A 2018-as év a végéhez közeledik, ami azt jelenti, hogy ideje összegezni az eredményeket, és felsorolni a legjelentősebb adatszivárgásokat.
Ez az áttekintés csak igazán nagy mennyiségű információszivárgást tartalmaz világszerte. Azonban még a magas küszöbérték ellenére is olyan sok a szivárgás, hogy a felülvizsgálatot két részre kellett osztani - hat hónapra.
Nézzük, mi és hogyan szivárgott ki idén januártól júniusig. Rögtön le kell foglalnom, hogy az incidens hónapját nem a bekövetkezés időpontja, hanem a nyilvánosságra hozatal (nyilvános bejelentés) jelöli.
Akkor gyerünk...
Január
-
Kanadai Progresszív Konzervatív Párt
Feltörték a Kanadai Progresszív Konzervatív Párt (Ontariói ág) Alkotmányozó Információkezelő Rendszerét (CIMS).
Az ellopott adatbázis több mint 1 millió ontariói szavazó, valamint párttámogatók, adományozók és önkéntesek nevét, telefonszámát és egyéb személyes adatait tartalmazta. -
Rosobrnadzor
Az oklevelekkel és az azokat kísérő egyéb személyes adatokkal kapcsolatos információk kiszivárogtatása a Szövetségi Oktatási és Tudományos Felügyeleti Szolgálat webhelyéről.
Összességében körülbelül 14 millió rekord van a korábbi diákok adataival. Adatbázis mérete 5 GB.
Kiszivárgott: a diploma sorozata és száma, a felvétel éve, a diploma megszerzésének éve, SNILS, INN, útlevél sorozata és száma, születési dátum, állampolgárság, az okmányt kiállító oktatási szervezet. -
Norvég Regionális Egészségügyi Hatóság
A támadók feltörték a Dél- és Kelet-Norvégia Regionális Egészségügyi Hatóságának (Helse Sør-Øst RHF) rendszerét, és hozzáfértek mintegy 2.9 millió norvég (az ország lakosainak több mint fele) személyes adataihoz és egészségügyi feljegyzéseihez.
Az ellopott egészségügyi adatok között kormányzati, titkosszolgálati, katonai, politikai és más közéleti személyiségek adatai is szerepeltek.
Február
- Swisscom
A svájci Swisscom mobilszolgáltató elismerte, hogy mintegy 800 ezer ügyfelének személyes adatait veszélyeztették.
Ez érintette az ügyfelek nevét, címét, telefonszámát és születési idejét.
Március
-
Páncél alatt
Az Under Armour népszerű fitnesz- és táplálkozáskövető alkalmazása, a MyFitnessPal súlyos adatszivárgást szenvedett el. A cég szerint körülbelül 150 millió felhasználót érint.
A támadók felhasználónevekre, e-mail címekre és kivonatolt jelszavakra lettek figyelmesek. -
Orbitz
Expedia Inc. (az Orbitz tulajdonosa) azt mondta, hogy adatszivárgást fedezett fel egyik régi webhelyén, amely több ezer ügyfelet érint.
Becslések szerint a szivárgás mintegy 880 ezer bankkártyát érintett.
A támadó hozzáfért a 2016 januárja és 2017 decembere között végrehajtott vásárlások adataihoz. Az ellopott adatok között szerepel a születési dátum, a cím, a teljes név és a fizetési kártya adatai. -
MBM Company Inc
Nyilvános Amazon S3 tárolót (AWS) fedeztek fel, amely egy MS SQL adatbázis biztonsági másolatát tartalmazza az Egyesült Államokban és Kanadában élő 1.3 millió ember személyes adataival.
Az adatbázis a chicagói székhelyű, Limoges Jewelry márkanéven működő MBM Company Inc. ékszergyártó céghez tartozott.
Az adatbázis neveket, címeket, irányítószámokat, telefonszámokat, e-mail címeket, IP címeket és szöveges jelszavakat tartalmazott. Ezen kívül voltak az MBM Company Inc. belső levelezési listái, titkosított hitelkártyaadatok, fizetési adatok, promóciós kódok és termékrendelések.
Április
-
Delta Air Lines, Best Buy és Sears Holding Corp.
Speciális kártevők célzott támadása a [24]7.ai cég (egy kaliforniai San Jose-i cég, amely online ügyfélszolgálati alkalmazásokat fejleszt) online chat-alkalmazása ellen.
Kiszivárgott a teljes bankkártyaadat - kártyaszámok, CVV-kódok, lejárati dátumok, tulajdonosok neve és címe.
Csak a kiszivárgott adatok hozzávetőleges mennyisége ismert. A Sears Holding Corp. ez valamivel kevesebb, mint 100 ezer bankkártya, a Delta Air Lines esetében ez több százezer kártya (a légitársaság nem számol be pontosabban). A Best Buy feltört kártyáinak száma nem ismert. 26. szeptember 12. és október 2017. között minden kártya kiszivárgott.
A [24]7.ai-nak több mint 5 hónapba telt a szolgáltatása elleni támadás felfedezése után, hogy értesítse ügyfeleit (Delta, Best Buy és Sears) az incidensről. -
Panera kenyér
Egy több mint 37 millió vásárló személyes adatait tartalmazó fájl egyszerűen nyílt formában hevert egy népszerű pékáru-kávézólánc honlapján.
A kiszivárgott adatok között szerepeltek az ügyfelek nevei, e-mail címei, születési dátumai, levelezési címei és a hitelkártyaszámok utolsó négy számjegye. -
Saks, Lord és Taylor
Több mint 5 millió bankkártyát loptak el a Saks Fifth Avenue kiskereskedelmi láncoktól (köztük a Saks Fifth Avenue OFF 5TH lánctól) és a Lord & Taylortól.
A hackerek speciális szoftvereket használtak a pénztárgépekben és a PoS terminálokban a kártyaadatok ellopására. -
Careem
A közel-keleti, észak-afrikai, pakisztáni és törökországi körülbelül 14 millió ember személyes adatait lopták el hackerek a Careem (az Uber legnagyobb közel-keleti versenytársa) szerverei elleni kibertámadás során.
A vállalat feltörést fedezett fel a számítógépes rendszerben, amely 13 országban tárolja az ügyfelek és a járművezetők hitelesítő adatait.
Ellopták a neveket, e-mail címeket, telefonszámokat és utazási adatokat.
Május
- Dél-Afrika
Körülbelül 1 millió dél-afrikai személy személyes adatait tartalmazó adatbázisra bukkantak egy nyilvános webszerveren, amely a közlekedési bírságok elektronikus fizetését feldolgozó cég tulajdonában van.
Az adatbázis neveket, azonosító számokat, e-mail címeket és jelszavakat tartalmazott szöveges formában.
Június
-
Pontosan
Az amerikai floridai Exactis marketingcég egy körülbelül 2 terabájt méretű Elasticsearch adatbázist tartott nyilvánosan elérhetővé, amely több mint 340 millió rekordot tartalmazott.
Az adatbázisban mintegy 230 millió magánszemély (felnőtt) személyes adata és mintegy 110 millió különböző szervezet elérhetősége található.
Érdemes megjegyezni, hogy összesen mintegy 249.5 millió felnőtt él az Egyesült Államokban – vagyis elmondhatjuk, hogy az adatbázis minden amerikai felnőttről tartalmaz információkat. -
Sacramento Bee
Ismeretlen hackerek ellopták a The Sacramento Bee kaliforniai újság két adatbázisát.
Az első adatbázis 19.4 millió rekordot tartalmazott a kaliforniai szavazók személyes adataival.
A második adatbázis 53 ezer rekordot tartalmazott az újság-előfizetőkre vonatkozó adatokkal. -
Ticketfly
Az Eventbrite tulajdonában lévő Ticketfly koncertjegy-értékesítő szolgáltatás hackertámadásról számolt be adatbázisa ellen.
A szolgáltatás ügyfélkörét az IsHaKdZ hacker lopta el, és 7502 dollárt követelt bitcoinban annak el nem terjesztéséért.
Az adatbázis a Ticketfly ügyfeleinek, sőt a szolgáltatás néhány alkalmazottjának nevét, postai címét, telefonszámát és e-mail címét tartalmazta, összesen több mint 27 millió rekordot. -
MyHeritage
A MyHeritage izraeli genealógiai szolgálat 92 millió fiókja (bejelentkezési név, jelszókivonat) szivárgott ki. A szolgáltatás a felhasználók DNS-adatait tárolja és családfáikat építi fel. -
Dixons Carphone
Az Egyesült Királyságban és Cipruson kiskereskedelmi üzletekkel rendelkező Dixons Carphone elektronikai lánc közölte, hogy 1.2 millió vásárló személyes adatai, köztük nevek, címek és e-mail címek szivárogtak ki a cég informatikai infrastruktúrájához való jogosulatlan hozzáférés következtében.
Emellett 105 ezer beépített chip nélküli bankkártya száma is kiszivárgott.
Folytatás ...
A csatornán azonnal megjelennek a rendszeres hírek az egyes adatszivárogtatási esetekről .
Forrás: will.com