Mentre alguns estaven gaudint de les seves vacances d'estiu, d'altres gaudien de la seva quantitat de dades sensibles. Cloud4Y ha preparat una breu visió general de les sensacionals filtracions de dades d'aquest estiu.
juny
1.
Més de 400 mil adreces de correu electrònic i 160 mil números de telèfon, així com 1200 parells d'inici de sessió-contrasenya per accedir als comptes personals dels clients de la major empresa de transports Fesco eren de domini públic. Probablement hi ha menys dades reals, perquè... les entrades es poden repetir.
Els inicis de sessió i les contrasenyes són vàlids, permeten obtenir informació completa sobre el transport realitzat per l'empresa per a un client concret, incloent certificats de treball finalitzat i escaneig de factures amb segells.
Les dades es van posar a disposició del públic mitjançant els registres deixats pel programari CyberLines utilitzat per Fesco. A més dels inicis de sessió i les contrasenyes, els registres també contenen dades personals dels representants de les empreses clients de Fesco: noms, números de passaport, números de telèfon.
2.
El 9 de juny de 2019, es va conèixer una filtració de dades de 900 mil clients de bancs russos. Les dades del passaport, els números de telèfon, els llocs de residència i el treball dels ciutadans de la Federació Russa es van posar a disposició del públic. Es van veure afectats clients d'Alfa Bank, OTP Bank i HKF Bank, així com uns 500 empleats del Ministeri de l'Interior i 40 persones de l'FSB.
Els experts van descobrir dues bases de dades de clients d'Alfa Bank: una conté dades de més de 55 mil clients del 2014 al 2015, la segona conté 504 registres del 2018 al 2019. La segona base de dades també conté dades sobre el saldo del compte, limitades al rang de 130-160 mil rubles.
juliol
Sembla que la majoria de la gent estava de vacances al juliol, de manera que només hi va haver una filtració notable durant tot el mes. Però que!
3.
A finals de mes, es va conèixer la major filtració de dades de clients bancaris. El holding financer Capital One va patir, estimant el dany entre 100 i 150 milions de dòlars. Com a resultat del pirateig, els atacants van obtenir accés a les dades de 100 milions de clients de Capital One als EUA i 6 milions al Canadà. La informació de les sol·licituds de targetes de crèdit i les dades dels titulars de targetes existents es van veure compromeses.
L'empresa afirma que les dades de la targeta de crèdit (números, codis CCV, etc.) es van mantenir segures, però es van robar 140 mil números de la seguretat social i 80 mil comptes bancaris. A més, els estafadors van obtenir historials de crèdit, extractes, adreces, dates de naixement i salaris dels clients de l'entitat financera.
Al Canadà, aproximadament un milió de números de seguretat social es van veure compromesos. Els pirates informàtics també van obtenir dades sobre transaccions amb targeta repartides durant 23 dies per al 2016, 2017 i 2018.
Capital One va dur a terme una investigació interna i va declarar que la informació robada era poc probable que s'hagués utilitzat amb finalitats fraudulentes. Em pregunto en quins s'utilitzava llavors?
August
Després d'haver descansat al juliol, vam tornar a l'agost amb renovat vigor. Tan.
Ja s'ha parlat molt de l'emmagatzematge de la biometria i aquí tornem...
4.
A mitjans d'agost de 2019, es va descobrir una filtració de més d'un milió d'empremtes dactilars i altres dades sensibles. Els empleats de l'empresa afirmen que van tenir accés a les dades biomètriques del programari Biostar 2.
Biostar 2 és utilitzat per milers d'empreses d'arreu del món, inclosa la policia de Londres, per controlar l'accés a llocs segurs. Suprema, el desenvolupador de Biostar 2, afirma que ja està treballant en una solució a aquest problema. Els investigadors assenyalen que juntament amb els registres d'empremtes dactilars, van trobar fotografies de persones, dades de reconeixement facial, noms, adreces, contrasenyes, historial laboral i registres de visites a llocs protegits. A moltes víctimes els preocupa que Suprema no hagi revelat la possible violació de dades perquè els seus clients poguessin prendre mesures sobre el terreny.
En total, es van descobrir a la xarxa 23 gigabytes de dades que contenien gairebé 30 milions de registres. Els investigadors assenyalen que la informació biomètrica mai no es pot convertir en confidencial després d'aquesta filtració. Entre les empreses les dades de les quals es van filtrar hi havia Power World Gyms, un gimnàs a l'Índia i Sri Lanka (113 registres d'usuaris incloses les empremtes dactilars), Global Village, un festival anual als Emirats Àrabs Units (796 empremtes dactilars), Adecco Staffing, una empresa de contractació belga (15). empremtes dactilars). La filtració va afectar més els usuaris i les empreses britàniques: milions de registres personals estaven disponibles gratuïtament.
El sistema de pagament Mastercard va notificar oficialment als reguladors belgues i alemanys que el 19 d'agost l'empresa va registrar una filtració de dades d'un "gran nombre" de clients, "una part important dels quals" són ciutadans alemanys. L'empresa va indicar que havia fet les gestions necessàries i va eliminar totes les dades personals dels clients que havien aparegut a Internet. Segons Mastercard, l'incident està relacionat amb el programa de fidelització d'una empresa alemanya de tercers.
5.
Mentrestant, els nostres compatriotes tampoc no dormen. Com diuen: "Gràcies als ferrocarrils russos, però no".
Fuga de dades dels empleats dels ferrocarrils russos, que , es va convertir en el segon més gran de Rússia el 2019. Els números de SNILS, adreces, números de telèfon, fotos, noms complets i càrrecs de 703 mil empleats dels ferrocarrils russos dels 730 mil es van posar a disposició del públic.
Els ferrocarrils russos estan comprovant la publicació i preparant una apel·lació a les agències d'aplicació de la llei. Les dades personals dels passatgers no van ser robades, assegura la companyia.
6.
I ahir mateix, Imperva va anunciar una filtració d'informació confidencial d'alguns dels seus clients. L'incident va afectar usuaris del servei CDN del tallafoc d'aplicacions web Imperva Cloud, abans conegut com a Incapsula. Segons una publicació al lloc web d'Imperva, l'empresa va tenir coneixement de l'incident el 20 d'agost d'enguany després d'un informe d'una filtració de dades per a una sèrie de clients que tenien comptes al servei abans del 15 de setembre de 2017.
La informació compromesa incloïa adreces de correu electrònic i hash de contrasenyes dels usuaris que es van registrar abans del 15 de setembre de 2017, així com claus API i certificats SSL d'alguns clients. L'empresa no va revelar detalls sobre com es va produir exactament la filtració de dades. Es recomana als usuaris del servei Cloud WAF canviar les contrasenyes dels seus comptes, habilitar l'autenticació de dos factors i implementar un mecanisme d'inici de sessió únic (Single Sign-On), així com descarregar nous certificats SSL i restablir les claus API.
En recollir informació per a aquesta col·lecció, va sorgir involuntàriament un pensament: quantes filtracions meravelloses ens portarà la tardor?
Què més pots llegir al blog?
→
→
→
→
→
Subscriu-te al nostre -canal, per no perdre's el següent article! Escrivim no més de dues vegades per setmana i només per negocis.
Font: www.habr.com