У 2018 годзе ў свеце было зарэгістравана 2263 публічныя выпадкі ўцечкі канфідэнцыйнай інфармацыі. Персанальныя дадзеныя і плацежная інфармацыя былі скампраметаваныя ў 86% інцыдэнтаў – гэта каля 7,3 мільярда запісаў карыстацкіх дадзеных. Японская крыптабіржа Coincheck у выніку кампраметацыі анлайн-кашалькоў яе кліентаў страціла 534 мільёны даляраў. Гэта была найбольшая заяўленая шкода.
Якая будзе статыстыка за 2019 год, пакуль невядома. Але нашумелых "зліваў" ужо даволі шмат, і гэта сумна. Мы вырашылі зрабіць агляд найболей якія абмяркоўваюцца ўцечак з пачатку года. «Ці яшчэ будзе», як гаворыцца.
18 студзеня: базы Collection
18 студзеня ў СМІ сталі з'яўляцца паведамленні аб знойдзенай у адкрытым доступе базе дадзеных на паштовых скрынь з паролямі (у тым ліку і карыстальнікаў з Расіі). База ўяўляла сабой назапашаную за некалькі гадоў калекцыю са сцёклых баз дадзеных каля двух тысяч розных сайтаў. Завошта і атрымала назоў Collection #1. Па памеры яна аказалася другой у гісторыі базай узламаных адрасоў (першай лічыўся архіў з 1 млрд карыстальнікаў Yahoo!, які з'явіўся ў 2013 годзе).
Неўзабаве высветлілася, што Collection #1 – гэта толькі частка масіва дадзеных, які апынуўся ў руках хакераў. Спецыялісты па інфармацыйнай бяспецы знайшлі і іншыя "Калекцыі" пад нумарамі ад 2 да 5, а іх агульны аб'ём склаў 845 Гбайт. Амаль уся інфармацыя ў базах актуальная, хаця некаторыя лагіны і паролі састарэлі.
ИБ-эксперт Браян Крэбс звязаўся з хакерам, які прадаваў архівы, і высветліў, што Collection # 1 ужо каля двух-трох гадоў. Па словах хакера, «у продажы» у яго ёсць і больш свежыя базы дадзеных аб'ёмам больш за чатыры тэрабайт.
11 лютага: уцечка дадзеных карыстальнікаў 16 буйных сайтаў
11 лютага выданне The Register , Што на гандлёвай пляцоўцы Dream Market прадаюцца дадзеныя 620 карыстальнікаў буйных інтэрнэт-сэрвісаў:
- Dubsmash (162 млн)
- MyFitnessPal (151 млн)
- MyHeritage (92 млн)
- ShareThis (41 млн)
- HauteLook (28 млн)
- Animoto (25 млн)
- EyeEm (22 млн)
- 8fit (20 млн)
- Whitepages (18 млн)
- Fotolog (16 млн)
- 500px (15 млн)
- Д'армор Games (11 млн)
- BookMate (8 млн)
- CoffeeMeetsBagel (6 млн)
- Artsy (1 млн)
- DataCamp (700 000)
За ўсю базу зламыснікі прасілі каля $20 тыс., таксама можна было купіць архіў звестак кожнага сайта асобна.
Усе сайты былі ўзламаныя ў розны час. Напрыклад, фотапартал 500px паведаміў, што ўцечка адбылася яшчэ 5 ліпеня 2018 г., але стала вядома пра яе толькі пасля з'яўлення архіва з дадзенымі.
Базы даных email-адрасы, імёны карыстальнікаў і паролі. Праўда, ёсць адзін радасны факт: паролі ў асноўным так ці інакш зашыфраваны. Гэта значыць, для іх выкарыстання спачатку прыйдзецца паламаць галаву над расшыфроўкай дадзеных. Хоць, калі пароль просты, тое яго суцэль можна і падабраць.
25 лютага: неабароненая база дадзеных MongoDB
25 лютага спецыяліст па ИБ Боб Дзячэнка у сетцы неабароненую базу дадзеных MongoDB на 150 Гбайт, якая ўтрымоўвала звыш 800 мільёнаў запісаў асабістых дадзеных. У архіве змяшчаліся email-адрасы, прозвішчы, інфармацыя пра поле і дату нараджэння, тэлефонныя нумары, паштовыя індэксы і адрасы, IP-адрасы.
Праблемная БД належала кампаніі Verifications IO LLC, якая займалася email-маркетынгам. Адной з яе паслуг была праверка карпаратыўных email. Як толькі інфармацыя аб праблемнай базе з'явілася ў СМІ, сайт кампаніі і сама база даных сталі недаступнымі. Пазней прадстаўнікі Verifications IO LLC заявілі, што база не змяшчала дадзеныя кліентаў кампаніі і папаўнялася з адкрытых крыніц.
10 сакавіка: уцечка дадзеных карыстальнікаў Facebook праз прыкладанні FQuiz і Supertest
10 сакавіка выданне The Verge аб тым, што Facebook падаў у суд на двух украінскіх распрацоўшчыкаў, Глеба Случэўскага і Андрэя Гарбачова. Іх ставілася крадзеж персанальных дадзеных карыстачоў.
Распрацоўнікі стваралі прыкладанні для правядзення тэстаў. Гэтыя праграмы ўсталёўвалі ў браўзэр пашырэння, якія збіралі дадзеныя карыстачоў. За 2017-2018 год чатыры прыкладанні, сярод якіх FQuiz і Supertest, змаглі скрасці дадзеныя прыкладна 63 тысяч карыстальнікаў. Пацярпелі ў асноўным карыстальнікі з Расіі і Украіны.
21 сакавіка: сотні мільёнаў пароляў Facebook у незашыфраваным выглядзе
21 сакавіка журналіст Браян Крэбс паведаміў , Што Facebook доўгі час захоўваў мільёны пароляў у незашыфраваным выглядзе. Каля 20 тысяч супрацоўнікаў кампаніі маглі праглядаць паролі ад 200 да 600 мільёнаў карыстачоў Facebook, паколькі тыя захоўваліся ў простым тэкставым фармаце. У гэтую неабароненую базу патрапілі і некаторыя паролі Instagram. Неўзабаве сама сацыяльная сетка афіцыйна інфармацыю.
Педра Канахуаці, віцэ-прэзідэнт Facebook па праектаванні, бяспецы і прыватнасці, заявіў, што праблема з захоўваннем пароляў у незашыфраваным выглядзе была выпраўлена. А ў цэлым сістэмы ўваходу ў сістэму ў Facebook спраектаваны так, каб паролі былі нечытэльнымі. Доказаў таго, што да незашыфраваных пароляў быў атрыманы неправамерны доступ, кампанія не знайшла.
21 сакавіка: уцечка дадзеных кліентаў Таёты
У канцы сакавіка японскі аўтавытворца Toyota аб тым, што хакерам атрымалася выкрасці персанальныя дадзеныя да 3,1 мільёна кліентаў кампаніі. Узлом сістэм гандлёвых падраздзяленняў і пяці даччыных кампаній Toyota адбыўся 21 сакавіка.
Кампанія не раскрыла, якія менавіта персанальныя дадзеныя кліентаў былі выкрадзеныя. Аднак заявіла, што доступ да інфармацыі аб банкаўскіх картах зламыснікі не атрымалі.
21 сакавіка: публікацыя дадзеных пацыентаў Ліпецкай вобласці на сайце ЕІС
21 сакавіка актывісты грамадскага руху "Пацыенцкі кантроль" аб тым, што ў інфармацыі, апублікаванай Упраўленнем аховы здароўя Ліпецкай вобласці на сайце ЕІС, былі прадстаўлены персанальныя дадзеныя пацыентаў.
На сайце дзяржзакупак было размешчана некалькі аўкцыёнаў на аказанне медыцынскіх паслуг у неадкладнай форме: пацыентаў трэба было перавесці ў іншыя ўстановы за межы рэгіёна. У апісаннях змяшчалася інфармацыя аб прозвішчы пацыента, яго хатні адрас, дыягназ, код па МКБ, профіль і гэтак далей. Неверагодна, але ў адкрытым выглядзе дадзеныя пацыентаў публікаваліся не менш за восем разоў толькі за апошні год (!).
Кіраўнік Упраўлення аховы здароўя Ліпецкай вобласці Юрый Шуршукоў заявіў, што распачата службовае расследаванне і што пацыентам, чые звесткі былі апублікаваны, будуць прынесены прабачэнні. Пракуратура Ліпецкай вобласці таксама пачала праверку інцыдэнту.
04 красавіка: уцечка дадзеных 540 карыстальнікаў Facebook
Кампанія UpGuard, якая спецыялізуецца на інфармацыйнай бяспецы, аб трапленні ў адкрыты доступ дадзеных больш за 540 млн карыстачоў Facebook.
Запісы ўдзельнікаў сацыяльнай сеткі з каментарамі, лайкамі, назвамі уліковых запісаў былі знойдзены на мексіканскай лічбавай платформе Cultura Colectiva. А ва ўжо неіснуючым дадатку At the Pool былі даступныя імёны, паролі, адрасы электроннай пошты і іншыя дадзеныя.
10 красавіка: дадзеныя пацыентаў "хуткай" з Падмаскоўя ўцяклі ў сетку
На станцыях хуткай медыцынскай дапамогі (ССМД) Падмаскоўя меркавана. Праваахоўныя органы пачалі даследчую праверку паведамленняў аб інцыдэнце.
На адным з файлаабменнікаў быў знойдзены файл памерам 17,8 ГБ, які змяшчае інфармацыю аб выкліках "хуткай" у Маскоўскай вобласці. У дакуменце змяшчалася імя таго, хто звярнуўся ў «хуткую», кантактны тэлефон, адрас, куды была выклікана брыгада, дата і час выкліку, нават стан пацыента. Скампраметаванымі былі дадзеныя жыхароў Мыцішчаў, Дзмітрава, Даўгапруднага, Каралева і Балашыхі. Мяркуецца, што базу выклалі актывісты ўкраінскай хакерскай групоўкі.
12 красавіка: чорны спіс ЦБ
Дадзеныя кліентаў банкаў з чорнага спісу ЦБ адмоўнікаў па законе аб супрацьдзеянні адмыванню даходаў 12 красавіка. Размова ішла аб інфармацыі прыкладна 120 тыс. кліентаў, якім адмовілі ў абслугоўванні ў адпаведнасці з законам аб супрацьдзеянні адмыванню даходаў, атрыманых злачынным шляхам, і фінансаванню тэрарызму (115-ФЗ).
Большую частку базы складаюць фізічныя асобы і індывідуальныя прадпрымальнікі, астатнія - юрыдычныя асобы. Пра фізічных асоб у базе змяшчаецца інфармацыя аб іх ПІБ, даце нараджэння, серыі і нумары пашпарта. Пра ІП - ПІБ і ІНАЎ, пра кампаніі - найменне, ІНАЎ, ОГРН. У адным з банкаў неафіцыйна прызналіся журналістам, што ў спісе рэальныя кліенты-адмоўнікі. База ахоплівае "адмоўнікаў" з 26 чэрвеня 2017 года па 6 снежня 2017 года.
15 красавіка: апублікаваны асабістыя дадзеныя тысяч супрацоўнікаў амерыканскай паліцыі і ФБР
Кіберзлачынная групоўка здолела правесці ўзлом некалькіх сайтаў, злучаных з Федэральным бюро расследаванняў ЗША. І выклала ў інтэрнэт дзясяткі файлаў з персанальнай інфармацыяй тысяч супрацоўнікаў паліцыі і федэральных агентаў.
З дапамогай публічна даступных эксплоітаў зламыснікам удалося атрымаць доступ да сеткавых рэсурсаў асацыяцыі, звязанай з Акадэміяй ФБР у Куантыка (штат Вірджынія). Пра гэта TechCrunch.
Выкрадзены архіў змяшчаў імёны супрацоўнікаў праваахоўных органаў і федэральных службаў ЗША, іх адрасы, нумары тэлефонаў, звесткі аб іх электроннай пошце і пасадах. Усяго каля 4000 розных запісаў.
25 красавіка: уцечка дадзеных карыстальнікаў Docker Hub
Кіберзлачынцы атрымалі доступ да базы дадзеных найбуйнай у міры бібліятэкі выяў для кантэйнераў Docker Hub, у выніку чаго былі скампраметаваныя дадзеныя прыкладна 190 тыс. карыстачоў. У базе дадзеных змяшчаліся імёны карыстальнікаў, хэшы пароляў, а таксама токены для рэпазітараў GitHub і Bitbucket, якія выкарыстоўваюцца для аўтаматызаваных зборак Docker.
Адміністрацыя Docker Hub карыстальнікам аб інцыдэнце позна ўвечары ў пятніцу, 26 красавіка. Па афіцыйнай інфармацыі, аб неаўтарызаваным доступе да базы дадзеных стала вядома 25 красавіка. Расследаванне інцыдэнту пакуль не завершана.
Таксама можна ўспомніць гісторыю з Doc+, якую не так даўно на Хабры, непрыемную з плацяжамі грамадзян у ДІБДР і ФССП і іншыя ўцечкі, якія апісвае .
У якасці заключэння
Неабароненасць дадзеных, якія захоўваюцца ў дзяржструктур, у сацыяльных сетках і на буйных сайтах, як і маштабы крадзяжу - жахлівыя. Сумна і тое, што ўцечкі сталі звыклымі. Многія людзі, чые персанальныя дадзеныя аказаліся скампраметаваныя, нават не ведаюць пра гэта. А калі і ведаюць, дык нічога не зробяць для сваёй абароны.
Крыніца: habr.com