements perdus

Syniverse, une entreprise qui constitue un élément essentiel de l'infrastructure mondiale des télécommunications, a révélé dans un document déposé le 27 septembre 2021 auprès de la Securities and Exchange Commission (SEC) des États-Unis que des pirates informatiques avaient accédé à 500 millions d'enregistrements.

Les informations divulguées contenaient des informations personnelles sur ses employés, des secrets commerciaux, de la propriété intellectuelle, des informations sensibles sur ses fournisseurs, ses clients, ses vendeurs et d'autres informations financières importantes, et l'entreprise a découvert que des pirates informatiques étaient dans son système depuis des années.

9. Yahoo - 500 000 000 d'enregistrements perdus

En septembre 2016, un acteur parrainé par un État a volé 500 millions d'enregistrements à Yahoo, y compris des dates de naissance, des noms et des informations de sécurité. À l'époque, il s'agissait de la plus grande violation de données de l'histoire. Aujourd'hui, elle figure en huitième position sur la liste.

10. MySpace - 427 000 000 d'enregistrements perdus

En mai 2016, un moteur de recherche de données piratées et un pirate informatique ont obtenu plus de 400 millions d'enregistrements de MySpace. Les deux parties ont affirmé avoir obtenu les données à la suite d'un incident de sécurité des données passé et non signalé. Les informations divulguées contenaient des courriels, des mots de passe, des noms d'utilisateur et des seconds mots de passe.

Principales violations de données par année

Vous trouverez ci-dessous la liste des plus grandes violations de données pour chaque année depuis 2010.

2024

J'ai dressé une liste des plus grandes brèches survenues en 2024 - l'une d'entre elles figure même dans la liste des 10 premières brèches ci-dessus.

1. Données publiques nationales (NPD)

2 900 000 000 d'enregistrements perdus

Dans l'une des plus grandes violations de données de tous les temps, des pirates informatiques ont volé les informations sensibles de milliards de personnes, y compris leurs noms, adresses, dates de naissance et numéros de sécurité sociale.(Tech.co)

2. Solutions financières pour les entreprises et les consommateurs (FBCS)

4 200 000 dossiers perdus 

Les pirates ont volé des noms complets, des numéros de sécurité sociale, des dates de naissance et bien d'autres choses encore dans les systèmes de FBCS, une agence de recouvrement agréée et cautionnée au niveau national.(FBCS)

3. Ticketmaster

560 000 000 d'enregistrements perdus

Ticketmaster a confirmé que des pirates informatiques ont volé des données personnelles de ses clients, notamment des noms, des adresses et des numéros de téléphone.(Ticketmaster)

4. Changer les soins de santé

145 000 000 d'enregistrements perdus

Une attaque par ransomeware a révélé les numéros de sécurité sociale, les dossiers médicaux et les adresses de millions de patients de Change Healthcare.(Groupe UnitedHealth)

5. AT&T

110 000 000 d'enregistrements perdus

Dans leur deuxième violation de l'année, les pirates ont volé les données de tous les clients d'AT&T, y compris les emplacements approximatifs, les numéros de téléphone et les numéros des non-clients.(AT&T)

6. Dell

49 000 000 d'enregistrements perdus

Dell a confirmé que les données de ses clients ont été compromises lors d'une brèche, y compris les adresses personnelles et les informations relatives aux commandes(LinkedIn)

2023

1. Conseil indien de la recherche médicale : 815 000 000 d'enregistrements perdus (Tech Informed)
2. X (anciennement Twitter) 200 000 000 d'enregistrements perdus (CNN)
3. MOVEit 62 000 000 d'enregistrements perdus(AP News)
4. T-Mobile 37 000 000 d'enregistrements perdus (T-Mobile)
5. HCA Healthcare 11 000 000 de dossiers perdus (HCA Healthcare)

2022

1. Neopets : 69 000 000 d'enregistrements perdus (CPO Magazine)
2. SuperVPN, GeckoVPN, et ChatVPN 21 000 000 d'enregistrements perdus (Cybernews)
3. Singtel Optun Pty Limited 9 800 000 enregistrements perdus (Bloomberg)
4. Cash App 8 200 000 enregistrements perdus(TrendMicro News)
5. X (anciennement Twitter) 5 400 000 enregistrements perdus (Malwarebytes)

2021

1. Facebook (Meta) 533 000 000 d'enregistrements perdus(Business Insider)
2. Syniverse 500 000 000 d'enregistrements perdus(SEC)
3. Power Apps (Microsoft) 38 000 000 d'enregistrements perdus (Wired)
4. Vendeurs Amazon 13 124 962 enregistrements perdus(Safety Detectives)
5. Pandora Papers : 11 900 000 enregistrements perdus(The Guardian)

2020

1. Opérateurs de téléphonie mobile pakistanais : 115 000 000 d'enregistrements perdus (ZD Net)
2. SolarWinds : 50 000 000 d'enregistrements perdus(New York Times)
3. MGM Hotels 10 600 000 enregistrements perdus (ZD Net)
4. Gouvernement néerlandais 6 900 000 dossiers perdus(ZD Net)
5. Marriott International 5 200 000 enregistrements perdus(Marriott)

2019

1. 16 sites web pirates 617 000 000 d'enregistrements perdus (The Register)
2. MongoDB 275 265 298 enregistrements perdus(Bleeping Computers)
3. Microsoft : 250 000 000 d'enregistrements perdus(Forbes)
4. 8 sites web piratés 127 000 000 d'enregistrements perdus(TechCrunch)
5. Capital One : 100 000 000 d'enregistrements perdus (CSO Online)

2018

1. Aadhaar : 1 100 000 000 d'enregistrements perdus(ZD Net)
2. Marriott International: 383 000 000 d'enregistrements perdus (New York Times)
3. X (anciennement Twitter) 330 000 000 d'enregistrements perdus (Reuters)
4. Sites web chinois de recherche d'emploi : 202 000 000 d'enregistrements perdus(Hacken)
5. Quora : 100 000 000 d'enregistrements perdus (New York Times)
6. Google : 500 000 enregistrements perdus (Forbes)

2017

1. River City Media : 1 370 000 000 d'enregistrements perdus(The Guardian)
2. Spambot : 711 000 000 d'enregistrements perdus(The Guardian)
3. Equifax 143 000 000 d'enregistrements perdus(CBC News)
4. Numéros de téléphone mobile malaisiens 46 200 000 enregistrements perdus(Lowyat)
5. AI.Type 31 000 000 d'enregistrements perdus(ZD Net)

2016

1. Yahoo 500 000 000 d'enregistrements perdus (CNBC)
2. Réseau Friend Finder 412 000 000 d'enregistrements perdus (ZD Net)
3. Uber 57 600 000 enregistrements perdus(New York Times)
4. Morgan Stanley: 15 000 000 d'enregistrements perdus(Reuters)
5. MySpace : 427 000 000 d'enregistrements perdus(Vice)

2015

1. Deep Root Analytics 198 000 000 d'enregistrements perdus(Reuters)
2. Experian/T-mobile 15 000 000 d'enregistrements perdus(T-Mobile)
3. Anthem 80 000 000 d'enregistrements perdus(New York Times)
4. Securus Technologies : 70 000 000 de dossiers perdus(The Intercept)
5. US Office of Personnel Management 14,000,000 records lost(BBC)

2014

1. eBay: 145 000 000 d'enregistrements perdus(Business Insider)
2. JPMorgan Chase 83 000 000 de dossiers perdus(New York Times)
3. Home Depot : 56 000 000 d'enregistrements perdus(Krebs on Security)
4. Korea Credit Bureau : 20 000 000 d'enregistrements perdus(Security Week)
5. Sony Pictures : 10 000 000 d'enregistrements perdus(BuzzFeed News)

2013

Voici les cinq plus grandes violations de données qui ont eu lieu en 2013.

1. Yahoo 3 000 000 000 d'enregistrements perdus(BBC)
2. Court Ventures 200 000 000 d'enregistrements perdus(Krebs on Security)
3. Entreprises américaines multiples 160 000 000 d'enregistrements perdus(Technology Review)
4. Target : 70 000 000 d'enregistrements perdus(USA Today)
5. Excellus Health Plan : 9 300 000 dossiers perdus(USA Today)

2012

1. Zappos : 24 000 000 d'enregistrements perdus(Forbes)
2. KT Corp 8 700 000 dossiers perdus(Korea Times)
3. Le ministère des finances de l'État de Caroline du Sud perd 3 987 000 dossiers(InfoWorld)
4. Trois banques iraniennes: 3 000 000 d'enregistrements perdus(DataBreachToday)
5. Apple 1000 000 d'enregistrements perdus(CNET)

2011

1. Sony PSN 77 000 000 d'enregistrements perdus(Playstation Blog)
2. Vapeur 35 000 000 d'enregistrements perdus(BBC)
3. Nexon Korea Corp 13 000 000 d'enregistrements perdus(Reuters)
4. The New York City Health and Hospitals Corp 1,700,000 records lost(InfoRiskToday)
5. The Washington Post 1 270 000 enregistrements perdus(PC Mag)

2010

1. Educational Credit Management Corp 3 300 000 dossiers perdus(MPR News)
2. Gawker : 1 500 000 enregistrements perdus(The Guardian)
3. Université de l'État de l'Ohio : 760 000 dossiers perdus(The Lantern)
4. Centre médical et de santé mentale de Lincoln : 130 000 dossiers perdus(The New York Times)

La menace croissante des violations de données

Les violations de données sont en augmentation, en grande partie grâce à notre dépendance à l'internet et aux progrès rapides de la technologie, comme l'IA et l'internet des objets.

Parallèlement, les pratiques de sécurité, l'éducation et les orientations réglementaires évoluent beaucoup plus lentement et ne peuvent pas suivre le rythme rapide des cybercriminels et des mauvais acteurs.

Les données suggèrent que de plus en plus d'entreprises sont victimes de fuites de données ou d'autres cybercrimes ayant un impact sur les données personnelles des consommateurs :

• En 2023, le nombre total de violations de données a augmenté de 78 % par rapport à 2022.(ID Theft Center)
• Ce chiffre représente une augmentation de 72 points de pourcentage par rapport au précédent record historique de 2021.(ID Theft Center)
• 82% des violations de données concernaient des informations stockées dans des "nuages" numériques(IBM).
• Aux États-Unis, en 2024, une violation de données coûtera en moyenne 4,88 millions de dollars aux entreprises, soit une augmentation de 10 % par rapport à 2023.(IBM)
• Le type de violation de données le plus courant en 2023 concernait la compromission d'informations personnelles sensibles.(Rapport annuel sur les violations de données de l'ID Theft Center)

Les données sont claires : les entreprises de toutes tailles doivent prendre au sérieux la sécurité des données afin de prévenir les accès non autorisés, la cybercriminalité et les violations de données.

Je suggère aux entreprises d'utiliser cette liste massive d'exemples de violations de données comme un avertissement ; la technologie a progressé et les violations de données sont de plus en plus répandues.

Alors que dans les années 2010, la plupart des brèches concernaient des centres médicaux, des administrations et des grandes entreprises, depuis peu, un pourcentage important concerne des applications de médias sociaux et des plateformes de commerce électronique.

Il est clair que chaque entreprise, quelle que soit sa taille et son secteur d'activité, doit être vigilante en matière de sécurité.

Si vous ne disposez pas de mesures de sécurité adéquates, vous pouvez devenir la cible de cyberattaques malveillantes qui mettent en péril la sécurité des données personnelles que vous collectez, et les statistiques récentes sur la confidentialité des données montrent que les consommateurs exigent des efforts accrus pour protéger leurs informations personnelles.

Mettez en place dès maintenant des protocoles de protection de la vie privée au sein de votre organisation afin de vous assurer que vos employés comprennent l'importance de la sécurité et la raison pour laquelle ils doivent jouer un rôle dans la protection des données.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur