2018an, 2263 isilpeko informazio isurketa kasu publiko erregistratu ziren mundu osoan. Datu pertsonalak eta ordainketa-informazioa arriskuan jarri ziren gertaeren % 86an, hau da, 7,3 milioi erabiltzaile-datuen erregistro inguru. Coincheck kripto truke japoniarrak 534 milioi dolar galdu zituen bere bezeroen lineako zorroen konpromisoaren ondorioz. Hau izan da jakinarazitako kalterik handiena.
Oraindik ez da jakin zein izango diren 2019rako estatistikak. Baina dagoeneko "filtrazio" sentsaziozko asko daude, eta hori tristea da. Urte hasieratik gehien eztabaidatu diren filtrazioak berrikustea erabaki dugu. «Gehiago izango dira», diotenez.
Urtarrilak 18: Bilketa oinarriak
Urtarrilaren 18an, komunikabideen erreportajeak agertzen hasi ziren jabari publikoan aurkitutako datu-base bati buruz
Laster argi geratu zen Bilduma #1 hackerren eskuetan amaitzen zen datu-matrizearen zati bat baino ez zela. Informazioaren segurtasuneko espezialistek 2tik 5era bitarteko beste "Bildumak" batzuk ere aurkitu zituzten, eta haien bolumena guztira 845 GB-koa zen. Datu-baseetako informazio ia guztia eguneratuta dago, nahiz eta saio-hasiera eta pasahitz batzuk zaharkituta dauden.
Brian Krebs zibersegurtasuneko aditua artxiboak saltzen ari zen hackerrarekin harremanetan jarri zen eta jakin zuen Bilduma #1 jada bizpahiru urte inguru zituela. Hackerraren arabera, datu-base berriagoak ere baditu salgai, lau terabyte baino gehiagoko bolumena dutenak.
Otsailak 11: 16 gune nagusitako erabiltzaileen datuen filtrazioa
The Register-en otsailaren 11ko edizioa
- Dubsmash (162 milioi)
- MyFitnessPal (151 milioi)
- MyHeritage (92 milioi)
- ShareThis (41 milioi)
- HauteLook (28 milioi)
- Animoto (25 milioi)
- EyeEm (22 milioi)
- 8fit (20 milioi)
- Orri zuriak (18 milioi)
- Fotolog (16 milioi)
- 500 px (15 milioi)
- Armadura Jokoak (11 milioi)
- BookMate (8 milioi)
- CoffeeMeetsBagel (6 milioi)
- Artsy (milioi bat)
- DataCamp (700)
Erasotzaileek 20 mila dolar inguru eskatu zituzten datu-base osorako; gune bakoitzaren datu-artxiboa ere eros zezaketen bereizita.
Gune guztiak garai ezberdinetan pirateatu zituzten. Esaterako, 500px argazki atariak jakinarazi zuen filtrazioa 5ko uztailaren 2018ean gertatu zela, baina datuekin artxibo bat agertu ondoren baino ez zen ezagutu.
Datu baseak
Otsailak 25: MongoDB datu-basea ikusgai
Otsailak 25, Bob Dyachenko informazioaren segurtasun espezialista
Datu-base problematikoa Verifications IO LLCrena zen, posta elektroniko bidezko marketinean aritzen zena. Bere zerbitzuetako bat enpresen posta elektronikoak egiaztatzea zen. Komunikabideetan datu-base problematikoari buruzko informazioa agertu bezain laster, enpresaren webgunea eta datu-basea bera eskuraezin bihurtu ziren. Geroago, Verifications IO LLC-ko ordezkariek adierazi zuten datu-baseak ez zuela konpainiaren bezeroen daturik eta iturri irekietatik bete zela.
Martxoak 10: Facebook-eko erabiltzaileen datuak FQuiz eta Supertest aplikazioen bidez filtratu ziren
Martxoaren 10eko The Verge edizioa
Garatzaileek probak egiteko aplikazioak sortu zituzten. Programa hauek erabiltzaileen datuak biltzen zituzten arakatzailearen luzapenak instalatu zituzten. 2017-2018 bitartean, lau aplikazio, FQuiz eta Supertest barne, gutxi gorabehera 63 mila erabiltzaileren datuak lapurtu ahal izan zituzten. Errusiako eta Ukrainako erabiltzaileak gehienbat kaltetuak izan ziren.
Martxoak 21: Facebookeko ehunka milioi pasahitzak zifratu gabe
Martxoaren 21ean, Brian Krebs kazetariak jakinarazi zuen
Pedro Canahuati, Facebookeko ingeniaritza, segurtasun eta pribatutasuneko presidenteordeak, pasahitzak zifratu gabe gordetzearen arazoa konpondu dela esan du. Eta, oro har, Facebook-en saioa hasteko sistemak pasahitzak irakurezinak izan daitezen diseinatuta daude. Konpainiak ez zuen zifratu gabeko pasahitzak gaizki sartu zireneko frogarik aurkitu.
Martxoak 21: Toyota bezeroen datuen filtrazioa
Martxoaren amaieran, Toyota autogile japoniarra
Konpainiak ez zuen lapurtutako bezeroen datu pertsonalak lapurtu. Hala ere, adierazi zuen erasotzaileek ez zutela banku txartelei buruzko informaziorik eskuratu.
Martxoak 21: Lipetsk eskualdeko pazienteen datuak argitaratzea EIS webgunean
Martxoaren 21ean, "Pazientziaren Kontrola" mugimendu publikoko ekintzaileak
Larrialdietako mediku zerbitzuak eskaintzeko gobernuaren kontratazio webgunean hainbat enkante argitaratu ziren: gaixoak eskualdez kanpoko beste erakunde batzuetara eraman behar izan zituzten. Deskribapenek pazientearen abizena, etxeko helbidea, diagnostikoa, ICD kodea, profila eta abar buruzko informazioa jaso zuten. Izugarriki, pazienteen datuak ez dira zabalik argitaratu azken urtean soilik zortzi aldiz (!).
Lipetsk Eskualdeko Osasun Saileko buruak, Yuri Shurshukov-ek, esan zuen barne ikerketa bat abiatu zela eta barkamena eskatuko zaiela datuak argitaratu dituzten pazienteei. Lipetsk eskualdeko fiskaltza ere gertakaria egiaztatzen hasi zen.
Apirilak 04: Facebookeko 540 milioi erabiltzaileren datu-filtrazioa
Informazioaren segurtasuneko UpGuard enpresa
Mexikoko Cultura Colectiva plataforma digitalean iruzkinak, atseginak eta kontuen izenak dituzten sare sozialetako kideen argitalpenak aurkitu dira. Eta orain desagertuta dagoen At the Pool aplikazioan, izenak, pasahitzak, helbide elektronikoak eta bestelako datuak zeuden eskuragarri.
Apirilak 10: Mosku eskualdeko anbulantzia pazienteen datuak sarean filtratu ziren
Mosku eskualdeko larrialdietarako laguntza medikoen geltokietan (EMS), ustez
Moskuko eskualdeko anbulantzia-deiei buruzko informazioa duen 17,8 GB-ko fitxategi bat aurkitu zen fitxategiak ostatatzeko zerbitzuetako batean. Dokumentuak anbulantziara deitu zuen pertsonaren izena, harremanetarako telefono zenbakia, taldeari deitu zioten helbidea, deiaren data eta ordua, baita gaixoaren egoera ere. Mytishchi, Dmitrov, Dolgoprudny, Korolev eta Balashikha bizilagunen datuak arriskuan jarri ziren. Uste da Ukrainako hacker talde bateko aktibistek jarri zutela oinarria.
Apirilak 12: Banku Zentraleko zerrenda beltza
Banku-bezeroen datuak Banku Zentraleko banku-zerrenda beltzean dirua zuritzearen aurkako legearen arabera
Datu-basearen gehiengoa pertsona fisikoek eta banakako ekintzaileek osatzen dute, gainerakoak pertsona juridikoak dira. Pertsona fisikoentzat, datu-baseak bere izen-abizenak, jaiotze data, seriea eta pasaporte-zenbakiari buruzko informazioa dauka. Banakako ekintzaileei buruz - izen osoa eta INN, enpresei buruz - izena, INN, OGRN. Bankuetako batek ez-ofizialki onartu zien kazetariei zerrendan errefusatutako bezeroak zeudela. Datu-baseak 26ko ekainaren 2017tik 6ko abenduaren 2017ra bitarteko "refuseniks"-ak hartzen ditu.
Apirilak 15: Estatu Batuetako poliziaren eta FBIko milaka langileren datu pertsonalak argitaratu ziren
Ziberkriminal talde batek AEBetako Ikerketa Bulego Federalarekin lotutako hainbat webgune pirateatzea lortu zuen. Eta dozenaka fitxategi argitaratu zituen Interneten, milaka poliziaren eta agente federalen informazio pertsonalarekin.
Publikoki eskuragarri dauden ustiapenak erabiliz, erasotzaileek Quanticoko (Virginia) FBI Akademiarekin lotutako elkarte baten sareko baliabideetara sarbidea lortu zuten. Horri buruz
Lapurtutako artxiboak AEBetako lege betearazleen eta funtzionario federalen izenak, haien helbideak, telefono zenbakiak, posta elektronikoa eta karguei buruzko informazioa zituen. Guztira 4000 sarrera ezberdin inguru daude.
Apirilak 25: Docker Hub-eko erabiltzaileen datuen ihesa
Ziberkriminalek munduko edukiontzien irudi liburutegi handienaren datu-baserako sarbidea lortu zuten, Docker Hub, eta ondorioz, gutxi gorabehera 190 mila erabiltzaileren datuak arriskuan jarri ziren. Datu-baseak Docker eraikitze automatizatuetarako erabiltzen diren GitHub eta Bitbucket biltegietarako erabiltzaile-izenak, pasahitzen hash-ak eta tokenak zituen.
Docker Hub Administrazioa
Doc+-rekin ere gogoratu dezakezu istorioa, duela ez hain aspaldikoa
Ondorio gisa
Izugarria da gobernu-agentziek, sare sozialetan eta webgune handietan gordetako datuen segurtasun eza, baita lapurreten tamaina ere. Tristea da ere filtrazioak ohiko bihurtu izana. Datu pertsonalak arriskuan jarri dituzten pertsona askok ez dute horren berri ere ezagutzen. Eta badakite, ez dute ezer egingo beren burua babesteko.
Iturria: www.habr.com