10 крупнейших утечек данных в США [2026]

1. Введение: Почему утечки данных представляют риск для организаций в США?#

За последние несколько лет количество утечек данных в США возросло, став серьезной проблемой как для организаций, так и для частных лиц и государственных органов. Только в 2024 году число зарегистрированных инцидентов достигло 3158, что затронуло более 1,35 миллиарда человек. Это тревожный рост по сравнению с 2021 годом, когда было зафиксировано всего 1862 утечки. Такие отрасли, как финансовые услуги, здравоохранение и профессиональные услуги, пострадали особенно сильно, что подчеркивает их уязвимость и привлекательность для киберпреступников. Утечки в сфере здравоохранения, в частности, оказались на редкость серьезными и продолжительными. В 2023 году ошеломляющие 725 утечек данных, связанных со здравоохранением, раскрыли более 133 миллионов записей, при этом только один крупнейший инцидент затронул 11,3 миллиона человек. К апрелю 2024 года всего 54 утечки в сфере здравоохранения затронули более 15 миллионов пациентов.

В этой статье мы проанализируем десять наиболее значимых утечек данных в истории США, выясним, как они произошли, к каким последствиям привели и какие уроки должны извлечь организации для защиты от будущих угроз.

2. Почему США — привлекательная цель для утечек данных?#

Являясь крупнейшей экономикой в мире, США представляют собой привлекательную мишень для киберпреступников по нескольким отличительным причинам:

2.1 Крупнейшая экономика и объем данных#

США — крупнейшая экономика мира и глобальный центр таких секторов, как технологии, финансы, здравоохранение и розничная торговля, каждый из которых генерирует и хранит огромные объемы конфиденциальных данных. Столь масштабные хранилища данных являются лакомыми целями для злоумышленников, стремящихся к финансовой выгоде, ценной интеллектуальной собственности или личной информации для кражи личных данных и мошенничества.

2.2 Присутствие крупных корпораций и государственных учреждений#

Будучи мировой экономической державой, США являются домом для многих компаний из списка Fortune 500, транснациональных корпораций и важнейших государственных учреждений, отвечающих за инфраструктуру и национальную безопасность. Эти организации управляют обширными базами данных, содержащими конфиденциальную информацию о клиентах, сотрудниках и операционной деятельности. Критическая важность этой информации повышает как вероятность, так и серьезность утечек, усиливая потенциальный ущерб от киберинцидентов.

2.3 Разрозненное нормативное регулирование#

Фрагментированная нормативно-правовая база в различных штатах и отраслях США создает противоречивые стандарты кибербезопасности, что приводит к потенциальным пробелам в защите данных и контроле за их соблюдением. По сравнению со странами, где действуют единые и строгие правила кибербезопасности, такой лоскутный подход снижает барьеры для киберпреступников, облегчая им поиск и использование уязвимостей.

В совокупности эти факторы делают США особенно уязвимой и привлекательной средой для киберугроз, что требует принятия упреждающих мер по обеспечению кибербезопасности.

3. Крупнейшие утечки данных в США#

Ниже представлен список крупнейших утечек данных в США. Утечки отсортированы по количеству затронутых учетных записей в порядке убывания.

3.1 Утечка данных Yahoo (2013–2016 гг.)#

В результате серии кибератак в период с 2013 по 2016 год компания Yahoo потерпела крупнейшую утечку данных в истории США, скомпрометировав около 3 миллиардов учетных записей пользователей. Украденная информация включала имена, адреса электронной почты, номера телефонов, даты рождения, хешированные пароли (с использованием алгоритма MD5, который считается небезопасным), а также незашифрованные секретные вопросы и ответы. Утечка была связана с прогосударственными субъектами, при этом подозрения падали на российских агентов.

Последствия были масштабными: репутации Yahoo был нанесен серьезный ущерб, а сумма ее ожидаемого приобретения компанией Verizon в 2017 году была снижена на 350 млн долларов США в качестве прямого следствия. Критика в основном касалась запоздалого публичного раскрытия информации Yahoo и устаревших методов обеспечения безопасности, в частности использования слабых алгоритмов хеширования паролей и неспособности должным образом зашифровать критически важные данные безопасности.

Методы предотвращения:

• Использование более надежных стандартов шифрования, таких как bcrypt, для паролей и конфиденциальной информации
• Разработка протоколов быстрого уведомления об утечках
• Применение многофакторной аутентификации (например, ключей доступа) для смягчения последствий кражи учетных данных

3.2 Утечка данных National Public Data (NPD) (2024 г.)#

В марте 2024 года National Public Data (NPD), крупный брокер данных, столкнулся с одной из крупнейших утечек в истории США, в результате которой была раскрыта конфиденциальная информация примерно 1,3 миллиарда человек. Неправильно настроенная база данных позволила получить несанкционированный доступ к подробным личным записям, включая полные имена, физические адреса, даты рождения, номера социального страхования, номера телефонов и адреса электронной почты. В результате утечки в общей сложности было скомпрометировано почти 2,9 миллиарда записей данных.

Раскрытые данные создали серьезные риски кражи личных данных и мошенничества, что привело к краху операционной деятельности NPD за несколько месяцев. Расследования показали, что в компании отсутствовали базовые меры безопасности, такие как надлежащий контроль доступа к базе данных и регулярные проверки на уязвимости. Это событие вновь спровоцировало общественные дебаты по поводу регулирования и надзора за брокерами данных, обрабатывающими огромные объемы личной информации без достаточных обязательств по обеспечению безопасности.

Методы предотвращения:

• Внедрение строгого контроля доступа и механизмов аутентификации для конфиденциальных баз данных
• Регулярный аудит и тестирование систем на наличие уязвимостей и ошибок конфигурации
• Шифрование личной информации в состоянии покоя и при передаче для минимизации риска ее раскрытия

3.3 Утечка данных Real Estate Wealth Network (2023 г.)#

В сентябре 2023 года агрегатор данных о недвижимости Real Estate Wealth Network (REWN) потерпел масштабную утечку из-за незащищенной базы данных, которая была доступна в интернете без аутентификации. Был получен доступ примерно к 1,5 миллиардам записей данных, включая имена, домашние адреса, записи о праве собственности, номера телефонов и конфиденциальные сведения, связанные с недвижимостью, касающиеся известных публичных лиц и знаменитостей.

Утечка привлекла значительное внимание средств массовой информации из-за раскрытия данных о недвижимости высокопоставленных лиц, что вызвало обеспокоенность по поводу личной безопасности и целенаправленных атак. Эксперты раскритиковали REWN за несоблюдение базовых протоколов кибербезопасности, таких как аутентификация в базе данных, шифрование и журналирование доступа.

Методы предотвращения:

• Обязательная аутентификация для всех баз данных, даже тех, которые содержат общедоступные данные
• Регулярное проведение тестирования на проникновение и аудита безопасности
• Непрерывный мониторинг выставленных активов для раннего обнаружения ошибок конфигурации

3.4 Утечка данных Facebook (2019/2021 гг.)#

В 2019 году киберпреступники воспользовались функцией импорта контактов Facebook для сбора личной информации примерно 533 миллионов пользователей из 106 стран. Хотя позже в том же году Facebook ограничил массовый сбор данных (парсинг), собранный набор данных вновь появился в открытом доступе в апреле 2021 года, когда он был опубликован на хакерском форуме для свободного доступа.

В отличие от традиционной утечки, когда злоумышленники получают прямой доступ ко внутренним системам, этот инцидент был связан с массовым автоматизированным сбором данных с использованием доступных функций платформы. Утекший набор данных включал имена, номера телефонов, адреса электронной почты и информацию о местоположении, создавая серьезные риски для фишинга, атак с подменой SIM-карт и других форм использования личных данных. Facebook подверглась широкой критике за недооценку последствий парсинга данных и медленную реакцию на раскрытие информации.

Методы предотвращения:

• Ограничение раскрытия данных с помощью более строгого контроля доступа к API и функциям
• Мониторинг необычного поведения при парсинге с использованием автоматизированных инструментов обнаружения
• Упреждающее уведомление пользователей и регулирующих органов о крупномасштабном сборе данных

3.5 Утечка данных LinkedIn (2021 г.)#

В июне 2021 года LinkedIn столкнулась с крупным инцидентом сбора данных (парсинга), в результате которого была раскрыта информация около 700 миллионов пользователей (примерно 92% ее базы пользователей на тот момент). Злоумышленники использовали API LinkedIn для систематического сбора общедоступной информации из профилей, включая имена, электронные адреса, номера телефонов, данные геолокации и историю профессиональной деятельности. Собранный набор данных позже был выставлен на продажу на форуме в даркнете.

Хотя LinkedIn утверждала, что никакие личные данные не были нарушены, а информация была общедоступной, эксперты по кибербезопасности подчеркнули, что объем и агрегирование данных по-прежнему несут значительные риски для целевого фишинга, социальной инженерии и кражи личных данных. Этот инцидент высветил размытую грань между парсингом «общедоступных» данных и серьезными нарушениями конфиденциальности при агрегировании в больших масштабах.

Методы предотвращения:

• Внедрение ограничений скорости запросов (rate limiting) и защиты CAPTCHA для API, чтобы сдерживать автоматизированный парсинг
• Улучшение систем обнаружения аномалий для выявления крупномасштабного сбора данных
• Обучение пользователей ограничению публично видимой информации в их профилях

3.6 Утечка данных Exactis (2018 г.)#

В июне 2018 года американская компания Exactis, занимающаяся маркетингом и агрегированием данных, непреднамеренно раскрыла базу данных, содержащую около 340 миллионов записей частных лиц и компаний. Утечку обнаружил исследователь безопасности, который нашел базу данных доступной в интернете без какой-либо защиты паролем. Раскрытые данные включали имена, домашние адреса, номера телефонов, адреса электронной почты и весьма подробные личные характеристики, такие как интересы, привычки и финансовая информация.

Хотя не было подтверждений того, что злоумышленники получили доступ к данным до того, как они были защищены, широта и детализация утекшей информации создавали высокие риски для кражи личных данных, фишинга и других целенаправленных атак. Инцидент привлек внимание к в значительной степени нерегулируемой практике брокеров данных и усилил призывы к принятию более жесткого законодательства о конфиденциальности данных в США.

Методы предотвращения:

• Всегда требовать аутентификацию для доступа к базе данных
• Ограничение объема собираемой и хранимой конфиденциальной личной информации
• Регулярное проведение аудитов и проверок безопасности для обеспечения надлежащих мер защиты данных

3.7 Утечка данных First American Financial Corporation (2019 г.)#

В мае 2019 года First American Financial Corporation, один из крупнейших поставщиков услуг страхования титула и расчетов в США, раскрыл около 885 миллионов конфиденциальных записей через уязвимость на сайте. Из-за ненадлежащего контроля доступа любой человек, имеющий действительную URL-ссылку на документ, мог просматривать другие, не связанные с ним документы, просто изменяя цифры в URL без аутентификации.

Утекшие документы содержали критически важную финансовую и личную информацию, такую как номера социального страхования, реквизиты банковских счетов, ипотечные записи и налоговые документы, что подвергало клиентов значительному риску мошенничества и кражи личных данных. Утечка была особенно тревожной, учитывая крайне конфиденциальный характер записей о сделках с недвижимостью, и выявила серьезные пробелы в практике безопасности веб-приложений в финансовом секторе.

Методы предотвращения:

• Внедрение надежного контроля доступа и проверок аутентификации для репозиториев документов
• Тщательное тестирование безопасности (например, тесты на проникновение) перед публичным развертыванием приложений
• Мониторинг и аудит паттернов доступа к приложениям для раннего обнаружения аномального поведения

3.8 Утечка данных Ticketmaster (2024 г.)#

В мае 2024 года Ticketmaster, одна из крупнейших в мире компаний по продаже билетов, столкнулась с масштабной утечкой данных, затронувшей около 560 миллионов клиентов по всему миру, значительная часть которых находилась в США. Злоумышленники, по сообщениям, получили несанкционированный доступ через скомпрометированную среду стороннего облачного хранилища, раскрыв имена клиентов, домашние адреса и адреса электронной почты, номера телефонов и, в некоторых случаях, частичные реквизиты платежных карт.

Утечка вновь вызвала обеспокоенность по поводу рисков, связанных со сторонними поставщиками, и безопасности облачных технологий, особенно для крупномасштабных потребительских платформ, обрабатывающих финансовые транзакции. Она также подняла вопросы о соблюдении компанией современных стандартов защиты данных, таких как PCI DSS и GDPR. После инцидента Ticketmaster столкнулась с многочисленными коллективными исками и расследованиями регулирующих органов.

Методы предотвращения:

• Усиление управления рисками поставщиков и регулярный аудит сторонних провайдеров
• Шифрование всей хранимой информации о клиентах, особенно данных, связанных с платежами
• Внедрение моделей доступа с нулевым доверием (zero-trust) для облачных сред с целью ограничения поверхности атаки

3.9 Утечка данных MySpace (2016 г.)#

В мае 2016 года хакер, известный как «Peace», выставил на продажу в даркнете большой объем данных пользователей MySpace, включающий примерно 427 миллионов учетных записей. Хотя данные, по-видимому, были получены в результате утечки, произошедшей в 2013 году или ранее, об этом стало известно лишь спустя годы. Раскрытые записи включали имена пользователей, адреса электронной почты и пароли, которые были слабо защищены с помощью хеширования SHA-1 без «соли», что делало их весьма уязвимыми для взлома.

Хотя к моменту обнаружения утечки популярность MySpace уже пошла на спад, инцидент по-прежнему создавал риски, поскольку многие пользователи повторно использовали пароли на нескольких платформах. В результате учетные данные из утечки MySpace могли быть использованы для атак с подстановкой учетных данных (credential stuffing) на другие сервисы. Это событие подчеркнуло критическую необходимость применения надежных методов хеширования паролей и своевременного обнаружения утечек.

Методы предотвращения:

• Использование современных, безопасных алгоритмов хеширования паролей, таких как bcrypt или Argon2
• Регулярная ротация криптографических практик и отказ от устаревших алгоритмов
• Мониторинг утечек учетных данных и оперативное оповещение пользователей о необходимости сброса паролей после взломов

3.10 Утечка данных JPMorgan Chase (2014 г.)#

В 2014 году JPMorgan Chase раскрыл информацию об одной из самых значительных утечек, когда-либо поражавших финансовый сектор США, затронувшей около 76 миллионов домохозяйств и 7 миллионов малых предприятий. Злоумышленники получили доступ через скомпрометированную учетную запись сотрудника, воспользовавшись уязвимостями в сетевой инфраструктуре банка. Хотя финансовая информация, такая как номера счетов, пароли или номера социального страхования, не была украдена, злоумышленникам удалось получить имена, физические адреса, адреса электронной почты и номера телефонов.

Утечка привлекла большое внимание из-за критической роли банка в экономике США и вызвала тревогу во всей индустрии финансовых услуг по поводу готовности к кибербезопасности. Это привело к усилению контроля со стороны регулирующих органов и побудило многие финансовые учреждения пересмотреть свои системы кибербезопасности, особенно в отношении защиты учетных записей сотрудников и сегментации сети.

Методы предотвращения:

• Обязательное использование многофакторной аутентификации (MFA) для всех внутренних и внешних учетных записей
• Внедрение надежной сегментации сети для ограничения горизонтального перемещения (lateral movement) в случае компрометации
• Регулярное тестирование и обновление протоколов безопасности для управления доступом сотрудников

4. Тенденции в области утечек данных в США#

Рассмотрев крупнейшие утечки данных, произошедшие в США до 2025 года, мы отмечаем несколько закономерностей, которые повторяются во всех этих инцидентах:

4.1 Базовые ошибки конфигурации столь же проблематичны, как и изощренные кибератаки#

Общей чертой многих крупнейших утечек данных является то, что они не были результатом высокотехнологичных атак, а скорее стали следствием базовых ошибок конфигурации и упущенных из виду уязвимостей. Открытые базы данных без защиты паролем, слабый контроль доступа и неправильно защищенные API неоднократно позволяли злоумышленникам легко проникать в системы. В таких случаях, как утечки в National Public Data и Real Estate Wealth Network, простого сканирования интернета на наличие незащищенных систем было достаточно для получения доступа к миллиардам записей. Это подчеркивает, что инвестиции в базовую гигиену кибербезопасности, такую как контроль доступа, надлежащее шифрование и усиление защиты систем, могли бы предотвратить многие из этих инцидентов.

4.2 Личная информация — главная цель#

Еще одна заметная тенденция — постоянное нацеливание на конфиденциальную личную информацию и ее раскрытие. Практически во всех случаях утечек наборы данных включали имена, адреса, даты рождения, адреса электронной почты, номера телефонов и, в наиболее опасных случаях, номера социального страхования. Широта раскрытых личных данных резко повышает риск кражи личных данных, фишинговых атак и финансового мошенничества. Например, внедрение строгих политик паролей и контроля доступа имеет решающее значение для предотвращения мошенничества в некоммерческих организациях. Организациям, даже не относящимся к регулируемым отраслям, таким как финансы или здравоохранение, необходимо относиться к любому сбору персональных данных с применением высочайших стандартов безопасности, поскольку их ценность для злоумышленников остается неизменно высокой.

4.3 Слабая защита паролей и криптография#

Плохие методы управления паролями и устаревшая криптографическая защита еще больше усугубили последствия ряда утечек. В инцидентах, подобных Yahoo и MySpace, пароли либо хранились с использованием слабых алгоритмов хеширования, таких как MD5 и SHA-1, либо были недостаточно «посолены», что делало их легко взламываемыми после кражи. Это значительно расширило масштаб последствий, позволив злоумышленникам повторно использовать пароли в других сервисах с помощью атак с подстановкой учетных данных (credential stuffing). Даже когда пароли украдены, надежные методы шифрования и современные криптографические стандарты могут значительно снизить последующий риск для пользователей и компаний.

4.4 Уязвимости API и массовый парсинг данных#

Важной эволюцией в тактике взлома является растущая зависимость от использования уязвимостей API и парсинга данных вместо традиционных методов взлома. Утечки, подобные LinkedIn и Facebook, продемонстрировали, что злоумышленники все чаще используют слабо защищенные API или общедоступные функции для сбора больших объемов данных пользователей. Хотя компании часто преуменьшают значение парсинга, указывая на публичный характер данных, агрегирование и объединение собранной информации может привести к созданию мощных и опасных баз данных. Эта тенденция подчеркивает необходимость применения организациями строгих ограничений скорости запросов, мониторинга и средств контроля аутентификации для всех API и публичных интерфейсов, относясь к ним с такой же строгостью, как и к внутренним системам (back-end).

5. Заключение#

Крупнейшие утечки данных в истории США выявляют четкую и последовательную закономерность: большинство инцидентов можно было предотвратить. Вместо того чтобы быть результатом высокотехнологичных кибератак, многие утечки происходили из-за базовых ошибок: незащищенных баз данных, устаревших криптографических стандартов, недостаточной защиты API и недооценки ценности личной информации. Эти упущения позволили злоумышленникам относительно легко получить доступ к огромным объемам конфиденциальных данных, подвергая людей таким рискам, как кража личных данных, финансовое мошенничество и целенаправленные атаки.

Для организаций всех размеров и отраслей уроки о том, что нельзя пренебрегать основами кибербезопасности, очевидны. Защита личных данных требует не только надежных технических мер, но и упреждающего подхода к конфигурации систем, криптографическим стандартам, управлению рисками поставщиков и обнаружению утечек. По мере того, как объем собираемых данных растет в геометрической прогрессии, возрастает и ответственность за их защиту.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Почему методы обеспечения безопасности Yahoo во время утечки данных в 2013-2016 годах считались неадекватными?#

Yahoo хранила пароли с использованием MD5, криптографически слабого алгоритма, а секретные вопросы и ответы оставались полностью незашифрованными. Утечка была связана с прогосударственными хакерами, предположительно российскими. Yahoo подверглась жесткой критике за запоздалое публичное раскрытие информации: полный масштаб стал известен лишь в 2016 году, несмотря на то, что взломы происходили годами ранее.

Как в результате утечки National Public Data были раскрыты миллиарды записей без применения изощренной кибератаки?#

Неправильно настроенная база данных National Public Data позволила получить несанкционированный доступ без какой-либо аутентификации в марте 2024 года. В компании отсутствовали базовые меры безопасности, включая надлежащий контроль доступа к базе данных и регулярные проверки на уязвимости. В результате утечки было скомпрометировано почти 2,9 миллиарда записей, что в течение нескольких месяцев привело к краху операций NPD.

Почему парсинг API считается серьезным риском утечки данных, даже если собираемые данные технически являются публичными?#

Злоумышленники используют плохо защищенные API для сбора данных в огромных масштабах, что наглядно продемонстрировали утечки в LinkedIn (700 миллионов пользователей, около 92% базы) и Facebook (533 миллиона пользователей). Агрегирование отдельных общедоступных данных позволяет создавать подробные персональные профили, что способствует массовому фишингу, подмене SIM-карт и краже личных данных.

Какие ошибки в хешировании паролей усугубили последствия утечек в Yahoo и MySpace?#

Yahoo использовала хеширование MD5, а MySpace — SHA-1 без «соли», оба из которых являются криптографически слабыми стандартами. Эти методы позволили злоумышленникам легко взломать украденные учетные данные и провести атаки с подстановкой учетных данных на других платформах, где пользователи использовали те же пароли. Современные алгоритмы, такие как bcrypt или Argon2, значительно снизили бы этот риск.

Как фрагментированная нормативно-правовая база США повышает уязвимость организаций к утечкам данных?#

Разрозненность нормативных актов на уровне штатов и отраслей в США создает противоречивые стандарты кибербезопасности, оставляя пробелы в защите данных и контроле за их соблюдением. По сравнению со странами с едиными строгими правилами, такой подход снижает барьеры для киберпреступников, облегчая им поиск и использование уязвимостей. Брокеры данных, такие как NPD и Exactis, работали с минимальными обязательствами по безопасности, несмотря на хранение миллиардов конфиденциальных личных записей.