← Vissza a bloghoz A történelem legnagyobb adatszivárgása: A digitális katasztrófák idővonala
Kiberbiztonság 2026. február 27. · 12 perc olvasás
16.7B+2013 óta közzétett rekordok
4,88 millió dollárÁtlagos jogsértési költség (2025)
277 napÁtlagos észlelési idő
Miért romlanak az adatszivárgások?
Minden év új rekordot dönt. A támadási felület bővül, ahogy a vállalatok a felhőbe vándorolnak, IoT-eszközöket alkalmaznak, és több évtizedes felhasználói adatokat halmoznak fel. Eközben a támadók jobban finanszírozottak, szervezettebbek és egyre inkább kihasználják az AI-t. Az eredmény: a jogsértések nagyobbak, drágábbak és nehezebben észlelhetők, mint valaha.
Az átlagos szervezetnek 277 napba telik, hogy azonosítsa és megakadályozza a jogsértést. Ez 9 hónap, amikor a támadók csendben kiszűrik az adatokat, mielőtt bárki észrevenné.
📅 15 fő szabályszegés idővonala
3 milliárd fiók Támadás: Államilag támogatott hackelés, hamisított cookie-k
💡 A Yahoo 3 évig nem fedezte fel a jogsértést. Az eltussolás 350 millió dollárba került nekik a Verizon felvásárlási ügylet során. Lecke: Fektessen be a jogsértések felderítésébe, ne csak a megelőzésbe.
885 millió rekord Támadás: Hitelesítési hiba (IDOR)
💡 A bizalmas dokumentumokat (bankszámlakivonatok, társadalombiztosítási számok) az URL-szám egyszerű megváltoztatásával lehetett elérni. Lecke: Mindig alkalmazzon megfelelő hozzáférés-szabályozást.
533 millió felhasználó Támadás: API-kaparási sebezhetőség
💡 106 ország 533 millió felhasználójának telefonszámát és személyes adatait kaparták ki, és ingyenesen kiszivárogtatták egy hacker fórumon. Lecke: Sebességkorlátozás és API-hozzáférés figyelése.
500 millió vendég Támadás: Állandó hálózati behatolás
💡 A támadók 4 évig bent voltak a Starwood foglalási rendszerében, mielőtt a Marriott megszerezte azt – és senki sem ellenőrizte. Lecke: Az M&A előtti biztonsági auditok kritikusak.
700 millió profil Támadás: API-kaparás
💡 A LinkedIn-felhasználók 93%-ának adatait lekaparták és eladták. A LinkedIn azzal érvelt, hogy ez nem "sértés", mivel nem fértek hozzá személyes adatokhoz. Lecke: A nagyszabású nyilvános adatok az adatvédelmi fenyegetést jelentenek.
153 millió fiók Támadás: Hálózati behatolás, gyenge titkosítás
💡 A jelszavakat 3DES-sel titkosították (nem kivonatolva), így triviális volt a feltörésük. A Photoshop és az Acrobat forráskódját is ellopták. Lecke: Mindig hash a jelszavakat, soha ne titkosítsa őket.
147 millió ember Támadás: Nem javított Apache Struts sebezhetőség
💡 Az Egyesült Államok lakosságának felének társadalombiztosítási számai, születési dátumai és címei nyilvánosságra kerültek, mert egy ismert sebezhetőséget 2 hónapig nem javítottak ki. Lecke: A javítások kezelése birodalmakat ment meg.
106 millió ügyfél Támadás: Rosszul konfigurált WAF, SSRF
💡 Az AWS egy korábbi alkalmazottja kihasznált egy rosszul konfigurált tűzfalat, hogy hozzáférjen az S3-on tárolt hitelkártya-alkalmazásokhoz. Lecke: A felhő hibás konfigurálása az új nyitott ajtók.
77 millió ügyfél Támadás: Brute-force a nem védett útválasztón keresztül
💡 Egy nem védett útválasztó biztosította a kezdeti belépési pontot. A T-Mobile-t 2018 óta több mint 8 alkalommal sértették meg. Lecke: Az ismétlődő jogsértések a rendszerszintű biztonsági kultúra hibáit jelzik.
18 000 szervezet Támadás: Az ellátási lánc kompromisszuma
💡 Az orosz állami hackerek egy hátsó ajtót helyeztek be a SolarWinds Orion frissítésébe, ami kompromittálja az amerikai kormányzati szerveket és a Fortune 500-as cégeket. Lecke: Az Ön ellátási lánca a támadási felület.
Ransomware – 4,4 millió dollár fizetett Támadás: Feltört VPN-jelszó (nincs 2FA)
💡 Egyetlen kiszivárgott VPN-jelszó többtényezős hitelesítés nélkül leállította az üzemanyag-ellátást az Egyesült Államok keleti partján. Lecke: Engedélyezze a 2FA-t minden távoli hozzáférési ponton.
25 millió felhasználó tárolója Támadás: A fejlesztői gép kompromittálása
💡 A támadók feltörték egy fejlesztő otthoni számítógépét, majd ellopott hitelesítő adatokat használva hozzáfértek a titkosított jelszótárolókhoz. Lecke: Még a biztonsági cégek sem védettek. Használjon erős fő jelszavakat.
6,9 millió felhasználó Támadás: Hitelesítési adatok kitömése
💡 Az újrafelhasznált jelszavak hozzáférést biztosítottak a támadóknak olyan fiókokhoz, amelyek milliók genetikai adatait tárták fel a „DNS-rokonok” funkción keresztül. Lecke: Soha ne használja fel újra a jelszavakat – különösen az érzékeny személyes adatokat tartalmazó webhelyeken.
2700+ szervezet Támadás: Nulladik napi SQL injekció
💡 A Cl0p ransomware banda kihasználta a Progress Software MOVEit fájlátviteli eszközének nulladik napját, ami világszerte hatással volt a légitársaságokra, bankokra és kormányzati szervekre. Lecke: Minimalizálja a fájlátviteli szolgáltatások kitettségét.
2,9 milliárd rekord Támadás: Nem védett adatbázis expozíció
💡 Szinte minden amerikai társadalombiztosítási számát, nevét és címét nyilvánosságra hozta egy háttérellenőrző cég, gyakorlatilag semmiféle biztosíték nélkül. Lecke: Az adatközvetítők hatalmas, szabályozatlan kockázatot jelentenek.
A támadási módszerek lebontása
Mely technikák vezettek a legnagyobb jogsértésekhez? Íme a minta:
🔓 Hitelesítési támadások
Hitelesítési adatok kitöltése, nyers erőszak, lopott jelszavak. A Colonial Pipeline, a 23andMe és még sok más mögött. Javítás: Egyedi jelszavak + 2FA.
🐛 Kijavítatlan biztonsági rések
Az ismert CVE-k hetekig vagy hónapokig javítás nélkül maradtak. Az Equifax és a MOVEit tankönyvi példák. Javítás: Automatikus javítások és sebezhetőség-ellenőrzés.
⚙️ Hibás konfigurációk
Nyitott adatbázisok, nyilvános S3 gyűjtőhelyek, nyílt API-k. Az első amerikai és a Capital One így esett. Javítás: Felhőbeli biztonsági helyzetkezelés.
🔗 Ellátási lánc
A megbízható szoftverfrissítések vagy harmadik féltől származó eszközök veszélyeztetése. A SolarWinds és a MOVEit kihasználta a bizalmi láncokat. Javítás: Szoftver anyagjegyzék és szállítói auditok.
Mi történik az adataival a jogsértés után?
Ha adatait ellopják, az előre látható utat követ:
- Első értékesítés: A hacker órákon vagy napokon belül eladja az adatkészletet a sötét webes piacokon
- Hitelesítési adatok kitöltése: Az automatizált robotok több száz webhelyen próbálják ki az e-mail/jelszó kombinációt
- Személyazonosság-csalás: A teljes személyazonosság-rekordokat (SSN, DOB, cím) használjuk a hiteligényléshez és az adócsalásokhoz
- Adathalász kampányok: Az Ön személyes adatai rendkívül meggyőzővé teszik a célzott adathalász e-maileket
- Állandó terjesztés: A feltört adatok soha nem tűnnek el – újracsomagolják és évekig továbbértékesítik
Hogyan védheti meg magát?
🔐 Egyedi jelszavak használata — A jelszógenerátor erős, véletlenszerű jelszavakat hoz létre minden fiókhoz
🛡️ A 2FA engedélyezése mindenhol — Olvassa el teljes 2FA útmutatónkat
🔍 Kövesse figyelemmel az expozíciót — Rendszeresen ellenőrizze a haveibeenpwned.com webhelyet
❄️ Jóváírás befagyasztása — Megakadályozza, hogy csalárd számlák nyíljanak az Ön nevében
📧 E-mail alias használata — Adjon minden szolgáltatásnak egyedi e-mailt a robbanás sugarának korlátozása érdekében
Gyakran Ismételt Kérdések
Mi a történelem legnagyobb adatvédelmi incidense?
A Yahoo feltörése (2013-2014) mind a 3 milliárd fiókot érintett, így a felhasználók száma alapján ez a legnagyobb. A 2024-es nemzeti nyilvános adatvédelmi incidens 2,9 milliárd rekordot tárt fel, beleértve a társadalombiztosítási számokat is.
Mennyibe kerül egy vállalatnak egy adatvédelmi incidens?
Az IBM 2025-ös jelentése szerint az átlagos költség 4,88 millió dollár. Az egészségügyi jogsértések átlagosan 10,93 millió dollárt tesznek ki – ez a legmagasabb az összes iparág közül 14 egymást követő évben.
Mit tegyek, ha adataimat megsértik?
Azonnal módosítsa a jelszavakat, engedélyezze a 2FA-t, figyelje a pénzügyi kimutatásokat jogosulatlan tevékenységekre, és fontolja meg hitelének befagyasztását mindhárom irodánál.
Hogyan ellenőrizhetem, hogy az adataimat megsértették-e?
Használja a Használja a Have I Been Pwned lehetőséget annak ellenőrzésére, hogy e-mailjei között szerepel-e ismert jogsértés. Iratkozzon fel a figyelmeztetésekre, hogy értesítést kaphasson a jövőbeni jogsértésekről.
>Kizárva lettem, hogy ellenőrizze, hogy e-mailjei között szerepel-e ismert jogsértés. Iratkozzon fel a figyelmeztetésekre, hogy értesítést kapjon a jövőbeni jogsértésekről.
Egyre súlyosbodnak az adatszivárgások?
Igen. Mind a gyakoriság, mind a skála folyamatosan növekszik. 2023-ban 72%-kal nőtt a jogsértések száma a korábbi, 2021-ben felállított rekordhoz képest, és a 2024-2025 közötti trend folytatódott.
Kapcsolódó eszközök