Met zo’n 500 miljoen gehackte accounts is het datalek bij Marriott bijna de grootste in de geschiedenis. Alleen bij de beruchte Yahoo-hack werden meer gebruikersaccounts ontvreemd. Een overzicht van de acht grootste hacks ooit.
Naar nu blijkt, konden hackers tussen 2014 en september 2018 vrijelijk grasduinen in de database van het reserveringssysteem van hotelketen Starwood, onderdeel van de Marriott-groep. In het systeem stonden maar liefst een half miljard mensen, waarvan 327 miljoen met persoonlijke informatie en verscheidene zelfs met creditcardgegevens.
De jarenlange inbraak in het systeem van Starwood, de keten waaronder ook hotels van bijvoorbeeld Sheraton en Westin vallen, leidde tot een datalek van vrijwel ongeëvenaarde proporties.
1: Yahoo (2013-2014)
Drie miljard accounts van Yahoo-gebruikers werden gestolen, met informatie over namen, mailadressen, geboortedata, telefoonnummers, wachtwoorden, beveiligingsvragen en hun antwoord. In eerste instantie (september 2016) hield het bedrijf voor dat het ‘slechts’ om 500 miljoen accounts ging, een aantal dat later (december 2016) werd verhoogd naar één miljard en nog later (oktober 2017) zelfs naar drie miljard. Yahoo werd opgesplitst, waarbij een deel door Verizon werd gekocht, een ander deel door Alibaba en een derde deel door Yahoo Japan.
2: Marriott (2014-2018)
Hackers hadden vanaf 2014 tot afgelopen september toegang tot een klantendatabase van hotelketen Starwood, onderdeel van de Marriott-groep. In het systeem staan ongeveer vijfhonderd miljoen mensen die de afgelopen jaren in een Amerikaans Starwood-hotel verbleven. De database bevat van zo’n 327 miljoen gasten allerlei persoonlijke informatie, zoals naam, contactgegevens, paspoortnummer, geboortedatum, reserveringen. In sommige gevallen zelfs creditcardgegevens.
3: Myspace (2016)
360 miljoen accounts gehackt. Daarbij zijn gebruikersnamen en wachtwoorden vermoedelijk in handen gevallen van een Russische hacker die zich Peace noemt. Deze was in 2012 ook verantwoordelijk voor de hack van LinkedIn.
4: Ebay (2014)
145 miljoen accounts gehackt. Daarbij werd informatie over namen, adressen, geboortedata en versleutelde wachtwoorden ontvreemd. De hackers kwamen het systeem binnen door gebruik te maken van de inloggegevens van drie medewerkers. Ze konden 229 dagen hun gang gaan voordat de hack werd opgemerkt. Gebruikers werd geadviseerd om wachtwoorden te wijzigen en kregen te horen dat er geen financiële gegevens waren buitgemaakt. Het bedrijf kreeg veel kritiek op de minimale communicatie naar de klanten.
5: Equifax (2017)
143 miljoen accounts gehackt, de meeste met gevoelige informatie over burgerservicenummer, geboortedatum, adres en rijbewijsnummer. In 209.000 gevallen zat er ook informatie over creditcards bij. Equifax is een bureau dat wereldwijd consumenten en ondernemingen beoordeelt op hun kredietwaardigheid. Een gemanipuleerde toepassing op het it-netwerk zorgde ervoor dat de gevoelige data werden ontvreemd.
6: Heartland Payment Systems (2008)
134 miljoen creditcardgegevens ontvreemd, doordat hackers via een zogeheten SQL injection spyware wisten te installeren op de it-systemen. De criminelen konden ongeveer tien maanden ongestoord hun werk doen voordat het datalek werd ontdekt. Heartland verwerkte maandelijks zo’n honderd miljoen transacties achter creditcardbetalingen en moest na bekendmaking van de hack diep door het stof. Zo betaalde het bedrijf ruim 110 miljoen dollar aan creditcardmaatschappijen ter afkoping van claims.
7: Target (2013)
110 miljoen accounts gestolen, waarvan zo’n veertig miljoen inclusief creditcardgegevens. Hackers kregen toegang tot het systeem waarmee in winkels betaalkaarten van de klant worden uitgelezen. De kosten van het datalek worden geschat op 162 miljoen dollar. Voor de ceo reden genoeg om in maart 2014 op te stappen. De winkelketen beloofde betere beveiliging, maar kreeg daarvoor in 2017 alsnog een ultimatum opgelegd van de autoriteiten.
8: LinkedIn (2012)
Ruim 100 miljoen accounts gestolen door de eerdergenoemde Russische hacker genaamd Peace. LinkedIn gaf de diefstal pas toe in 2016, toen de hacker probeerde de gestolen gegevens te slijten op het darkweb.