Att cyberkriminaliteten skulle minska under 2018 var det nog ingen som trodde, men kanske inte heller att den skulle öka på mycket som den faktiskt gjorde. Den värsta kontoläckan under 2017 då Equifax hackades på 143 miljoner konton brädas av de två värsta läckorna 2018. Hacket av Equifax var å andra sidan särskilt illa eftersom det gällde kredituppgifter och kontokortsnummer.

I slutet av 2018 avslöjades den hittills näst värsta läckan av användarkonton i historien då en amerikansk hotellkedja läckte en halv miljard personuppgifter, inklusive passnummer, kreditkort och reseinformation. Här är 2018 års värsta dataläckor:


10. British Airways

Mellan den 21 augusti och den 5 september lyckades hackergruppen Magecart placera ett skadligt skript på det brittiska flygbolaget British Airways betalsajt innan läckan upptäcktes. För attacken mot British Airways använde hackarna ett modifierat Modernizr javascript version 2.6.2. Modernizr är ett kodbibliotek som används för att fånga upp aktiviteter som klick och pek.

Det modifierade skriptet, som bestod av endast 22 rader kod, såg till att skicka personuppgifter som namn, adress, telefonnummer, kreditkortsnummer med mera, till hackarnas servrar så fort en användare klickade på ”Betala” i formuläret på British Airways betalningssida och mobilapp.

Antal konton: Ca 380 000
Vad läckte: Diverse personuppgifter som namn, adress, e-post och hashade lösenord. Kreditkortsuppgifter och reseinformation.

9. Google+

En allvarlig bugg som ledde till läckage av uppåt 500 000 konton blev spiken i kistan för Google+, den inte helt framgångsrika sociala media-tjänsten som Google redan tidigare bestämt sig för att lägga ned.

Det var under en kodinspektion som Google upptäckte en api-bugg som redan var känt 2015, men Google brydde sig aldrig om att rapportera buggen. Enligt Google orsakade buggen att användare ofrivilligt gett tillgång till sina, och sina vänners, statiska personuppgifter som namn, e-post, adress, yrke, kön och ålder.

Antal konton: Ca 500 000
Vad läckte: Personuppgifter som namn, e-post, adress, yrke, kön och ålder

8. Orbitz

Resebokningssajten Orbitz, som ägs av Expedia, blev utsatt för ett dataintrång där förövaren kom över kreditkortsuppgifter tillhörande 880 000 användare. Enligt Orbitz ska de stulna uppgifterna ha använts mellan januari 2016 och december 2017, men intrånget upptäcktes i mars 2018.

Antal konton: Ca 880 000
Vad läckte: Kreditkortsuppgifter och eventuellt andra personuppgifter som passnummer och e-postadresser.

7. SingHealth

Den 20 juli meddelade myndigheter i Singapore att det singaporianska vårdbolaget utsatts för ett dataintrång där 1,5 miljoner personuppgifter och hälsodata blev stulet. Läckan har flera dimensioner eftersom de dels är så omfattande, dels rör känsliga personuppgifter som patientjournaler. Som om det inte vore nog stals patientdata om Singapores premiärminister Lee Hsien Loong.

Premiärminister Lee har kämpat mot cancer två gånger i sitt liv, med början 1992 och sedan under 2016. Enligt myndigheterna var attacken riktad mot Lees patientdata och kom över bland annat information om vilka läkemedel som förskrivits till honom och 160 000 andra medborgare i Singapore. Intrången började redan i mitten av 2015 och fortsatte till den 4 juli i år, och data stals från ett otal kliniker och vårdcentraler i Singapore.

Antal konton: Ca 1 500 000
Vad läckte: Patientjournaler och liknande känsliga personuppgifter.

6. Ticketfly (Eventbrite)

Den amerikanska biljett- och eventsajten Ticketfly råkade i början av juni ut för en så kallad ”defacing” där hackaren bytte ut förstasidan på sajten mot sin egen som visade en bild med ett ”V” för vendetta. Hackaren hade tidigare varnat för att sajten var sårbar och begärde 1 bitcoin för att ”hjälpa” Ticketfly. Hackaren ”IsHaKdZ” skickade e-post-konversationen mellan henom och företaget till nyhetssajten Motherboard.

När företaget så vägrade utförde ”IsHaKdZ” sitt hack och passade på att stjäla inte mindre än 26 151 608 unika e-postadresser, postadresser och telefonnummer, dock inga kreditkortsnummer eller lösenord.

Antal konton: 26 151 608
Vad läckte: E-postadresser, postadresser och telefonnummer.

5. Facebook

28 september blev en sorgedag för sociala media-jätten Facebook då företaget meddelade att 50 miljoner användare bestulits på sina personuppgifter - en av dem Mark Zuckerberg själv. Det förmodligen allra värsta med detta hack var att hackarna kunde komma över användarnas så kallade ”access tokens”, alltså digitala biljetter som sparas i webbläsaren och dels ser till att användaren förblir inloggad på Facebook, men även kan användas för att logga in på andra tjänster med ”Logga in med Facebook”.

Attacken utnyttjade en säkerhetsbrist i funktionen som gör att du kan se din profil som andra användare ser den, tillsammans med en bugg i födelsedagsvideo-funktionen.

Antal konton: Ca 50 000 000
Vad läckte: All slags informaton och personuppgifter användarna har på Facebook, plus eventuella inloggningsbiljetter till andra tjänster.

4. MyHeritage

I början av juni upptäcktes att släktforskningssajten Myheritage hade råkat ut för ett stort dataintrång där förövaren lyckats komma över e-postadresser och lösenord till 92 miljoner användare. Upptäckten gjordes av en ren slump av en it-säkerhetsforskare som hittade databasen med 92 miljoner konton på internet.

Enligt Myheritage kan förövaren inte över kreditkortsnummer och framförallt inte dna-data och släktträd, som förvaras på så kallade segregerade system, alltså system som är isolerade från övriga system. Lösenorden var enligt Myheritage hashade, men användarna uppmanades ändå att byta lösenord.

Antal konton: Ca 92 000 000
Vad läckte: E-postadresser och hashade lösenord, men inga data om dna eller släktträd.

3. Quora

Quora.com är en amerikansk sajt där medlemmarna kan ställa frågor och få svar på frågor inom en mängd olika ämnen. Hackare har lyckades i början på desember att tränga in i nätverket och stjäla känsliga personuppgifter för runt 100 miljoner användare.Personuppgifterna som stals kan vara mycket känsliga för användarna; där ingår namn, e-postadress, postadress, data importerat från andra tjänster och en flora av icke-publikt innehåll som direktmeddelanden, begäran om svar och nedröster. Även publika data och innehåll som frågor, svar, kommentarer och uppröster

Antal konton: Ca 100 000 000
Vad läckte: Namn, e-postadress, postadress, data importerat från andra tjänster och innehåll som direktmeddelanden, begäran om svar och nedröster.

2. Under Armour

Det amerikanska hälso- och träningsföretaget Under Armour, som äger den mycket populära hälsoappen MyFitnessPal, råkade i februari ut för ett hack där förövaren kom över inte mindre än 150 miljoner e-postadresser och hashade lösenord. Appen sparar diet- och träningsrutiner, men dessa verkar inte ha läckt.

Till Under Armours försvar skall sägas att de trots allt skötte affären väl. Dels var de snabbt ute med att rapportera om läckan med adekvat information till användarna, dels verkar de ha på fötterna vad gäller krypteringen av lösenorden. Den brittiske säkerhetsexperten Troy Hunt berömde Under Armour för sin snabba reaktion och att de använder den robusta hashningsfunktionen bcrypt.

Antal konton: Ca 150 000 000
Vad läckte: E-postadresser och hashade lösenord.

1. Marriott International

I slutet av november kom den verkliga bomben i fråga om läckta personuppgifter. Den amerikanska hotellkedjan Marriott meddelade då att de läckte ut 500 miljoner personuppgifter, och att databasen varit tillgänglig för hackarna under fyra år. Personuppgifterna rör i stort sett allt som en hotellgäst lämnar ifrån sig till ett hotell: namn, adress, passnummer, reseinformation och liknande, och givetvis e-postadress och lösenord till användarkonton. Utöver detta har ett ospecificerat antal kontokortsnummer blivit stulna.

Marriott säger i sitt uttalande att de upptäckte läckan genom en varning från ett intern säkerhetssystem den 8 september om ett försök att komma över dotterbolaget Starwoods bokningsdatabas i USA. Under den påföljande undersökningen fick Marriott reda på att det förekommit obehörig tillgång till Starwoods nätverk sedan 2014.

Antal konton: Ca 500 000 000
Vad läckte: Namn, adress, telefonnummer, e-postadress, passnummer, Starwood Preferred Guest-kontoinformation, födelsedatum, kön, inchecknings- och utcheckningstider, ankomst- och avreseinformation, bokningsdatum och föredragen kommunikationskanal samt ett kontokortsnummer.

Läs också:
Vi hackade ett Google-konto på fem minuter – tack vare teleoperatörens slarv