2018 година е към своя край, което означава, че е време да обобщим нейните резултати и да изброим най-значимите изтичания на данни.
Този преглед включва само наистина големи случаи на изтичане на информация по света. Въпреки това, въпреки високия праг на прекъсване, има толкова много случаи на течове, че прегледът трябваше да бъде разделен на две части - по шест месеца.
Нека да видим какво и как е изтекло тази година от януари до юни. Нека веднага направя уговорка, че месецът на инцидента е посочен не от времето на възникването му, а от момента на разкриване (публично съобщение).
И така, да тръгваме...
Януари
-
Прогресивна консервативна партия на Канада
Системата за управление на учредителната информация (CIMS) на Прогресивната консервативна партия на Канада (клон в Онтарио) беше хакната.
Откраднатата база данни съдържаше имената, телефонните номера и друга лична информация на повече от 1 милион гласоподаватели на Онтарио, както и партийни поддръжници, дарители и доброволци. -
Рособрнадзор
Изтичане на информация за дипломи и други придружаващи ги лични данни от уебсайта на Федералната служба за надзор на образованието и науката.
Общо има около 14 милиона записа с данни за бивши ученици. Размер на базата данни 5 GB.
Изтекли: серия и номер на диплома, година на приемане, година на дипломиране, SNILS, INN, серия и номер на паспорта, дата на раждане, националност, образователна организация, издала документа. -
Норвежки регионални здравни власти
Нападателите хакнаха системата на Регионалния здравен орган на Южна и Източна Норвегия (Helse Sør-Øst RHF) и получиха достъп до личните данни и медицинските досиета на около 2.9 милиона норвежци (повече от половината от всички жители на страната).
Откраднатите медицински данни включват информация за правителството, тайните служби, военни, политически и други обществени фигури.
Февруари
- Swisscom
Швейцарският мобилен оператор Swisscom призна, че личните данни на около 800 хиляди негови клиенти са били компрометирани.
Засегнати са имена, адреси, телефонни номера и дати на раждане на клиенти.
Март
-
Под Armour
Популярното приложение за проследяване на фитнес и хранене MyFitnessPal на Under Armour претърпя сериозно нарушение на данните. Според компанията около 150 милиона потребители са засегнати.
Нападателите са разбрали потребителски имена, имейл адреси и хеширани пароли. -
Orbitz
Expedia Inc. (собственик на Orbitz) заяви, че е открил нарушение на данните на един от своите наследени сайтове, засягащо хиляди клиенти.
Смята се, че изтичането е засегнало около 880 хиляди банкови карти.
Нападателят получи достъп до данни за покупки, направени между януари 2016 г. и декември 2017 г. Открадната информация включва дати на раждане, адреси, пълни имена и информация за платежни карти. -
MBM Company Inc
Публично хранилище на Amazon S3 (AWS), съдържащо резервно копие на MS SQL база данни с лична информация на 1.3 милиона души, живеещи в Съединените щати и Канада, беше открито в публичното пространство.
Базата данни принадлежи на MBM Company Inc, компания за бижута, базирана в Чикаго и работеща под марката Limoges Jewelry.
Базата данни съдържа имена, адреси, пощенски кодове, телефонни номера, имейл адреси, IP адреси и текстови пароли. Освен това имаше вътрешни пощенски списъци на MBM Company Inc, криптирани данни за кредитни карти, данни за плащане, промоционални кодове и поръчки на продукти.
Април
-
Delta Air Lines, Best Buy и Sears Holding Corp.
Целенасочена атака на специален злонамерен софтуер върху приложението за онлайн чат на компанията [24]7.ai (калифорнийска компания от Сан Хосе, която разработва приложения за онлайн обслужване на клиенти).
Изтекоха пълни данни за банкови карти - номера на карти, CVV кодове, срокове на валидност, имена и адреси на собствениците.
Известно е само приблизителното количество изтекли данни. За Sears Holding Corp. това са малко по-малко от 100 хиляди банкови карти, за Delta Air Lines това са стотици хиляди карти (авиокомпанията не съобщава по-точно). Броят на компрометираните карти за Best Buy не е известен. Всички карти бяха изтекли между 26 септември и 12 октомври 2017 г.
На [24]7.ai бяха необходими повече от 5 месеца след откриването на атаката срещу услугата му, за да уведоми клиентите (Delta, Best Buy и Sears) за инцидента. -
Panera Хляб
Файл с лични данни на повече от 37 милиона клиенти просто лежеше в отворена форма на уебсайта на верига популярни пекарни.
Изтеклите данни включват имена на клиенти, имейл адреси, дати на раждане, пощенски адреси и последните четири цифри от номера на кредитни карти. -
Сакс, Лорд и Тейлър
Повече от 5 милиона банкови карти бяха откраднати от търговските вериги Saks Fifth Avenue (включително веригата Saks Fifth Avenue OFF 5TH) и Lord & Taylor.
Хакери са използвали специален софтуер в касови апарати и PoS терминали, за да откраднат данни от карти. -
Careem
Личните данни на приблизително 14 милиона души в Близкия изток, Северна Африка, Пакистан и Турция бяха откраднати от хакери при кибератака срещу сървърите на Careem (най-големият конкурент на Uber в Близкия изток).
Компанията откри пробив в компютърната система, която съхранява идентификационни данни за клиенти и шофьори в 13 държави.
Бяха откраднати имена, имейл адреси, телефонни номера и данни за пътуване.
Май
- Южна Африка
База данни, съдържаща личните данни на приблизително 1 милион южноафриканци, беше открита на публичен уеб сървър, собственост на компания, която обработва електронни плащания за глоби по пътищата.
Базата данни съдържа имена, идентификационни номера, имейл адреси и пароли в текстов вид.
Юни
-
Exactis
Маркетинговата компания Exactis от Флорида, САЩ, поддържаше публично достъпна база данни Elasticsearch с размер около 2 терабайта, съдържаща повече от 340 милиона записа.
В базата данни са открити около 230 милиона лични данни на физически лица (възрастни) и около 110 милиона контакти на различни организации.
Заслужава да се отбележи, че общо в Съединените щати живеят около 249.5 милиона възрастни - тоест можем да кажем, че базата данни съдържа информация за всеки възрастен американец. -
Sacramento Bee
Неизвестни хакери откраднаха две бази данни, принадлежащи на калифорнийския вестник The Sacramento Bee.
Първата база данни съдържаше 19.4 милиона записа с лични данни на избиратели в Калифорния.
Втората база данни съдържа 53 хиляди записа с информация за абонати на вестници. -
Ticketfly
Ticketfly, услуга за продажба на билети за концерти, собственост на Eventbrite, съобщи за хакерска атака срещу нейната база данни.
Клиентската база на услугата беше открадната от хакера IsHaKdZ, който поиска 7502 XNUMX долара в биткойни за нейното неразпространение.
Базата данни съдържа имена, пощенски адреси, телефонни номера и имейл адреси на клиенти на Ticketfly и дори на някои от служителите на услугата, общо над 27 милиона записа. -
MyHeritage
Изтекоха 92 милиона акаунта (логини, хешове на пароли) на израелската генеалогична услуга MyHeritage. Услугата съхранява ДНК информация на потребителите и изгражда техните родословни дървета. -
Carphone Dixons
Веригата за електроника Dixons Carphone, която има магазини за търговия на дребно в Обединеното кралство и Кипър, заяви, че личните данни на 1.2 милиона клиенти, включително имена, адреси и имейл адреси, са изтекли в резултат на неоторизиран достъп до ИТ инфраструктурата на компанията.
Освен това изтекоха номерата на 105 хиляди банкови карти без вграден чип.
За да се продължи ...
В канала своевременно се публикуват новини за отделни случаи на изтичане на данни .
Източник: www.habr.com