Крупнейшие утечки персональных данных за год

Цифровой мир связан с масштабными утечками персональных данных. ЭАЦ составил обзор крупных утечек персональных данных за прошлый год и привел пример оценки ущерба компании в результате кражи большого набора ПДн.

В начале лета исследователи из группы Cybernews и их коллега Боб Дьяченко (Bob Diachenko) обнаружили в открытом доступе базу данных объемом 631 ГБ, содержащую более 4 млрд записей персональных данных. Скомпрометированными оказались множество документов, включая финансовые данные, а также информация сотен миллионов пользователей китайских платформ, включая WeChat и Alipay. Исследователи предполагают, что этот массив данных был собран для создания подробных профилей китайских граждан, и пользователи практически ничего не могли сделать для защиты своей конфиденциальности. Злоумышленники могут использовать такой огромный объем данных для фишинга, мошенничества, шантажа или даже в рамках государственных разведывательных кампаний или для массовой дезинформации.

В Дарквебе было обнаружено объявление о продаже огромной базы данных, содержащей персональные данные и медицинскую информацию. Вероятно, операторами хранилища выступали холдинг Hi-Tek Group, который отвечает за поддержку портала для вакцинированных от коронавирусной инфекции (CoWIN), а также Индийский совет медицинских исследований (ICMR). Злоумышленник утверждал, что база данных содержит более 2,5 миллиардов записей, включая конфиденциальную информацию, такую как полные имена, номера мобильных телефонов, номера индийской системы идентификации граждан Aadhaar, результаты тестов на COVID-19, данные о вакцинации и адреса.

Зимой 2025 года исследователи Cybernews нашли в Сети открытую базу данных Elasticsearch, которая насчитывала порядка 440 млн записей ПДн. Этот экземпляр облачного хранения содержал информацию из ряда азиатских стран: Саудовской Аравии, Омана, ОАЭ, Египта, Кувейта, Пакистана, Ирака, Сирии, Ливана и других.

«Раскрытие конфиденциальных личных данных из нескольких стран создает значительный риск кражи персональных данных, фишинга и других форм эксплуатации. Международный масштаб утечек усложняет реагирование, поскольку риску подвергаются люди из разных регионов», — заявили исследователи.

Хакер под псевдонимом Often9 заявил, что с помощью эксплуатации уязвимости API удалось похитить 428 млн уникальных записей персональных данных пользователей китайского сервиса просмотра коротких видео TikTok. По словам злоумышленника, украденный набор данных включал адреса электронной почты, номера мобильных телефонов, идентификаторы пользователей TikTok, имена пользователей, никнеймы, биографии, URL-адреса аватаров, ссылки на профили, флаги учетных записей и другие типы записей. Сотрудники портала Hackread проанализировали представленный набор данных и выяснили, что большинство записей в нем содержались в двух других утечках данных из TikTok. В частности, в сентябре 2022 года в Сети распространялась база данных, насчитывающая более 2 млрд пользовательских записей TikTok.

MagentaTV, стриминговая платформа и телевизионный сервис из Германии, по ошибке скомпрометировала более 324 млн записей из журналов событий. Исследователи полагают, что данные, включая IP- и MAC-адреса пользователей, находились в открытом доступе в течение нескольких месяцев, прежде чем компания обеспечила их безопасность.

Потеря персональных данных может приводить к значительному ущербу для компании как оператора этих данных. Так, британская розничная сеть Co-op в результате кибератаки лишилась информации порядка 20 млн покупателей. Из-за простоев и других последствий инцидента ущерб составил более 206 млн фунтов стерлингов (примерно 275 млн долларов). Все пострадавшие клиенты получат скидки в качестве извинения за допущенную кражу данных.