Το έτος 2018 πλησιάζει στο τέλος του, πράγμα που σημαίνει ότι ήρθε η ώρα να συνοψίσουμε τα αποτελέσματά του και να απαριθμήσουμε τις πιο σημαντικές διαρροές δεδομένων.
Αυτή η ανασκόπηση περιλαμβάνει μόνο πραγματικά μεγάλες περιπτώσεις διαρροών πληροφοριών σε όλο τον κόσμο. Ωστόσο, ακόμη και παρά το υψηλό όριο αποκοπής, υπάρχουν τόσες πολλές περιπτώσεις διαρροών που η αναθεώρηση έπρεπε να χωριστεί σε δύο μέρη - κατά έξι μήνες.
Ας δούμε τι και πώς διέρρευσε φέτος από τον Ιανουάριο έως τον Ιούνιο. Επιτρέψτε μου να επιφυλάξω αμέσως ότι ο μήνας του συμβάντος δεν υποδεικνύεται από τη στιγμή που συνέβη, αλλά από τη στιγμή της αποκάλυψης (δημόσια ανακοίνωση).
Λοιπόν πάμε...
Ιανουάριος
-
Προοδευτικό Συντηρητικό Κόμμα Καναδά
Παραβιάστηκε το Σύστημα Διαχείρισης Πληροφοριακών Συστημάτων (CIMS) του Προοδευτικού Συντηρητικού Κόμματος του Καναδά (παράρτημα του Οντάριο).
Η κλεμμένη βάση δεδομένων περιείχε τα ονόματα, τους αριθμούς τηλεφώνου και άλλες προσωπικές πληροφορίες περισσότερων από 1 εκατομμυρίου ψηφοφόρων του Οντάριο, καθώς και υποστηρικτών, δωρητών και εθελοντών κομμάτων. -
Rosobrnadzor
Διαρροή πληροφοριών για πτυχία και άλλα προσωπικά δεδομένα που τα συνοδεύουν από τον ιστότοπο της Ομοσπονδιακής Υπηρεσίας Εποπτείας της Εκπαίδευσης και της Επιστήμης.
Συνολικά υπάρχουν περίπου 14 εκατομμύρια αρχεία με στοιχεία για πρώην μαθητές. Μέγεθος βάσης δεδομένων 5 GB.
Διέρρευσαν: σειρά και αριθμός διπλώματος, έτος εισαγωγής, έτος αποφοίτησης, SNILS, INN, σειρά και αριθμός διαβατηρίου, ημερομηνία γέννησης, εθνικότητα, εκπαιδευτικός οργανισμός που εξέδωσε το έγγραφο. -
Νορβηγική Περιφερειακή Υγειονομική Αρχή
Οι εισβολείς χάκαραν το σύστημα της Περιφερειακής Αρχής Υγείας της Νότιας και Ανατολικής Νορβηγίας (Helse Sør-Øst RHF) και απέκτησαν πρόσβαση στα προσωπικά δεδομένα και τα ιατρικά αρχεία περίπου 2.9 εκατομμυρίων Νορβηγών (περισσότεροι από τους μισούς κατοίκους της χώρας).
Τα κλεμμένα ιατρικά δεδομένα περιελάμβαναν πληροφορίες για κυβερνητικά, μυστικά, στρατιωτικά, πολιτικά και άλλα δημόσια πρόσωπα.
Φεβρουάριος
- Swisscom
Η ελβετική εταιρεία κινητής τηλεφωνίας Swisscom παραδέχτηκε ότι τα προσωπικά δεδομένα περίπου 800 χιλιάδων πελατών της παραβιάστηκαν.
Τα ονόματα, οι διευθύνσεις, οι αριθμοί τηλεφώνου και οι ημερομηνίες γέννησης των πελατών επηρεάστηκαν.
Μάρτιος
-
Under Armour
Η δημοφιλής εφαρμογή παρακολούθησης φυσικής κατάστασης και διατροφής της Under Armour MyFitnessPal υπέστη σημαντική παραβίαση δεδομένων. Σύμφωνα με την εταιρεία, επηρεάζονται περίπου 150 εκατομμύρια χρήστες.
Οι εισβολείς αντιλήφθηκαν τα ονόματα χρήστη, τις διευθύνσεις email και τους κατακερματισμένους κωδικούς πρόσβασης. -
Orbitz
Expedia Inc. (κατέχει την Orbitz) είπε ότι ανακάλυψε μια παραβίαση δεδομένων σε έναν από τους παραδοσιακούς ιστοτόπους της που επηρεάζει χιλιάδες πελάτες.
Υπολογίζεται ότι η διαρροή επηρέασε περίπου 880 χιλιάδες τραπεζικές κάρτες.
Ο εισβολέας απέκτησε πρόσβαση σε δεδομένα για αγορές που έγιναν μεταξύ Ιανουαρίου 2016 και Δεκεμβρίου 2017. Οι πληροφορίες που έχουν κλαπεί περιλαμβάνουν ημερομηνίες γέννησης, διευθύνσεις, πλήρη ονόματα και στοιχεία κάρτας πληρωμής. -
MBM Company Inc
Ένας δημόσιος χώρος αποθήκευσης Amazon S3 (AWS) που περιέχει ένα αντίγραφο ασφαλείας μιας βάσης δεδομένων MS SQL με προσωπικές πληροφορίες 1.3 εκατομμυρίων ανθρώπων που ζουν στις Ηνωμένες Πολιτείες και τον Καναδά, ανακαλύφθηκε σε δημόσιο τομέα.
Η βάση δεδομένων ανήκε στην MBM Company Inc, μια εταιρεία κοσμημάτων που εδρεύει στο Σικάγο και λειτουργεί με την επωνυμία Limoges Jewelry.
Η βάση δεδομένων περιείχε ονόματα, διευθύνσεις, ταχυδρομικούς κώδικες, αριθμούς τηλεφώνου, διευθύνσεις email, διευθύνσεις IP και κωδικούς πρόσβασης κειμένου. Επιπλέον, υπήρχαν εσωτερικές λίστες αλληλογραφίας της MBM Company Inc, κρυπτογραφημένα δεδομένα πιστωτικών καρτών, δεδομένα πληρωμής, κωδικοί προσφοράς και παραγγελίες προϊόντων.
Απρίλιος
-
Delta Air Lines, Best Buy και Sears Holding Corp.
Στοχευμένη επίθεση ειδικού κακόβουλου λογισμικού στην εφαρμογή διαδικτυακής συνομιλίας της εταιρείας [24]7.ai (εταιρεία από την Καλιφόρνια από το Σαν Χοσέ που αναπτύσσει εφαρμογές για online εξυπηρέτηση πελατών).
Διέρρευσαν πλήρη στοιχεία τραπεζικών καρτών - αριθμοί καρτών, κωδικοί CVV, ημερομηνίες λήξης, ονόματα και διευθύνσεις ιδιοκτητών.
Μόνο η κατά προσέγγιση ποσότητα των δεδομένων που διέρρευσαν είναι γνωστή. Για τη Sears Holding Corp. πρόκειται για κάτι λιγότερο από 100 χιλιάδες τραπεζικές κάρτες· για την Delta Air Lines πρόκειται για εκατοντάδες χιλιάδες κάρτες (η αεροπορική εταιρεία δεν αναφέρει ακριβέστερα). Ο αριθμός των παραβιασμένων καρτών για το Best Buy είναι άγνωστος. Όλες οι κάρτες διέρρευσαν μεταξύ 26 Σεπτεμβρίου και 12 Οκτωβρίου 2017.
Η [24]7.ai χρειάστηκε περισσότερους από 5 μήνες μετά την ανακάλυψη της επίθεσης στην υπηρεσία της για να ειδοποιήσει τους πελάτες (Delta, Best Buy και Sears) για το περιστατικό. -
Panera Bread
Ένα αρχείο με προσωπικά δεδομένα περισσότερων από 37 εκατομμυρίων πελατών βρισκόταν απλώς σε ανοιχτή μορφή στον ιστότοπο μιας αλυσίδας δημοφιλών καφέ αρτοποιείων.
Τα δεδομένα που διέρρευσαν περιελάμβαναν ονόματα πελατών, διευθύνσεις email, ημερομηνίες γέννησης, ταχυδρομικές διευθύνσεις και τα τέσσερα τελευταία ψηφία των αριθμών πιστωτικών καρτών. -
Saks, Lord & Taylor
Περισσότερες από 5 εκατομμύρια τραπεζικές κάρτες κλάπηκαν από τις αλυσίδες λιανικής Saks Fifth Avenue (συμπεριλαμβανομένης της αλυσίδας Saks Fifth Avenue OFF 5TH) και Lord & Taylor.
Οι χάκερ χρησιμοποίησαν ειδικό λογισμικό σε ταμειακές μηχανές και τερματικά PoS για να κλέψουν δεδομένα καρτών. -
Φροντίζουμε
Τα προσωπικά δεδομένα περίπου 14 εκατομμυρίων ανθρώπων στη Μέση Ανατολή, τη Βόρεια Αφρική, το Πακιστάν και την Τουρκία κλάπηκαν από χάκερ σε μια κυβερνοεπίθεση στους διακομιστές της Careem (του μεγαλύτερου ανταγωνιστή της Uber στη Μέση Ανατολή).
Η εταιρεία ανακάλυψε μια παραβίαση στο σύστημα υπολογιστή που αποθηκεύει διαπιστευτήρια για πελάτες και οδηγούς σε 13 χώρες.
Ονόματα, διευθύνσεις email, αριθμοί τηλεφώνου και ταξιδιωτικά δεδομένα κλάπηκαν.
Μαΐου
- Νότια Αφρική
Μια βάση δεδομένων που περιέχει τα προσωπικά δεδομένα περίπου 1 εκατομμυρίου Νοτιοαφρικανών ανακαλύφθηκε σε δημόσιο διακομιστή ιστού που ανήκει σε εταιρεία που επεξεργάζεται ηλεκτρονικές πληρωμές για πρόστιμα κυκλοφορίας.
Η βάση δεδομένων περιείχε ονόματα, αριθμούς αναγνώρισης, διευθύνσεις email και κωδικούς πρόσβασης σε μορφή κειμένου.
Ιούνιος
-
Exactis
Η εταιρεία μάρκετινγκ Exactis από τη Φλόριντα των ΗΠΑ διατήρησε μια βάση δεδομένων Elasticsearch μεγέθους περίπου 2 terabyte που περιείχε περισσότερες από 340 εκατομμύρια εγγραφές δημόσια διαθέσιμες.
Στη βάση δεδομένων βρέθηκαν περίπου 230 εκατομμύρια προσωπικά δεδομένα ατόμων (ενηλίκων) και περίπου 110 εκατομμύρια επαφές διαφόρων οργανισμών.
Αξίζει να σημειωθεί ότι συνολικά στις Ηνωμένες Πολιτείες ζουν περίπου 249.5 εκατομμύρια ενήλικες - μπορούμε δηλαδή να πούμε ότι η βάση δεδομένων περιέχει πληροφορίες για κάθε ενήλικα Αμερικανό. -
Sacramento Bee
Άγνωστοι χάκερ έκλεψαν δύο βάσεις δεδομένων που ανήκουν στην καλιφορνέζικη εφημερίδα The Sacramento Bee.
Η πρώτη βάση δεδομένων περιείχε 19.4 εκατομμύρια αρχεία με προσωπικά δεδομένα ψηφοφόρων της Καλιφόρνια.
Η δεύτερη βάση δεδομένων περιείχε 53 χιλιάδες αρχεία με πληροφορίες για συνδρομητές εφημερίδων. -
Εισιτήριο
Η Ticketfly, μια υπηρεσία πώλησης εισιτηρίων συναυλιών που ανήκει στην Eventbrite, ανέφερε επίθεση χάκερ στη βάση δεδομένων της.
Η βάση πελατών της υπηρεσίας κλάπηκε από τον χάκερ IsHaKdZ, ο οποίος ζήτησε 7502 δολάρια σε bitcoin για τη μη διανομή της.
Η βάση δεδομένων περιείχε τα ονόματα, τις ταχυδρομικές διευθύνσεις, τους αριθμούς τηλεφώνου και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών της Ticketfly, ακόμη και ορισμένων από τους υπαλλήλους της υπηρεσίας, συνολικά πάνω από 27 εκατομμύρια αρχεία. -
MyHeritage
Διέρρευσαν 92 εκατομμύρια λογαριασμοί (logins, hash κωδικών πρόσβασης) της ισραηλινής γενεαλογικής υπηρεσίας MyHeritage. Η υπηρεσία αποθηκεύει πληροφορίες DNA των χρηστών και δημιουργεί τα οικογενειακά τους δέντρα. -
Carphone Dixons
Η αλυσίδα ηλεκτρονικών Dixons Carphone, η οποία διαθέτει καταστήματα λιανικής στο Ηνωμένο Βασίλειο και την Κύπρο, δήλωσε ότι τα προσωπικά δεδομένα 1.2 εκατομμυρίων πελατών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων και διευθύνσεων email, διέρρευσαν ως αποτέλεσμα μη εξουσιοδοτημένης πρόσβασης στην υποδομή πληροφορικής της εταιρείας.
Επιπλέον, διέρρευσαν οι αριθμοί των 105 χιλιάδων τραπεζικών καρτών χωρίς ενσωματωμένο τσιπ.
Για να συνεχιστεί ...
Τακτικές ειδήσεις για μεμονωμένες περιπτώσεις διαρροής δεδομένων δημοσιεύονται αμέσως στο κανάλι .
Πηγή: www.habr.com