2018-ы год падыходзіць да канца - а значыць, прыйшоў час падвесці яго вынікі і пералічыць найбольш значныя ўцечкі дадзеных.
У дадзены агляд патрапілі толькі сапраўды буйныя выпадкі ўцечак інфармацыі па ўсім свеце. Аднак, нават нягледзячы на высокі парог адсячэння, выпадкаў уцечак так шмат, што агляд прыйшлося разбіць на дзве часткі - па паўгоддзях.
Давайце паглядзім, што і як выцякала сёлета са студзеня па чэрвень. Адразу абмоўлюся, што месяц інцыдэнту паказаны не па часе яго здарэння, а па часе раскрыцця (публічнага анонсу).
Такім чынам, паехалі...
Студзеня
-
Прагрэсіўна-кансерватыўная партыя Канады
Была ўзламаная сістэма кіравання інфармацыяй (Constituent Information Management System - CIMS) Прагрэсіўна-кансерватыўнай партыі Канады (аддзяленне ў Антарыё).
Выкрадзеная база дадзеных утрымлівала імёны, нумары тэлефонаў і іншую персанальную інфармацыю больш за 1 млн. выбаршчыкаў, Антарыё, а таксама прыхільнікаў, спонсараў і валанцёраў партыі. -
Расабрнагляд
Уцечка інфармацыі аб дыпломах і спадарожных ім іншых персанальных дадзеных з вэбсайта Федэральнай службы па наглядзе ў сферы адукацыі і навукі.
Усяго каля 14 млн. запісаў са звесткамі аб былых студэнтах. Памер базы 5 Гб.
Уцяклі: серыя і нумар дыплома, год паступлення, год заканчэння, СНІЛС, ІНАЎ, серыя і нумар пашпарта, дата нараджэння, нацыянальнасць, навучальная арганізацыя, якая выдала дакумент. -
Рэгіянальнае ўпраўленне аховы здароўя Нарвегіі
Зламыснікі ўзламалі сістэму Рэгіянальнага ўпраўлення аховы здароўя Паўднёвай і Усходняй Нарвегіі (Helse Sør-Øst RHF) і атрымалі доступ да персанальных дадзеных і медыцынскіх запісаў каля 2.9 млн. нарвежцаў (больш за палову ўсіх жыхароў краіны).
Выкрадзеныя медыцынскія дадзеныя ўтрымлівалі інфармацыю аб супрацоўніках урада, сакрэтнай службы, вайскоўцаў, палітыках і іншых грамадскіх асобах.
Лютага
- Swisscom
Швейцарскі аператар сотавай сувязі Swisscom прызнаў, што скампраметаванымі апынуліся персанальныя дадзеныя каля 800 тыс. яго кліентаў.
Пацярпелі імёны, адрасы, нумары тэлефонаў і даты нараджэння кліентаў.
Сакавік
-
Under Armour
Папулярнае прыкладанне для фітнесу і ўліку харчавання MyFitnessPal, якое належыць Under Д'армор, стала прычынай найсур'ёзнай уцечкі дадзеных. Па заяве кампаніі, закранута каля 150 млн. карыстальнікаў.
Зламыснікам сталі вядомыя імёны карыстальнікаў, адрасы электроннай пошты і хэшаваныя паролі. -
Orbitz
Expedia Inc. (валодае Orbitz) паведаміла, што выявіла на адным са сваіх старых сайтаў уцечку дадзеных, якая закранае тысячы кліентаў.
Паводле ацэнак, уцечка закранула каля 880 тыс. банкаўскіх карт.
Зламыснік атрымаў доступ да звестак аб пакупках, зробленых у перыяд са студзеня 2016 года па снежань 2017 года. Выкрадзеная інфармацыя ўключае даты нараджэння, адрасы, поўныя імёны і даныя аб плацежных картах. -
MBM Company Inc
У адкрытым доступе было выяўлена агульнадаступнае сховішча Amazon S3 (AWS), якое змяшчае рэзервовую копію базы даных MS SQL з персанальнай інфармацыяй 1.3 млн. чалавек, якія пражываюць у ЗША і Канадзе.
База дадзеных належала MBM Company Inc – ювелірнай кампаніі, якая базуецца ў Чыкага і працуе пад гандлёвай маркай Limoges Jewelry.
База змяшчала імёны, адрасы, паштовыя індэксы, нумары тэлефонаў, адрасы электроннай пошты, IP-адрасы і тэкставыя паролі. Акрамя таго, там знаходзіліся ўнутраныя спісы рассылання MBM Company Inc, зашыфраваныя дадзеныя крэдытных карт, дадзеныя аплаты, прома-коды і замовы на таварныя пазіцыі.
Красавіка
-
Delta Air Lines, Best Buy і Sears Holding Corp.
Мэтавая атака спецыяльнага шкоднаснага ПЗ на прыкладанне для анлайн-чата кампаніі [24]7.ai (каліфарнійская кампанія з Сан-Хасэ, распрацоўвае прыкладанні для онлайн абслугоўвання кліентаў).
Уцяклі поўныя дадзеныя банкаўскіх карт - нумары карт, CVV-коды, даты заканчэння, імёны і адрасы ўладальнікаў.
Вядома толькі прыкладная колькасць збеглых дадзеных. Для Sears Holding Corp. гэта крыху менш за 100 тыс. банкаўскіх карт, для Delta Air Lines гэта сотні тысяч карт (дакладней авіякампанія не паведамляе). Колькасць скампраметаваных карт для Best Buy - невядома. Усе карты ўцяклі ў перыяд з 26 верасня па 12 кастрычніка 2017 года.
Кампаніі [24] 7.ai запатрабавалася больш за 5 месяцаў з моманту выяўлення нападу на свой сэрвіс, каб апавясціць кліентаў (Delta, Best Buy і Sears) аб інцыдэнце. -
Panera Хлеб
Файл з персанальнымі дадзенымі больш за 37 млн. кліентаў проста ляжаў у адкрытым выглядзе на сайце сеткі папулярных кафэ-пякарань.
Якія ўцяклі дадзеныя ўтрымоўвалі імёны кліентаў, адрасы электроннай пошты, даты нараджэння, паштовыя адрасы і апошнія чатыры лічбы нумароў крэдытных карт. -
Saks, Lord & Taylor
З гандлёвых сетак Saks Fifth Avenue (уключаючы сетку Saks Fifth Avenue OFF 5TH) і Lord \u5 Taylor выкралі больш за XNUMX млн. банкаўскіх карт.
Хакеры выкарыстоўвалі спецыяльнае праграмнае забеспячэнне ў касавых апаратах і PoS-тэрміналах, каб красці дадзеныя карт. -
Careem
Персанальныя дадзеныя прыкладна 14 млн. чалавек на Блізкім Усходзе, у Паўночнай Афрыцы, Пакістане і Турцыі былі выкрадзеныя хакерамі падчас кібер-напады на серверы Careem (найбуйнейшы канкурэнт Uber на Блізкім Усходзе).
Кампанія выявіла парушэнне ў кампутарнай сістэме, у якой захоўваюцца ўліковыя дадзеныя кліентаў і кіроўцаў з 13 краін.
Былі скрадзеныя імёны, адрасы электроннай пошты, нумары тэлефонаў, а таксама дадзеныя паездак.
Май
- ПАР
У адкрытым доступе на агульнадаступным вэб-серверы, які належыць кампаніі, якая апрацоўвае электронныя плацяжы за дарожныя штрафы, была знойдзена база даных, якая змяшчае персанальныя даныя прыкладна 1 млн. паўднёваафрыканцаў.
У базе змяшчаліся імёны, ідэнтыфікацыйныя нумары, адрасы электроннай пошты і паролі ў тэкставым выглядзе.
Чэрвеня
-
Exactis
Маркетынгавая кампанія Exactis з Фларыды, ЗША, трымала ў адкрытым доступе базу дадзеных Elasticsearch памерам каля 2 тэрабайт, якая змяшчае больш за 340 млн. запісаў.
У базе было знойдзена каля 230 млн. персанальных звестак фізічных асоб (паўналетніх) і каля 110 млн. кантактаў розных арганізацый.
Варта адзначыць, што ўсяго ў ЗША пражывае каля 249.5 млн паўналетніх - гэта значыць можна казаць аб тым, што база дадзеных змяшчае інфармацыю аб кожным дарослым амерыканцы. -
Sacramento Bee
Невядомыя хакеры выкралі дзве базы дадзеных, якія належаць каліфарнійскай газеце "The Sacramento Bee".
У першай базе знаходзілася 19.4/XNUMX млн. запісаў з персанальнымі дадзенымі выбаршчыкаў штата Каліфорнія.
У другой базе было 53 тыс. запісаў з інфармацыяй аб падпісантах газеты. -
Ticketfly
Сэрвіс па продажы канцэртных квіткоў Ticketfly, які належыць кампаніі Eventbrite, паведаміў аб хакерскім нападу на сваю базу дадзеных.
Кліенцкая база сэрвісу была выкрадзена хакерам IsHaKdZ, які патрабаваў за яе нераспаўсюджванне $7502 у біткоінах.
База даных змяшчала імёны, паштовыя адрасы, тэлефоны і адрасы электроннай пошты кліентаў Ticketfly і нават некаторых супрацоўнікаў сэрвісу, усяго больш за 27 млн. запісаў. -
MyHeritage
Уцяклі 92 млн. акаўнтаў (лагіны, хешы пароляў) ізраільскага генеалагічнага сэрвісу MyHeritage. Сэрвіс захоўвае ДНК інфармацыю карыстальнікаў і будуе іх генеалагічныя дрэвы. -
Дыксанскі тэлефон
Сетка электронікі Dixons Carphone, якая мае раздробныя крамы ў Вялікабрытаніі і на Кіпры, паведаміла, што ў выніку неаўтарызаванага доступу ў ІТ-інфраструктуру кампаніі адбылася ўцечка 1.2 млн. персанальных дадзеных пакупнікоў, уключаючы імёны, адрасы і адрасы электроннай пошты.
Акрамя таго, уцечцы падвергліся нумары 105 тыс. банкаўскіх карт без убудаванага чыпа.
Працяг будзе…
Рэгулярныя навіны пра асобныя выпадкі ўцечак даных, аператыўна публікуюцца на канале .
Крыніца: habr.com