Найбільші витоки даних в історії: хронологія цифрових катастроф

Q: Який найбільший витік даних в історії?

Злом Yahoo 2013-2014 років залишається найбільшим — постраждали всі 3 мільярди акаунтів. Повне розкриття відбулося лише у 2017 році.

Q: Скільки коштує витік даних для компанії?

За даними IBM за 2025 рік, середня вартість витоку — $4,88 млн. У сфері охорони здоров'я — в середньому $10,93 млн.

Q: Як перевірити, чи мої дані потрапили у витік?

Використовуйте сервіс Have I Been Pwned (haveibeenpwned.com) для перевірки електронної пошти у відомих витоках.

Q: Чи стають витоки даних гіршими?

Так. Частота та масштаб витоків продовжують зростати через розширення поверхні атаки, міграцію в хмару та більш кваліфікованих зловмисників.

Кібербезпека 27 лютого 2026 · 12 хв читання

Хронологія найбільших витоків даних в історії

16.7B+Записів витекло з 2013 року

$4,88МСередня вартість витоку (2025)

277 днівСередній час виявлення

Чому витоки даних стають гіршими

Щороку встановлюється новий рекорд. Поверхня атаки розширюється з міграцією в хмару, впровадженням IoT-пристроїв та накопиченням десятиліть даних користувачів. Водночас зловмисники краще фінансовані, більш організовані та дедалі частіше використовують ШІ.

Середня організація витрачає 277 днів на виявлення та локалізацію витоку — це 9 місяців тихої ексфільтрації даних.

📅 Хронологія 15 найбільших витоків

Yahoo2013–2014

3 мільярди акаунтів

Атака: державне хакерство, підроблені cookies

💡 Yahoo не виявляла злом 3 роки. Приховування коштувало $350М при продажу Verizon. Урок: інвестуйте у виявлення зломів, а не лише у запобігання.

First American Financial2019

885 мільйонів записів

Атака: вразливість аутентифікації (IDOR)

💡 Конфіденційні документи були доступні просто зміною номера в URL. Урок: завжди впроваджуйте контроль доступу.

Facebook (Meta)2019

533 мільйони користувачів

Атака: вразливість API-скрейпінгу

💡 Номери телефонів та дані 533М користувачів зі 106 країн були викрадені та викладені безкоштовно. Урок: лімітуйте та моніторте доступ до API.

Marriott International2014–2018

500 мільйонів гостей

Атака: тривале проникнення в мережу

💡 Зловмисники були в системі Starwood 4 роки до придбання Marriott. Урок: аудит безпеки перед M&A — критичний.

LinkedIn2021

700 мільйонів профілів

Атака: API-скрейпінг

💡 Дані 93% користувачів LinkedIn були зібрані та продані. Урок: публічні дані у масштабі стають загрозою приватності.

Adobe2013

153 мільйони акаунтів

Атака: проникнення в мережу, слабке шифрування

💡 Паролі були зашифровані 3DES (не хешовані), що зробило їх тривіальними для злому. Урок: завжди хешуйте паролі.

Equifax2017

147 мільйонів людей

Атака: невиправлена вразливість Apache Struts

💡 SSN, дати народження та адреси половини населення США витекли через вразливість, яку не виправляли 2 місяці. Урок: управління патчами рятує імперії.

Capital One2019

106 мільйонів клієнтів

Атака: неправильна конфігурація WAF, SSRF

💡 Колишня працівниця AWS використала неправильно налаштований фаєрвол для доступу до даних на S3. Урок: хмарні неконфігурації — нові відчинені двері.

T-Mobile2021

77 мільйонів клієнтів

Атака: брутфорс через незахищений роутер

💡 Незахищений роутер дав початковий доступ. T-Mobile зламували 8+ разів з 2018 року. Урок: повторні зломи свідчать про системні проблеми безпеки.

SolarWinds2020

18 000 організацій

Атака: компрометація ланцюга постачання

💡 Російські хакери вбудували бекдор в оновлення SolarWinds Orion, скомпрометувавши урядові агенції та компанії Fortune 500. Урок: ваш ланцюг постачання — ваша поверхня атаки.

Colonial Pipeline2021

Ransomware — $4,4М виплачено

Атака: скомпрометований пароль VPN (без 2FA)

💡 Один витечений пароль VPN без 2FA зупинив паливопостачання Східного узбережжя США. Урок: увімкніть 2FA на кожній точці віддаленого доступу.

LastPass2022

25 мільйонів сховищ

Атака: компрометація комп'ютера розробника

💡 Зловмисники скомпрометували домашній ПК розробника, потім отримали доступ до зашифрованих сховищ паролів. Урок: навіть security-компанії не імунні.

23andMe2023

6,9 мільйонів користувачів

Атака: credential stuffing

💡 Повторно використані паролі дали доступ до генетичних даних мільйонів через функцію "ДНК Родичі". Урок: ніколи не повторюйте паролі.

MOVEit2023

2 700+ організацій

Атака: zero-day SQL-ін'єкція

💡 Група Cl0p використала zero-day у MOVEit, вразивши авіалінії, банки та урядові агенції по всьому світу. Урок: мінімізуйте експозицію сервісів передачі файлів.

National Public Data2024

2,9 мільярда записів

Атака: незахищена база даних

💡 SSN, імена та адреси майже кожного американця витекли з компанії перевірки біографій без жодного захисту. Урок: дата-брокери — масивний нерегульований ризик.

Методи атак: розбір

🔓 Атаки на облікові дані

Credential stuffing, брутфорс, викрадені паролі. За Colonial Pipeline, 23andMe та багатьма іншими. Рішення: унікальні паролі + 2FA.

🐛 Невиправлені вразливості

Відомі CVE, залишені без патчів тижнями. Equifax та MOVEit — підручникові приклади. Рішення: автоматичний патчинг.

⚙️ Неконфігурації

Відкриті бази даних, публічні S3-бакети, незахищені API. First American і Capital One впали саме так. Рішення: CSPM.

🔗 Ланцюг постачання

Компрометація довірених оновлень або сторонніх інструментів. SolarWinds і MOVEit використали ланцюги довіри. Рішення: SBOM та аудит постачальників.

Що відбувається з вашими даними після витоку

Початковий продаж: хакер продає набір даних на маркетплейсах темного інтернету протягом годин
Credential stuffing: боти пробують ваш email/пароль на сотнях інших сайтів
Крадіжка особистості: повні дані використовуються для шахрайських кредитів та податкового обману
Фішинг: ваші персональні дані роблять таргетований фішинг надзвичайно переконливим
Вічна циркуляція: викрадені дані ніколи не зникають — їх перепакують та перепродають роками

Як захиститися

🔐 Використовуйте унікальні паролі — Генератор паролів створить надійний пароль для кожного акаунту

🛡️ Увімкніть 2FA скрізь — читайте наш повний гайд з 2FA

🔍 Моніторте свою експозицію — перевіряйте haveibeenpwned.com регулярно

❄️ Заморозьте кредитну історію — запобігає відкриттю шахрайських рахунків на ваше ім'я

📧 Використовуйте email-аліаси — давайте кожному сервісу унікальний email

Часті запитання

Який найбільший витік даних в історії?

Злом Yahoo (2013-2014) вразив усі 3 мільярди акаунтів. Витік National Public Data 2024 року розкрив 2,9 мільярда записів, включаючи номери соціального страхування.

Скільки коштує витік даних для компанії?

За даними IBM за 2025 рік, середня вартість — $4,88 млн. У сфері охорони здоров'я — $10,93 млн, найвища серед усіх галузей 14 років поспіль.

Що робити, якщо мої дані потрапили у витік?

Негайно змініть паролі, увімкніть 2FA, моніторте фінансові операції та розгляньте заморозку кредитної історії.

Як перевірити, чи мої дані потрапили у витік?

Використовуйте Використовуйте Have I Been Pwned для перевірки вашого email у відомих витоках.

>Have I Been Pwned для перевірки вашого email у відомих витоках.

Чи стають витоки даних гіршими?

Так. І частота, і масштаб продовжують зростати. У 2023 році кількість зломів зросла на 72% порівняно з попереднім рекордом 2021 року.

Пов'язані інструменти

🔑 Згенерувати надійний пароль →

📱 Налаштувати двофакторну автентифікацію

🔒 Як створити надійний пароль у 2026