Mens nogle nød deres sommerferie, nød andre deres fangst af følsomme data. Cloud4Y har udarbejdet en kort oversigt over de opsigtsvækkende datalæk denne sommer.
juni
1.
Mere end 400 tusinde e-mail-adresser og 160 tusinde telefonnumre samt 1200 login-adgangskodepar til at få adgang til de personlige konti hos kunder fra det største transportfirma Fesco var i det offentlige domæne. Der er sandsynligvis mindre reelle data, fordi... poster kan gentages.
Login og adgangskoder er gyldige, de giver dig mulighed for at få fuldstændig information om transport udført af virksomheden for en specifik kunde, herunder attester for udført arbejde og scanning af fakturaer med stempler.
Dataene blev gjort offentligt tilgængelige gennem logfiler efterladt af CyberLines-softwaren brugt af Fesco. Ud over logins og adgangskoder indeholder loggene også personoplysninger om repræsentanter for Fesco-kundevirksomheder: navne, pasnumre, telefonnumre.
2.
Den 9. juni 2019 blev det kendt om et datalæk på 900 tusinde kunder i russiske banker. Pasdata, telefonnumre, opholdssteder og arbejde for borgere i Den Russiske Føderation blev gjort offentligt tilgængelige. Kunder i Alfa Bank, OTP Bank og HKF Bank blev berørt, samt omkring 500 ansatte i Indenrigsministeriet og 40 personer fra FSB.
Eksperter opdagede to databaser med Alfa Bank-kunder: den ene indeholder data om mere end 55 tusinde kunder fra 2014-2015, den anden indeholder 504 poster fra 2018-2019. Den anden database indeholder også data om kontosaldoen, begrænset til intervallet 130-160 tusind rubler.
juli
Det ser ud til, at de fleste var på ferie i juli, så der var kun én mærkbar lækage hele måneden. Men hvad!
3.
I slutningen af måneden blev det kendt om det største datalæk af bankkunder. Den finansielle besiddelse Capital One led, og estimerede skaden til $100-150 millioner Som et resultat af hacket fik angriberne adgang til data fra 100 millioner Capital One-kunder i USA og 6 millioner i Canada. Oplysninger fra ansøgninger om kreditkort og data fra eksisterende kortholdere blev kompromitteret.
Virksomheden hævder, at selve kreditkortdataene (numre, CCV-koder osv.) forblev sikre, men 140 tusinde cpr-numre og 80 tusinde bankkonti blev stjålet. Derudover indhentede svindlerne kredithistorier, erklæringer, adresser, fødselsdatoer og lønninger til finansinstituttets kunder.
I Canada blev cirka en million personnumre kompromitteret. Hackerne indhentede også data om korttransaktioner spredt over 23 dage for 2016, 2017 og 2018.
Capital One gennemførte en intern undersøgelse og udtalte, at de stjålne oplysninger sandsynligvis ikke var blevet brugt til svigagtige formål. Gad vide hvilke det blev brugt i dengang?
Augustus
Efter at have hvilet i juli, vendte vi tilbage i august med fornyet kraft. Så.
Meget er allerede blevet sagt om lagring af biometri, og så er vi i gang igen...
4.
I midten af august 2019 blev der opdaget et læk på mere end en million fingeraftryk og andre følsomme data. Medarbejdere i virksomheden hævder, at de har fået adgang til biometriske data fra Biostar 2-software.
Biostar 2 bruges af tusindvis af virksomheder rundt om i verden, inklusive London Police, til at kontrollere adgangen til sikre websteder. Suprema, udvikleren af Biostar 2, hævder, at man allerede arbejder på en løsning på dette problem. Forskerne bemærker, at de sammen med fingeraftryksregistreringer fandt fotografier af mennesker, ansigtsgenkendelsesdata, navne, adresser, adgangskoder, ansættelseshistorik og registreringer af besøg på beskyttede websteder. Mange ofre er bekymrede over, at Suprema ikke afslørede det potentielle databrud, så dets klienter kunne handle på stedet.
I alt blev der opdaget 23 gigabyte data indeholdende næsten 30 millioner poster på netværket. Forskerne bemærker, at biometriske oplysninger aldrig kan blive fortrolige efter en sådan læk. Blandt de virksomheder, hvis data blev lækket, var Power World Gyms, et fitnesscenter i Indien og Sri Lanka (113 brugerregistreringer inklusive fingeraftryk), Global Village, en årlig festival i UAE (796 fingeraftryk), Adecco Staffing, et belgisk rekrutteringsfirma (15) fingeraftryk). Lækagen påvirkede britiske brugere og virksomheder mest - millioner af personlige optegnelser var frit tilgængelige.
Betalingssystem Mastercard meddelte officielt belgiske og tyske tilsynsmyndigheder, at virksomheden den 19. august registrerede et læk af data fra et "stort antal" kunder, "hvoraf en betydelig del" er tyske statsborgere. Virksomheden oplyste, at den havde taget de nødvendige skridt og slettet alle personlige data om klienter, der var dukket op på internettet. Ifølge Mastercard er hændelsen relateret til loyalitetsprogrammet for et tysk tredjepartsfirma.
5.
I mellemtiden sover vores landsmænd heller ikke. Som de siger: "Tak til russiske jernbaner, men nej."
Læk af data fra ansatte ved russiske jernbaner, som , blev den næststørste i Rusland i 2019. SNILS-numre, adresser, telefonnumre, fotos, fulde navne og stillinger på 703 tusind russiske jernbaners ansatte ud af 730 tusind blev gjort offentligt tilgængelige.
Russian Railways tjekker publikationen og forbereder en appel til retshåndhævende myndigheder. Passagerernes personlige data blev ikke stjålet, forsikrer selskabet.
6.
Og netop i går annoncerede Imperva et læk af fortrolige oplysninger fra en række af sine kunder. Hændelsen påvirkede brugere af Imperva Cloud Web Application Firewall CDN-tjenesten, tidligere kendt som Incapsula. Ifølge en publikation på Impervas hjemmeside blev virksomheden opmærksom på hændelsen den 20. august i år efter en rapport om et datalæk for en række kunder, der havde konti i tjenesten før den 15. september 2017.
De kompromitterede oplysninger omfattede e-mail-adresser og hash-kodeord for brugere, der registrerede sig før den 15. september 2017, samt API-nøgler og SSL-certifikater fra nogle kunder. Virksomheden afslørede ikke detaljer om, hvordan datalækket præcist opstod. Brugere af Cloud WAF-tjenesten anbefales at ændre adgangskoder til deres konti, aktivere to-faktor-autentificering og implementere en enkelt log-on-mekanisme (Single Sign-On), samt downloade nye SSL-certifikater og nulstille API-nøgler.
Da vi indsamlede oplysninger til denne samling, dukkede en tanke ufrivilligt op: hvor mange vidunderlige lækager vil efteråret bringe os?
Hvad kan du ellers læse på bloggen?
→
→
→
→
→
Abonner på vores -kanal, for ikke at gå glip af næste artikel! Vi skriver ikke mere end to gange om ugen og kun på forretningsrejse.
Kilde: www.habr.com