Zatímco někteří si užívali letní prázdniny, jiní si užívali snůšku citlivých dat. Cloud4Y připravil krátký přehled senzačních úniků dat letošního léta.
červen
1.
Ve veřejném vlastnictví bylo více než 400 tisíc e-mailových adres a 160 tisíc telefonních čísel a také 1200 párů přihlašovacích hesel pro přístup k osobním účtům klientů největší dopravní společnosti Fesco. Pravděpodobně je méně skutečných dat, protože... záznamy se mohou opakovat.
Přihlašovací jména a hesla jsou platná, umožňují získat kompletní informace o přepravě prováděné firmou pro konkrétního zákazníka, včetně potvrzení o provedené práci a skenů faktur s razítky.
Data byla zpřístupněna veřejnosti prostřednictvím protokolů zanechaných softwarem CyberLines používaným společností Fesco. Kromě přihlašovacích údajů a hesel obsahují protokoly také osobní údaje zástupců klientských společností Fesco: jména, čísla pasů, telefonní čísla.
2.
Dne 9. června 2019 se vešlo ve známost o úniku dat 900 tisíc klientů ruských bank. Veřejně byly zpřístupněny pasové údaje, telefonní čísla, místa pobytu a práce občanů Ruské federace. Postiženi byli klienti Alfa Bank, OTP Bank a HKF Bank, dále asi 500 zaměstnanců ministerstva vnitra a 40 lidí z FSB.
Odborníci objevili dvě databáze klientů Alfa Bank: jedna obsahuje údaje o více než 55 tisících klientech z let 2014–2015, druhá obsahuje 504 záznamů z let 2018–2019. Druhá databáze obsahuje také údaje o zůstatku na účtu, omezené na rozsah 130–160 tisíc rublů.
červenec
Zdá se, že většina lidí byla v červenci na dovolené, takže za celý měsíc došlo pouze k jednomu znatelnému úniku. Ale co!
3.
Koncem měsíce se vešlo ve známost o největším úniku dat klientů bank. Utrpěl finanční holding Capital One, který škodu odhadl na 100-150 milionů dolarů.V důsledku hacku získali útočníci přístup k datům 100 milionů klientů Capital One v USA a 6 milionů v Kanadě. Byly kompromitovány informace z žádostí o kreditní karty a data stávajících držitelů karet.
Společnost tvrdí, že samotná data kreditních karet (čísla, CCV kódy atd.) zůstala v bezpečí, ale bylo odcizeno 140 tisíc rodných čísel a 80 tisíc bankovních účtů. Podvodníci navíc získali úvěrovou historii, výpisy, adresy, data narození a platy klientů finanční instituce.
V Kanadě byl kompromitován přibližně jeden milion čísel sociálního zabezpečení. Hackeři také získali údaje o kartových transakcích roztroušených do 23 dnů za roky 2016, 2017 a 2018.
Capital One provedla interní vyšetřování a uvedla, že ukradené informace pravděpodobně nebyly použity k podvodným účelům. Zajímalo by mě, ve kterých se to tehdy používalo?
Augustus
Po odpočinku v červenci jsme se vrátili v srpnu s novým elánem. Tak.
O ukládání biometrických údajů již bylo řečeno mnoho a je to tady znovu...
4.
V polovině srpna 2019 byl objeven únik více než milionu otisků prstů a dalších citlivých dat. Zaměstnanci společnosti tvrdí, že získali přístup k biometrickým údajům ze softwaru Biostar 2.
Biostar 2 používají tisíce společností po celém světě, včetně londýnské policie, ke kontrole přístupu na zabezpečené stránky. Suprema, vývojář Biostar 2, tvrdí, že již pracuje na řešení tohoto problému. Vědci poznamenávají, že spolu se záznamy o otiscích prstů našli fotografie lidí, údaje o rozpoznání obličeje, jména, adresy, hesla, historii zaměstnání a záznamy o návštěvách chráněných stránek. Mnoho obětí se obává, že Suprema nezveřejnila potenciální únik dat, aby její klienti mohli jednat přímo na místě.
Celkem bylo v síti objeveno 23 gigabajtů dat obsahujících téměř 30 milionů záznamů. Vědci poznamenávají, že biometrické informace se po takovém úniku nikdy nemohou stát důvěrnými. Mezi společnostmi, jejichž data unikla, byly Power World Gyms, tělocvična v Indii a na Srí Lance (113 796 uživatelských záznamů včetně otisků prstů), Global Village, každoroční festival v SAE (15 000 otisků prstů), Adecco Staffing, belgická náborová společnost (2000 otisky prstů). Únik nejvíce zasáhl britské uživatele a společnosti – miliony osobních záznamů byly volně dostupné.
Platební systém Mastercard oficiálně oznámil belgickým a německým regulátorům, že 19. srpna společnost zaznamenala únik dat „velkého počtu“ zákazníků, z nichž „významnou část“ tvoří němečtí občané. Společnost uvedla, že podnikla potřebné kroky a smazala veškeré osobní údaje klientů, které se objevily na internetu. Incident podle Mastercard souvisí s věrnostním programem německé společnosti třetí strany.
5.
Mezitím naši krajané také nespí. Jak se říká: "Díky ruským železnicím, ale ne."
Únik dat zaměstnanců Ruských drah, které , se v roce 2019 stala druhou největší v Rusku. Čísla SNILS, adresy, telefonní čísla, fotografie, celá jména a funkce 703 tisíc zaměstnanců Ruských drah ze 730 tisíc byly zveřejněny.
Ruské dráhy zveřejnění prověřují a připravují odvolání k donucovacím orgánům. Osobní údaje cestujících nebyly odcizeny, ujišťuje společnost.
6.
A právě včera Imperva oznámila únik důvěrných informací od řady svých klientů. Incident zasáhl uživatele služby Imperva Cloud Web Application Firewall CDN, dříve známé jako Incapsula. Podle publikace na webu Imperva se společnost o incidentu dozvěděla letos 20. srpna po zprávě o úniku dat u řady klientů, kteří měli účty ve službě před 15. zářím 2017.
Mezi ohrožené informace patřily e-mailové adresy a hash hesel uživatelů, kteří se zaregistrovali před 15. zářím 2017, a také klíče API a certifikáty SSL některých zákazníků. Podrobnosti o tom, jak přesně k úniku dat došlo, společnost nezveřejnila. Uživatelům služby Cloud WAF se doporučuje změnit hesla ke svým účtům, povolit dvoufaktorovou autentizaci a implementovat mechanismus jednotného přihlášení (Single Sign-On), stejně jako stáhnout nové certifikáty SSL a resetovat klíče API.
Při shromažďování informací pro tuto kolekci se mimoděk vynořila myšlenka: kolik úžasných úniků nám přinese podzim?
Co dalšího si můžete přečíst na blogu?
→
→
→
→
→
Přihlaste se k odběru -kanál, aby vám neunikl další článek! Píšeme maximálně dvakrát týdně a pouze služebně.
Zdroj: www.habr.com