Zum Hauptinhalt wechseln

Was ist eine Datenpanne (Data Breach) und wie können Sie Ihr Unternehmen davor schützen?

Was ist eine Datenpanne?

Datenpannen werden auch als Datenleck bezeichnet.

Laut Techopedia sind Datenpannen „Vorfälle, bei denen Daten von einer Person, einer Anwendung oder einem Service unbefugt oder illegal eingesehen, abgerufen oder heruntergeladen werden“.1 Diese Art von Sicherheitsverletzungen zielt speziell auf den Diebstahl vertraulicher Informationen ab. Sie kann physisch erfolgen, indem auf einen Computer oder ein Netz zugegriffen wird, oder aus der Ferne, indem die Netzwerksicherheit umgangen wird.

Datenpannen treten in der Regel auf, wenn ein Hacker oder ein ähnlicher nicht berechtigter Nutzer auf eine sichere Datenbank oder ein Datenrepository zugreift. Bei Datenpannen, die häufig über das Internet oder eine Netzverbindung erfolgen, geht es in der Regel um die Jagd auf logische oder digitale Daten.

Laut Symantec waren die häufigste Form von Daten, die bei Datenpannen verloren gingen, personenbezogene Daten, wie beispielsweise vollständige Namen, Kreditkartennummern und Sozialversicherungsnummern, dicht gefolgt von personenbezogenen Finanzdaten.2

Nachdem sie diese Daten erhalten haben, können Hacker sie nutzen, um Identitätsdiebstahl und andere Cyberverbrechen zu begehen. Dazu gehört auch, dass sie die gestohlenen Informationen verwenden und sich als Administrator Zugang zu Ihrem gesamten Netz verschaffen.

Neben dem Datenverlust schaden Datenpannen einem Unternehmen und seinen Kunden auch noch auf andere Weisen. Der Schaden erstreckt sich auf die Kosten für die Erhöhung der Cybersicherheit und die Reparatur und Aktualisierung der ausnutzbaren Schwachstelle sowie auf den langfristigen Schaden für die Reputation des Unternehmens und seiner Kunden, deren personenbezogene Daten gestohlen wurden.

Wie entstehen Datenpannen?

Das multinationale Cybersicherheits- und Verteidigungsunternehmen Trend Micro vertritt die Auffassung, dass Datenpannen einen vierstufigen Prozess durchlaufen, der die folgenden Maßnahmen für eine allgemeine Datenpanne umfasst:

  • Recherche: Der Hacker erkundet den Computer oder das Netzwerk nach Schwachstellen.

  • Angriff: Der Hacker startet den Angriff über ein Netzwerk oder einen sozialen Kontakt.

    • Angriff auf ein Netzwerk: Dieser Angriff umfasst die Manipulation des Netzwerk. Der Hacker nutzt Schwachstellen in der Infrastruktur, im System und in den Anwendungen, um in den Computer oder das Netzwerk des Opfers einzudringen.
    • Angriff auf soziale Kontakte: Dieser Angriff umfasst soziale Manipulation. Der Hacker verleitet Beschäftigte dazu oder ködert sie, ihm Zugriff auf den Computer oder das Netz zu gewähren. Diese Methode besteht darin, einen Beschäftigten dazu zu verleiten, seine Anmeldedaten preiszugeben, oder ihn zu überlisten, einen schädlichen Anhang zu öffnen.

  • Exfiltration: Sobald sie in einen Computer eingedrungen sind, können Hacker das Netzwerk angreifen oder die Daten des Unternehmens entwenden. Nachdem das Netz beschädigt oder die Daten extrahiert wurden, gilt der Angriff als erfolgreich.3

Warum treten Datenpannen auf?

Malwarebytes, ein Hersteller von Anti-Malware-Software, argumentiert, dass „eine Datenpanne keine eigenständige Bedrohung oder ein eigenständiger Angriff ist, sondern das Ergebnis eines Cyberangriffs, der es Hackern ermöglicht, sich unbefugt Zugang zu einem Computersystem oder Netzwerk zu verschaffen und dessen Daten zu stehlen“.4 Mit der zunehmenden Digitalisierung von Inhalten und der wachsenden Bedeutung der Cloud wird es auch weiterhin zu Datenpannen kommen. 

Gezielte Datendeiebstähle treten in der Regel aus folgenden Gründen auf:  

  • Ausnutzung von Systemschwachstellen

  • Schwache Kennwörter

  • Structured Query Language (SQL)-Einspeisung 

  • Spyware

  • Phishing

  • Drive-by Downloads

  • Defekte oder falsch konfigurierte Zugriffskontrollen

Ausnutzung von Systemschwachstellen

Hacker nutzen systematische Schwachstellen in Software oder Systemen aus, um sich unbefugten Zugriff auf einen Computer oder ein Netz und dessen Daten zu verschaffen. Sicherheitslücken werden häufig in Betriebssystemen, Internet-Browsern und einer Vielzahl von Anwendungen gefunden.

Diese im Code eines Systems versteckten Schwachstellen werden sowohl von Hackern als auch von Cybersicherheitsexperten und Forschern aufgespürt. Leider können beispielsweise ältere Betriebssysteme eingebaute Schwachstellen enthalten, die heutige Hacker leicht ausnutzen können, um auf die Daten eines Computers zuzugreifen.

Hacker wollen die Schwachstellen für ihren eigenen böswilligen Gewinn nutzen. Cybersicherheitsbeauftragte wollen die Schwachstellen besser verstehen und herausfinden, wie sie gepatcht oder anderweitig verändert werden können, um Datenpannen zu verhindern und die Cybersicherheit zu erhöhen.

Um ihre zweifelhafte Arbeit zu erleichtern, verpacken einige cyberkriminelle Gruppen verschiedene Exploits in automatisierte Kits. Diese Kits ermöglichen es Kriminellen mit geringen technischen Kenntnissen, Schwachstellen auszunutzen.

Schwache Kennwörter

Wie der Name bereits andeutet, handelt es sich um ein Kennwort, das von Menschen und Computern leicht herauszufinden ist. Diese Kennwörter enthalten oft den Namen des Ehepartners, der Kinder, der Haustiere oder die Adresse des Nutzers, da sie für den Nutzer leicht zu merken sind. Bei diesen Kennwörtern wird möglicherweise nicht zwischen Groß- und Kleinschreibung unterschieden oder es werden generell keine Großbuchstaben oder Symbole verwendet.

Schwache Kennwörter sind für Hacker leicht zu erraten. Sie können auch im Rahmen von Brute-Force-Angriffen oder Spidering verwendet werden, bei denen sie Nutzerkennwörter herausfinden. Legen Sie Ihr Kennwort auch niemals aufgeschrieben auf Ihren Schreibtisch. Seien Sie auf der Hut vor jedem, der bei der Kennworteingabe „Shoulder Surfing" betreibt.

SQL Injection-Angriff

Structured Query Language (SQL) Injection-Angriffe nutzen die Schwachstellen in der SQL-Datenbankmanagementsoftware einer ungesicherten Website aus. Um einen SQL Injection-Angriff auszuführen, bettet ein Hacker schädlichen Code in eine anfällige Website oder Anwendung ein und greift dann auf die Backend-Datenbank zu.

Ein Hacker kann beispielsweise den Code der Website eines Einzelhändlers so abändern, dass die Website bei einer Suche nach den „meistverkauften Kopfhörern“ keine Ergebnisse für gute Kopfhörer erhält, sondern eine Liste von Kunden und deren Kreditkarteninformationen.

SQL-Angriffe sind eine weniger ausgefeilte Art von Cyberangriffen und können mit automatisierten Programmen durchgeführt werden, ähnlich denen, die für Sicherheitslücken verwendet werden.

Spyware

Spyware ist Malware, die Ihren Computer oder Ihr Netzwerk infiziert, um Sie "auszuspionieren" und anderweitig Informationen über Sie, Ihren Computer und die von Ihnen besuchten Websites zu sammeln.

Die Betroffenen werden häufig mit Spyware infiziert, nachdem sie ein scheinbar harmloses Programm heruntergeladen oder installiert haben, das dann aber mit Spyware gebündelt wurde. Sie können sich auch Spyware einfangen, wenn Sie auf einen bösartigen Link klicken oder als Folgeinfektion eines Computer-Virus.

Alternativ kann Spyware auch als Folgeinfektion über einen Trojaner wie Emotet in Ihren Computer dringen. Laut einem Bericht im Blog von Malwarebytes Labs wurden Emotet, TrickBot und andere Banking-Trojaner als Transportmittel für Spyware und andere Arten von Malware neu entdeckt. Sobald Ihr System infiziert ist, sendet die Spyware all Ihre personenbezogenen Daten an die von den Cyberkriminellen betriebenen C&C-Server zurück.

Nachdem Ihr Computer mit Spyware infiziert wurde und diese beginnt Informationen über Sie zu sammeln, leitet sie diese Informationen an einen Remote-Standort weiter, z. B. an Command-and-Control-Server (C&C) oder ein ähnliches Repository, wo Cyberkriminelle darauf zugreifen können.

Phishing

Bei Phishing-Angriffen wird in der Regel Social Engineering eingesetzt, um die Emotionen der Opfer gegen Logik und Verstand zu manipulieren und sie dazu zu bringen, vertrauliche Informationen preiszugeben. Häufig werden Angriffe mit E-Mail-Spoofing oder geklonten Websites durchgeführt, die ähnlich funktionieren.

Angreifer, die Phishing- und Spam-E-Mails einsetzen, verleiten Nutzer zu folgenden Handlungen:

  • Offenlegung ihrer Nutzer- und Passwortinformationen

  • Herunterladen schädlicher Anhänge

  • Besuch schädlicher Webseiten

Sie könnten beispielsweise eine E-Mail erhalten, die aussieht, als käme sie von Ihrem Kreditkartenunternehmen. In dieser E-Mail werden Sie aufgefordert, gefälschte Abbuchungen von Ihrem Konto zu bestätigen, indem Sie sich über einen Link zu einer gefälschten Version der Kreditkarten-Website anmelden. Ahnungslose Opfer versuchen sich mit ihren echten Nutzernamen und Kennwörtern auf der betrügerischen Website anzumelden. Sobald Hacker diese Informationen erhalten haben, können sie sich anmelden und auf Ihr Kreditkartenkonto zugreifen, um es für Identitätsdiebstahl und vergleichbare Cyberkriminalität zu nutzen.

Drive-by downloads

Drive-by Downloads sind Cyberangriffe, die Spyware, Adware, Malware und ähnliche Software auf dem Computer eines Nutzers installieren können, ohne dass dieser seine Zustimmung gegeben hat. Sie ermöglichen es Hackern, Schwachstellen und Sicherheitslücken in Browsern, Anwendungen und Betriebssystemen auszunutzen.

Bei diesem Cyberangriff müssen die Nutzer nicht unbedingt getäuscht werden, um ihn zu ermöglichen. Im Gegensatz zu Phishing- und Spoofing-Angriffen, bei denen der Nutzer auf einen schädlichen Link klicken oder einen schädlichen Anhang herunterladen muss, greifen Drive-by Downloads einfach ohne die Erlaubnis des Nutzers auf einen Computer oder ein Gerät zu.

Defekte oder falsch konfigurierte Zugriffskontrollen

Wenn ein Website-Administrator nicht aufpasst, könnte er Zugangskontrollen so einrichten, dass Teile des Systems, die eigentlich privat sein sollten, für die Öffentlichkeit zugänglich gemacht werden. Dieser Fehler kann leicht begangen werden. Es reicht schon aus, wenn bestimmte Backend-Ordner, die vertrauliche Daten enthalten, nicht auf privat gesetzt werden. Die gewöhnlichen Nutzer wissen in der Regel nichts von defekten oder falsch konfigurierten Zugangskontrollen. Hacker, die bestimmte Google-Suchen durchführen, können diese Ordner jedoch ausfindig machen und auf sie zugreifen. Ein guter Vergleich zu dieser Situation ist ein Einbrecher, der durch ein unverschlossenes Fenster in ein Haus eindringt, im Gegensatz zu einem Einbrecher, der durch eine verschlossene Tür in ein Haus einbricht. 

Wohlwollende Hacker und Datenpannen

Ähnlich wie bei den meisten Arten von Cyber-Diebstählen versuchen Hacker, sich unbefugt Zugang zu Ihrem Computer oder Netzwerk zu verschaffen und Ihre privaten Daten zu stehlen. Es gibt jedoch auch Fälle, in denen dieser Diebstahl in wohlwollender Absicht erfolgt.

Wie viele Cybersecurity-Rechercheure versuchen auch „White Hat“-Hacker und andere wohlwollende Hacker, in Ihren Computer oder Ihr Netz einzudringen, um Sicherheitslücken und Schwachstellen zu entdecken und anschließend andere darauf aufmerksam zu machen, damit diese eine Lösung zur Behebung der Sicherheitslücke/Schwachstelle entwickeln können.

So veröffentlichte beispielsweise ein akademisches Hacker-Team der Universität KU Leuven in Belgien im September 2018 nach neunmonatiger Reverse-Engineering-Arbeit eine Arbeit, in der es aufzeigte, wie es die Tesla-Verschlüsselung für das Model S umgehen konnte.5 Die Arbeit des Teams half Tesla, eine neue Cybersicherheitstechnologie für seine Autos zu entwickeln, welche die vom Team der KU Leuven entdeckte Schwachstelle behebt und zum Klonen des Schlüsselanhängers des Model S verwendet wird.

Wie können Sie eine Datenpannen erkennen?

Im Gegensatz zu vielen anderen Arten von Cyberangriffen sind Datenpannen oft schwer zu erkennen. Häufig entdecken Unternehmen die Panne erst Tage oder Wochen, manchmal sogar erst Monate später. Diese große Lücke zwischen dem Zeitpunkt der Datenpanne und der Entdeckung ist höchst problematisch, weil die Hacker einen großen Vorsprung für die Nutzung oder den Verkauf der gestohlenen Daten haben. Wenn die Datenpanne letztendlich entdeckt und die Schwachstelle behoben wurde, ist der Schaden jedoch bereits angerichtet. 

In seinem Artikel für SecurityIntelligence erklärt Koen Van Impe, dass es zwei Anzeichen für eine Datenpanne gibt:

  • Vorboten

  • Indikatoren (Indicators)6

Vorboten

Vorboten signalisieren eine unmittelbar bevorstehende Bedrohung auf der Grundlage öffentlicher Informationen, wie z. B. Sicherheitsblogs, Herstellerhinweise und ähnliche Informationen aus Bedrohungsanalysen sowie nachrichtendienstlichen Quellen oder Bedrohungserkennung. Fachkräfte für Cybersicherheit verwenden Vorboten, um sich auf einen erwarteten Cyberangriff vorzubereiten und die Sicherheit und Widerstandsfähigkeit ihrer Systeme entsprechend dem Bedrohungsniveau anzupassen. Vorboten treten eher selten auf, insbesondere im Vergleich zu Indikatoren.

Indikatoren

Es gibt Indikatoren, die darauf hinweisen, dass eine Datenpanne stattgefunden haben könnte oder gerade stattfindet. Sicherheitswarnungen, verdächtiges Verhalten und Berichte oder Warnungen, die von Personen innerhalb oder außerhalb eines Unternehmens übermittelt werden, sind Beispiele für Indikatoren. Indikatoren treten häufig in großer Zahl auf - ein Faktor, der zur Ineffizienz des Reaktionsprozesses auf Sicherheitsvorfälle beiträgt.

H Auf welche Indikatoren sollten Sie achten?

Im Folgenden finden Sie einige Indikatoren, auf die Sie im Falle einer möglichen Datenpanne oder eines ähnlichen Cyberangriffs achten sollten: 

  • Unregelmäßig hohe Aktivität Ihres Systems, Ihrer Festplatte oder Ihres Netzwerks. Diese erhöhte Aktivität ist vor allem dann besorgniserregend, wenn sie in einer Zeit auftritt, die normalerweise als Ruhephase gilt.

  • Aktivität auf Netzwerkports oder Anwendungen, die normalerweise inaktiv sind. Eine ungewöhnliche Aktivität, bei der Ports oder Anwendungen auf Netzwerk-Ports zugreifen, auf die sie normalerweise nicht zugreifen würden.

  • Unbekannte Software wird installiert oder es werden merkwürdige Systemeinstellungen vorgenommen.

  • Nicht erkannte und nicht nachvollziehbare Änderungen der Systemkonfiguration, einschließlich Firewall-Änderungen, Neukonfiguration von Services, Installation neuer Startprogramme oder geplanter Tasks. 

  • Aktivitätsspitzen in einem Überblick über die „letzten Aktivitäten“ von Cloud Services, die abnormales Verhalten trackt. Zu diesen Aktivitäten gehören das Einloggen in das System zu ungewöhnlichen Zeiten, von ungewöhnlichen Locations oder von mehreren Locations innerhalb eines kurzen Zeitraums sowie andere abnormale Nutzeraktivitäten.

  • Unerwartete Sperrungen von Benutzerkonten, Rücksetzung von Passwörtern oder Abweichungen bei der Gruppenzugehörigkeit.

  • Häufige Abstürze von Systemen oder Anwendungen.

  • Warnungen von Malware- oder Antiviren-Schutzprogrammen, einschließlich Benachrichtigungen, dass diese deaktiviert wurden. 

  • Häufige Pop-up-Fenster oder unerwartete Weiterleitungen beim Surfen im Internet, sowie Änderungen der Browserkonfiguration, z. B. eine neue Homepage oder neue Suchmaschineneinstellungen.

  • Berichte von Kontakten, dass sie ungewöhnliche E-Mails oder Direktnachrichten über Social Media von Ihnen erhalten haben, die nicht von Ihnen kamen.

  • Sie erhalten eine Nachricht von einem Angreifer, der Geld fordert, z. B. durch Ransomware. 

What can you do to detect and respond to a data breach?

In addition to the precursors and indicators, here are several guiding principles that can bolster your ability to detect and respond to an intrusion into your system:

1. No changes, no red flags

Avoid making any changes to your computer or network. Making changes in a system where there’s a suspected intrusion risk damaging or destroying evidence, or even worsening the situation. The obvious trade-off here is the weight of the incident and the hacker’s intent, as well as your business objectives and the breach’s impact on them. 

2. Gather evidence

Be sure to collect evidence of what you suspect to be an intrusion and ensure that the evidence is stored somewhere with little risk of data loss. This process will help with incident analysis and post-incident decision-making, as well as forensic data collection.

Log files, disk and memory information, malware samples, running process lists, user activity lists, and active network connections are all data that can be collected for evidence.

In adhering to the no changes, no red flags rule, don’t make any changes to the system while collecting this information. And as with the first rule, consider your situation, the weight of the incident, and other relevant factors when weighing the advantages or disadvantages of your actions.

If you can access them, consider using remote forensics tools and work closely with your IT operations or cybersecurity team. If central logging isn’t something that you have, then ensure that logs are copied to a read-only location on a different computer or system from the attacked one.

3. Record everything

Note-taking during incident response can provide a treasure trove of data. Try to record every action that’s taken, including the verification, correlation, and pivoting actions. Ensure that you haven’t missed anything now that might be important later. Your notes can help establish timelines and determine system areas that need support.

4. Confer with your peers

Once you have established a general understanding of everything that’s occurring with your system, confer with your peers and verify your findings. This process includes referencing threat intelligence sources, as well as industry information sharing and analysis centers (ISACs) and national computer security incident response teams (CSIRTs). This step helps you establish what others have already done and what steps need to be done to contain the intrusion, and how to reverse the damage it caused.

5. Create an internal report

In addition to reporting observed incidents, you should also report any critical ongoing incidents that may impact your business to your stakeholders. A high-level analysis of the attack should include the following facts:

  • Whether the attack was targeted
  • Whether the attack was observed before
  • Whether other companies or organizations have experienced similar attacks
  • What damage it has caused to date and the damage it’s expected to cause in the future
  • What was the intent of the attack?

6. Spread awareness about reports   

Indicators can include reports from people within your organization. These internal reports can supply essential information for raising awareness of unusual behavior or situations. Streamline the reporting process and spread awareness about the reports among your employees. Consider establishing a “report an incident” button on your organization’s internal homepage.

Make sure that your employees are aware of your cybersecurity team or IT support team. Be sure your employees can easily contact these teams if they have any questions or suggestions. Create help desk questions for these teams to ask to help them collect information.  

Foster transparency and a sense of ownership with the reports. This process can mean following up with each individual that submitted a report and providing an update regarding the incident specific to each individual’s report.

By incorporating this process into your workplace, not only will you help to cultivate an IT security culture and potentially boost your cyber resilience and security, but employees will be more likely to report anything they feel is unusual. This combined process and culture can help you shut down intrusions when they start.

Be sure to include in your report any mitigation actions that were taken, if they were effective, and what additional actions you can expect to take in the future. While it behooves you to include the appropriate technical details, be sure to focus on how this attack will impact the business and its employees.  

What can I do to prevent a data breach?

There’s no perfect solution for preventing a data breach outside of never going on the internet, never booting up your computer, or never getting your network online. Obviously, they aren’t acceptable solutions for anyone.

Fortunately, when reducing the risk of a data breach, there are several steps you can take to bolster your cybersecurity and cyber resilience.

  • Use strong passwords. Consider using a password generator that creates random combinations of uppercase and lowercase letters, numbers, and symbols. Consider using a password tracking program that helps manage these passwords for you.
  • Monitor your finances. Regularly review your bank and similar financial account activity. If possible, use activity alerts that inform you of any unusual activity. 
  • Monitor your credit report. If someone tries to use your private information to open a credit card or bank account using your name, the credit report will show it. A variety of sites such as Credit Karma offer credit reporting at no charge.
  • Act immediately. As soon as you see any unusual activity, take immediate action and contact the respective credit card company, bank, or similar financial institution. If you were the victim of a data breach, then be sure to inform them of this fact.
  • Make your phone secure. Always create either a short numerical password or a swipe password for your phone. If you have a fingerprint scanner on your phone, then you should use that, too. Using these security features provides a line of defense against unauthorized access to your phone and all the personal information stored on it in the event that it’s lost or stolen.    
  • Pay attention to URLs. Try to only use secure URLs. Secure URLs begin with “https://”. The “s” stands for secure and the HTTP request uses Secure Sockets Layer (SSL), a protocol used for secure communication between two parties. 
  • Install up-to-date antivirus software. Depending on what software you are using and how your network is set up, it may also include a firewall. It should go without saying that having reliable antivirus software with up-to-date definitions generally boosts your cybersecurity and cyber resilience, and generally improves your resistance to cyber attacks.
  • Regularly back up your files. Establish a regular schedule for backing up your files and storing these backups in a secure environment. This process will help you with creating recovery point objectives (RPOs) in the event of data loss or corruption.
  • Format or destroy your old hard drives. If you are retiring old systems and you’re planning on cannibalizing the components, then be sure to format the hard drives before installing them into new computers. If you’re simply getting rid of these systems and don’t plan on reusing the components, then first make sure that you have backed up your files. Secondly, dispose of your hard drives in such a way that it ensures no one will be able to make use of them. The simplest solution is often to take a hammer to them.
  • Don’t post important information online. This step is a practical one that shouldn’t require much explanation. Don’t post private, sensitive, or otherwise very important information online, including on your social media accounts. It’s also generally a good idea to set your social media accounts to “private” to limit who can view your social media account’s content.
  • Enlist identity theft protection and credit monitoring services. Consider using identity theft protection and credit monitoring services, as they help prevent identity theft and can notify you in the event it occurs. 
  • Use secure payment services. Paypal is a great example of a secure payment service, as it doesn’t require you to give your credit card information to make a payment. Instead, it helps you make secure payments using your accounts and without requiring you to input sensitive information. 

2018: Year of the data breach

Because of the vast amount of data they contain, enterprises and large organizations are exceptionally attractive targets for cybercriminals who are looking to steal data.

In the Malwarebytes Lab blog post 2018: The year of the data breach tsunami, author Logan Strain notes that more data breaches occurred during 2017 than in 2018. However, the 2018 data breaches were more massive in scale and featured victims that included some of the biggest tech companies, retailers, and hospitality providers, such as Facebook, Under Armor, Quora, and Panera Bread.7

Due to the massive amounts of data they contain, corporations and businesses are attractive targets for cybercriminals looking to steal large amounts of private data. According to the Ponemon Institute’s 2018 Cost of a Data Breach study, a data breach goes undiscovered for an average of 197 days. The study argues that the average total cost to a company of a data breach is USD 3.86 million, a 6.4 percent increase over 2017. The global average cost for each lost or stolen record is also increased by 4.8 percent and averaging approximately USD 148 per record.8

The amount of data lost is further compounded by data breaches being notoriously difficult to detect, often going undetected and once detected, taking an additional 69 days to reverse the damage and recuperate from the losses.

Facebook data breaches, exposures, and cyber attack

Facebook experienced several data breaches and exposures, and cyber attacks that were made public during 2018 and 2019. Facebook’s data exposures involve data stored online and publicly without a password. These exposures don’t necessarily involve malicious intent, such as a data breach or cyber attack, and are instead tied to human error and represent a security problem.

The first data breach

When did the breach occur? Between 2013 and 2015

When was the breach discovered? Unknown

When was the breach made public? The breach was exposed on 17 March 2018 by reports from The New York Times and The Guardian.

What was stolen?

  • Facebook user profile data
  • Facebook user preferences and interests

Although it was initially reported that 50 million Facebook profiles were accessed by Cambridge Analytica, multiple reports later confirmed that the figure was actually closer to 87 million profiles.

How did the data breach occur? A loophole in Facebook’s application programming interface (API) allowed third-party developers to collect data. Cambridge Analytica exploited this loophole and was able to steal data from Facebook app users, as well as all the people in those users’ friends network on Facebook.

Technicality. Technically, this event isn’t a data breach and, instead, a misuse of user data.

The second data breach

When did the breach occur? The second breach took place between July 2017 and the end of September 2018.

When was the breach discovered? The breach was discovered on 25 September 2018.

When was the breach made public? This breach was publicly disclosed on 28 September 2018.

What was stolen?

  • Names
  • Phone numbers
  • Email addresses
  • Other personal information

How much data was stolen? Facebook initially reported that the breach exposed the information of approximately 50 million profiles, a figure that was later revised 30 million users with 14 million having their respective usernames and Facebook search history accessed.

How did the data breach occur? Using a flaw in the code for Facebook’s “view as” feature, hackers stole Facebook access tokens, then used the tokens to access users’ accounts, potentially gaining control of them.

What happened to the data? Cambridge Analytica used the data from these profiles to help identify swing voters in the 2016 US presidential election.9

The Instagram Nasty List attack

When did the attack occur? Unknown

When was the attack discovered? During March and April 2019

When was the attack made public? 8 April 2019

What was stolen?

  • Instagram login information:
    • Usernames and passwords
    • Email addresses
    • Phone numbers

How did this attack occur? First reported on Reddit, compromised Instagram accounts would message noncompromised accounts that they followed, prompting them that they were on a “Nasty List” or something similar, and including a malicious link. A phishing attack, this malicious link would take the user to a cloned or otherwise fake Instagram page and prompt them to log in.

How much data was stolen? The amount of stolen Instagram user information as a result of this attack is unknown.10

Instagram passwords plaintext file data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? During March and April 2019

When was this data exposure made public? 18 April 2019

What may have been exposed? Millions of Instagram passwords

How did this data exposure occur? Following the Instagram Nasty List attacks, Facebook confirmed more password security issues, noting that millions of Instagram accounts’ passwords were being stored in a plaintext file. Although Facebook said “our investigation has determined that these stored passwords were not internally abused or improperly accessed”,11 users whose information was on the plaintext file were encouraged to perform a password reset.

Facebook unsecure databases data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? Unknown

When was this data exposure made public? 4 September 2019

What may have been exposed?

  • Phone numbers linked to 419 million user accounts from multiple databases across several geographies, including:
    • 133 million records of US-based Facebook users
    • 18 million records of users in the UK
    • More than 50 million records on users in Vietnam
  • In addition to Facebook user IDs and phone numbers, information about each account’s username, gender, and country location were included.

How did this data exposure occur? Unsecure databases across several countries contained Facebook account IDs, phone numbers and additional user information.12

Resources

  1. Data Breach, Techopedia, 5 September 2018.
  2. What is a data breach, Norton, 10 March 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes, Trend Micro, 10 August 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob, Wired, 10 September 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More Efficiently, SecurityIntelligence, 22 October 2018.
  7. Logan Strain, 2018: The year of the data breach tsunami, Malwarebytes Labs, 4 April 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global Overview, Ponemon Institute, July 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 January 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To Know, Forbes, 14 April 2019.
  11. Keeping Passwords Secure, Facebook, 21 March 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million Users, Forbes, 5 September 2019.