Das Jahr 2018 neigt sich dem Ende zu und es ist an der Zeit, die Ergebnisse zusammenzufassen und die bedeutendsten Datenlecks aufzulisten.
Diese Überprüfung umfasst nur wirklich große Fälle von Informationslecks auf der ganzen Welt. Doch trotz der hohen Cut-off-Schwelle gibt es so viele Fälle von Leaks, dass die Überprüfung in zwei Teile – jeweils nach sechs Monaten – aufgeteilt werden musste.
Schauen wir uns an, was und wie dieses Jahr von Januar bis Juni durchgesickert ist. Lassen Sie mich gleich einen Vorbehalt anbringen, dass der Monat des Vorfalls nicht durch den Zeitpunkt seines Auftretens, sondern durch den Zeitpunkt der Offenlegung (öffentliche Bekanntmachung) angegeben wird.
So lass uns gehen...
Januar
-
Progressive Konservative Partei Kanadas
Das Constituent Information Management System (CIMS) der Progressive Conservative Party of Canada (Zweigstelle Ontario) wurde gehackt.
Die gestohlene Datenbank enthielt die Namen, Telefonnummern und andere persönliche Informationen von mehr als einer Million Wählern in Ontario sowie von Parteiunterstützern, Spendern und Freiwilligen. -
Rosobrnadzor
Weitergabe von Informationen über Diplome und andere dazugehörige personenbezogene Daten von der Website des Föderalen Dienstes für die Aufsicht über Bildung und Wissenschaft.
Insgesamt gibt es etwa 14 Millionen Datensätze mit Daten ehemaliger Studierender. Datenbankgröße 5 GB.
Durchgesickert: Serie und Nummer des Diploms, Jahr der Zulassung, Jahr des Abschlusses, SNILS, INN, Serie und Nummer des Reisepasses, Geburtsdatum, Nationalität, Bildungseinrichtung, die das Dokument ausgestellt hat. -
Norwegische regionale Gesundheitsbehörde
Die Angreifer hackten das System der regionalen Gesundheitsbehörde Süd- und Ostnorwegens (Helse Sør-Øst RHF) und verschafften sich Zugang zu den persönlichen Daten und Krankenakten von etwa 2.9 Millionen Norwegern (mehr als der Hälfte aller Einwohner des Landes).
Zu den gestohlenen medizinischen Daten gehörten Informationen über Regierungs-, Geheimdienst-, Militär-, politische und andere Persönlichkeiten des öffentlichen Lebens.
Februar
- Swisscom
Der Schweizer Mobilfunkanbieter Swisscom gab zu, dass die persönlichen Daten von rund 800 seiner Kunden kompromittiert wurden.
Betroffen waren Namen, Adressen, Telefonnummern und Geburtsdaten der Kunden.
März
-
Under Armour
Bei der beliebten Fitness- und Ernährungs-Tracking-App MyFitnessPal von Under Armour kam es zu einem schwerwiegenden Datenverstoß. Nach Angaben des Unternehmens sind rund 150 Millionen Nutzer betroffen.
Den Angreifern wurden Benutzernamen, E-Mail-Adressen und gehashte Passwörter bekannt. -
Orbitz
Expedia Inc. (Eigentümer von Orbitz) sagte, es habe einen Datenverstoß auf einer seiner alten Websites entdeckt, der Tausende von Kunden betraf.
Es wird geschätzt, dass das Leck etwa 880 Bankkarten betraf.
Der Angreifer verschaffte sich Zugriff auf Daten zu Einkäufen, die zwischen Januar 2016 und Dezember 2017 getätigt wurden. Zu den gestohlenen Informationen gehören Geburtsdaten, Adressen, vollständige Namen und Zahlungskarteninformationen. -
MBM Company Inc
Ein öffentlicher Amazon S3-Speicher (AWS), der eine Sicherungskopie einer MS SQL-Datenbank mit persönlichen Daten von 1.3 Millionen Menschen in den Vereinigten Staaten und Kanada enthält, wurde im öffentlichen Bereich entdeckt.
Die Datenbank gehörte MBM Company Inc, einem Schmuckunternehmen mit Sitz in Chicago, das unter dem Markennamen Limoges Jewelry firmiert.
Die Datenbank enthielt Namen, Adressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen, IP-Adressen und Textpasswörter. Darüber hinaus gab es interne Mailinglisten der MBM Company Inc, verschlüsselte Kreditkartendaten, Zahlungsdaten, Aktionscodes und Produktbestellungen.
April
-
Delta Air Lines, Best Buy und Sears Holding Corp.
Gezielter Angriff einer speziellen Schadsoftware auf die Online-Chat-Anwendung des Unternehmens [24]7.ai (ein kalifornisches Unternehmen aus San Jose, das Anwendungen für den Online-Kundenservice entwickelt).
Vollständige Bankkartendaten wurden durchgesickert – Kartennummern, CVV-Codes, Ablaufdaten, Namen und Adressen der Besitzer.
Es ist nur die ungefähre Menge der durchgesickerten Daten bekannt. Für Sears Holding Corp. Das sind etwas weniger als 100 Bankkarten, bei Delta Air Lines sind es Hunderttausende Karten (genauere Angaben macht die Airline nicht). Die Anzahl der kompromittierten Karten für Best Buy ist unbekannt. Alle Karten wurden zwischen dem 26. September und dem 12. Oktober 2017 geleakt.
Es dauerte mehr als fünf Monate, bis [24]7.ai den Angriff auf seinen Dienst entdeckte, um Kunden (Delta, Best Buy und Sears) über den Vorfall zu informieren. -
Panera Bread
Eine Datei mit persönlichen Daten von mehr als 37 Millionen Kunden lag einfach offen auf der Website einer beliebten Bäckerei-Café-Kette.
Zu den durchgesickerten Daten gehörten Kundennamen, E-Mail-Adressen, Geburtsdaten, Postanschriften und die letzten vier Ziffern von Kreditkartennummern. -
Saks, Lord & Taylor
Mehr als 5 Millionen Bankkarten wurden den Einzelhandelsketten Saks Fifth Avenue (einschließlich der Kette Saks Fifth Avenue OFF 5TH) und Lord & Taylor gestohlen.
Hacker nutzten spezielle Software in Kassen und PoS-Terminals, um Kartendaten zu stehlen. -
Careem
Die persönlichen Daten von rund 14 Millionen Menschen im Nahen Osten, Nordafrika, Pakistan und der Türkei wurden von Hackern bei einem Cyberangriff auf die Server von Careem (Ubers größter Konkurrent im Nahen Osten) gestohlen.
Das Unternehmen entdeckte eine Lücke im Computersystem, das Anmeldedaten von Kunden und Fahrern in 13 Ländern speichert.
Namen, E-Mail-Adressen, Telefonnummern und Reisedaten wurden gestohlen.
Mai
- Südafrika
Auf einem öffentlichen Webserver eines Unternehmens, das elektronische Zahlungen für Verkehrsstrafen abwickelt, wurde eine Datenbank mit den persönlichen Daten von etwa einer Million Südafrikanern entdeckt.
Die Datenbank enthielt Namen, Identifikationsnummern, E-Mail-Adressen und Passwörter in Textform.
Juni
-
Genau
Das Marketingunternehmen Exactis aus Florida, USA, unterhielt eine etwa 2 Terabyte große Elasticsearch-Datenbank mit mehr als 340 Millionen öffentlich zugänglichen Datensätzen.
In der Datenbank wurden etwa 230 Millionen personenbezogene Daten von Einzelpersonen (Erwachsenen) und etwa 110 Millionen Kontakte verschiedener Organisationen gefunden.
Es ist erwähnenswert, dass in den Vereinigten Staaten insgesamt etwa 249.5 Millionen Erwachsene leben – das heißt, wir können sagen, dass die Datenbank Informationen über jeden amerikanischen Erwachsenen enthält. -
Sacramento Bee
Unbekannte Hacker haben zwei Datenbanken der kalifornischen Zeitung The Sacramento Bee gestohlen.
Die erste Datenbank enthielt 19.4 Millionen Datensätze mit persönlichen Daten kalifornischer Wähler.
Die zweite Datenbank enthielt 53 Datensätze mit Informationen über Zeitungsabonnenten. -
Ticketfly
Ticketfly, ein Konzertkartenverkaufsdienst von Eventbrite, meldete einen Hackerangriff auf seine Datenbank.
Der Kundenstamm des Dienstes wurde vom Hacker IsHaKdZ gestohlen, der für die Nichtverbreitung Bitcoins im Wert von 7502 US-Dollar verlangte.
Die Datenbank enthielt die Namen, Postanschriften, Telefonnummern und E-Mail-Adressen von Ticketfly-Kunden und sogar einigen Mitarbeitern des Dienstes, insgesamt also mehr als 27 Millionen Datensätze. -
MyHeritage
92 Millionen Konten (Logins, Passwort-Hashes) des israelischen genealogischen Dienstes MyHeritage sind durchgesickert. Der Dienst speichert DNA-Informationen der Benutzer und erstellt deren Stammbäume. -
Dixons Autotelefon
Die Elektronikkette Dixons Carphone, die über Einzelhandelsgeschäfte in Großbritannien und Zypern verfügt, sagte, dass die persönlichen Daten von 1.2 Millionen Kunden, darunter Namen, Adressen und E-Mail-Adressen, durch unbefugten Zugriff auf die IT-Infrastruktur des Unternehmens preisgegeben wurden.
Darüber hinaus wurden die Nummern von 105 Bankkarten ohne eingebauten Chip durchgesickert.
To be continued ...
Regelmäßige Neuigkeiten zu einzelnen Fällen von Datenlecks werden zeitnah auf dem Kanal veröffentlicht .
Source: habr.com