2018 թվականին ամբողջ աշխարհում գրանցվել է գաղտնի տեղեկատվության արտահոսքի 2263 հրապարակային դեպք։ Անձնական տվյալները և վճարային տվյալները վտանգի են ենթարկվել միջադեպերի 86%-ում, ինչը կազմում է օգտատերերի տվյալների մոտ 7,3 միլիարդ գրառում: Ճապոնական Coincheck կրիպտո փոխանակումը կորցրել է 534 միլիոն դոլար՝ իր հաճախորդների առցանց դրամապանակների փոխզիջման արդյունքում։ Սա հաղորդված վնասի ամենամեծ չափն էր:
Դեռևս հայտնի չէ, թե ինչպիսի վիճակագրություն կլինի 2019թ. Բայց արդեն բավականին շատ են սենսացիոն «արտահոսքերը», և դա տխուր է: Մենք որոշեցինք վերանայել տարեսկզբից ամենաքննարկվող արտահոսքերը։ «Կլինեն ավելին», ինչպես ասում են:
Հունվարի 18. Հավաքածուի հիմքեր
Հունվարի 18-ին լրատվամիջոցներում սկսեցին հայտնվել հրապարակումներ հանրային սեփականությունում հայտնաբերված տվյալների բազայի մասին գաղտնաբառերով փոստարկղեր (ներառյալ Ռուսաստանից օգտվողները): Տվյալների բազան մի քանի տարիների ընթացքում կուտակված շուրջ երկու հազար տարբեր կայքերի արտահոսքի տվյալների բազաների հավաքածու էր: Որի համար ստացել է Collection #1 անվանումը։ Չափերով՝ այն պատմության մեջ կոտրված հասցեների թվով երկրորդ ամենամեծ բազան է (առաջինը Yahoo!-ի 1 միլիարդ օգտատերերի արխիվն էր, որը հայտնվել է 2013 թվականին)։
Շուտով պարզ դարձավ, որ #1 հավաքածուն տվյալների զանգվածի միայն մի մասն է, որը հայտնվել է հաքերների ձեռքում: Տեղեկատվական անվտանգության մասնագետները գտել են նաև այլ «Հավաքածուներ»՝ 2-ից 5 համարներով, և դրանց ընդհանուր ծավալը կազմել է 845 ԳԲ։ Տվյալների շտեմարանների գրեթե ողջ տեղեկատվությունը արդիական է, թեև որոշ մուտքեր և գաղտնաբառեր հնացած են:
Կիբերանվտանգության փորձագետ Բրայան Քրեբսը կապվել է արխիվները վաճառող հաքերի հետ և պարզել, որ թիվ 1 հավաքածուն արդեն մոտ երկու-երեք տարեկան է։ Ըստ հաքերի՝ նա ունի նաև վաճառքի ավելի նոր տվյալների բազաներ՝ ավելի քան չորս տերաբայթ ծավալով։
Փետրվարի 11. օգտատերերի տվյալների արտահոսք 16 խոշոր կայքերից
The Register-ի փետրվարի 11-ի հրատարակությունը որ Dream Market առևտրային հարթակը վաճառում է խոշոր ինտերնետային ծառայությունների 620 միլիոն օգտատերերի տվյալները.
- Dubsmash (162 միլիոն)
- MyFitnessPal (151 միլիոն)
- MyHeritage (92 միլիոն)
- ShareThis (41 միլիոն)
- HauteLook (28 միլիոն)
- Animoto (25 միլիոն)
- EyeEm (22 միլիոն)
- 8 պիտանի (20 միլիոն)
- Սպիտակ էջեր (18 միլիոն)
- Ֆոտոլոգ (16 միլիոն)
- 500 px (15 միլիոն)
- Armor Games (11 միլիոն)
- BookMate (8 միլիոն)
- CoffeeMeetsBagel (6 միլիոն)
- Artsy (1 միլիոն)
- DataCamp (700)
Հարձակվողները 20 հազար դոլար են խնդրել ամբողջ տվյալների բազայի համար, կարող են նաև գնել յուրաքանչյուր կայքի տվյալների արխիվը առանձին։
Բոլոր կայքերը կոտրվել են տարբեր ժամանակներում: Օրինակ՝ 500px ֆոտոպորտալը հայտնել է, որ արտահոսքը տեղի է ունեցել 5 թվականի հուլիսի 2018-ին, սակայն դրա մասին հայտնի է դարձել միայն տվյալների հետ արխիվի հայտնվելուց հետո։
Տվյալների բազա էլփոստի հասցեներ, օգտանուններ և գաղտնաբառեր: Այնուամենայնիվ, կա մեկ ուրախալի փաստ. գաղտնաբառերը հիմնականում այս կամ այն կերպ կոդավորված են: Այսինքն՝ դրանք օգտագործելու համար նախ պետք է ուղեղդ հավաքել տվյալների վերծանման մասին: Թեև, եթե գաղտնաբառը պարզ է, ապա դա միանգամայն հնարավոր է կռահել։
Փետրվարի 25. MongoDB տվյալների բազան բացահայտվեց
Փետրվարի 25, տեղեկատվական անվտանգության մասնագետ Բոբ Դյաչենկո առցանց, անապահով 150 ԳԲ MongoDB տվյալների բազա, որը պարունակում է ավելի քան 800 միլիոն անձնական տվյալների գրառումներ: Արխիվը պարունակում էր էլեկտրոնային հասցեներ, ազգանուններ, սեռի և ծննդյան ամսաթվի մասին տեղեկություններ, հեռախոսահամարներ, փոստային ինդեքսներ և հասցեներ, ինչպես նաև IP հասցեներ:
Խնդրահարույց տվյալների բազան պատկանում էր Verifications IO ՍՊԸ-ին, որը զբաղվում էր էլ.փոստի մարքեթինգով։ Նրա ծառայություններից մեկը կորպորատիվ էլ. նամակների ստուգումն էր: Հենց որ խնդրահարույց տվյալների բազայի մասին տեղեկություն հայտնվեց լրատվամիջոցներում, ընկերության կայքը և բուն տվյալների բազան անհասանելի դարձան։ Ավելի ուշ Verifications IO LLC-ի ներկայացուցիչները հայտարարեցին, որ տվյալների բազան չի պարունակում տվյալներ ընկերության հաճախորդներից և համալրվել է բաց աղբյուրներից:
Մարտի 10. Facebook-ի օգտատերերի տվյալների արտահոսքը FQuiz և Supertest հավելվածների միջոցով
մարտի 10-ի թողարկումը The Verge որ Facebook-ը դատական հայց է ներկայացրել երկու ուկրաինացի ծրագրավորողների՝ Գլեբ Սլուչևսկու և Անդրեյ Գորբաչովի դեմ։ Նրանց մեղադրանք է առաջադրվել օգտատերերի անձնական տվյալների գողության մեջ։
Մշակողները ստեղծել են հավելվածներ՝ թեստեր անցկացնելու համար։ Այս ծրագրերը տեղադրեցին բրաուզերի ընդլայնումներ, որոնք հավաքում էին օգտատիրոջ տվյալները: 2017-2018 թվականների ընթացքում չորս հավելվածներ, ներառյալ FQuiz-ը և Supertest-ը, կարողացել են գողանալ մոտավորապես 63 հազար օգտատերերի տվյալները։ Հիմնականում տուժել են օգտատերերը Ռուսաստանից և Ուկրաինայից։
Մարտի 21. Facebook-ի հարյուր միլիոնավոր գաղտնաբառեր չգաղտնագրված
Մարտի 21-ին լրագրող Բրայան Քրեբսը հայտնել է որ Facebook-ը երկար ժամանակ պահում էր միլիոնավոր գաղտնաբառեր չգաղտնագրված։ Ընկերության մոտ 20 աշխատակիցները կարող էին դիտել Facebook-ի 200-ից 600 միլիոն օգտատերերի գաղտնաբառերը, քանի որ դրանք պահվում էին պարզ տեքստային ձևաչափով: Այս անպաշտպան տվյալների բազայում ներառվել են նաև Instagram-ի որոշ գաղտնաբառեր: Շուտով սոցցանցն ինքը պաշտոնապես կհայտնվի տեղեկատվություն
Facebook-ի ճարտարագիտության, անվտանգության և գաղտնիության գծով փոխնախագահ Պեդրո Կանահուատին ասել է, որ գաղտնաբառերը չգաղտնագրված պահելու խնդիրը շտկվել է: Իսկ ընդհանրապես Facebook-ի մուտքի համակարգերը նախատեսված են գաղտնաբառերը անընթեռնելի դարձնելու համար։ Ընկերությունը ապացույցներ չի գտել, որ չգաղտնագրված գաղտնաբառերը սխալ են մուտք գործել:
Մարտի 21. Toyota-ի հաճախորդների տվյալների արտահոսք
Մարտի վերջին ճապոնական Toyota ավտոարտադրողը որ հաքերներին հաջողվել է գողանալ ընկերության մինչև 3,1 միլիոն հաճախորդների անձնական տվյալներ։ Մարտի 21-ին կոտրել են Toyota-ի առևտրային ստորաբաժանումների և հինգ դուստր ձեռնարկությունների համակարգերը։
Ընկերությունը չի բացահայտել, թե հաճախորդների ինչ անձնական տվյալներ են գողացել։ Այնուամենայնիվ, նա հայտարարել է, որ հարձակվողներին հասանելի չեն եղել բանկային քարտերի մասին տեղեկություններ:
Մարտի 21. Լիպեցկի շրջանի հիվանդների տվյալների հրապարակում EIS կայքում
Մարտի 21-ին «Հիվանդների հսկողություն» հասարակական շարժման ակտիվիստները. որ Լիպեցկի շրջանի առողջապահության վարչության կողմից EIS կայքում հրապարակված տեղեկատվության մեջ տրամադրվել են հիվանդների անձնական տվյալներ։
Կառավարության գնումների կայքում անհետաձգելի բժշկական ծառայությունների մատուցման մի քանի աճուրդներ են տեղադրվել. հիվանդները պետք է տեղափոխվեին մարզից դուրս գտնվող այլ հաստատություններ։ Նկարագրությունները պարունակում էին տեղեկություններ հիվանդի ազգանվան, տան հասցեի, ախտորոշման, ICD ծածկագրի, պրոֆիլի և այլնի մասին: Անհավատալի է, որ միայն վերջին մեկ տարվա ընթացքում (!) հիվանդների տվյալները հրապարակվել են ոչ պակաս, քան ութ անգամ:
Լիպեցկի շրջանի առողջապահության վարչության պետ Յուրի Շուրշուկովը հայտնել է, որ սկսվել է ներքին հետաքննություն, և ներողություն կխնդրեն հիվանդներից, որոնց տվյալները հրապարակվել են։ Լիպեցկի շրջանի դատախազությունը նույնպես սկսել է ստուգել միջադեպը։
Ապրիլի 04. Facebook-ի 540 միլիոն օգտատերերի տվյալների արտահոսք
UpGuard տեղեկատվական անվտանգության ընկերություն Facebook-ի ավելի քան 540 միլիոն օգտատերերի՝ հանրությանը հասանելի դարձած տվյալների մասին։
Սոցիալական ցանցի անդամների գրառումները՝ մեկնաբանություններով, հավանումներով և հաշիվների անուններով, հայտնաբերվել են մեքսիկական Cultura Colectiva թվային հարթակում: Իսկ այժմ չգործող At the Pool հավելվածում հասանելի էին անուններ, գաղտնաբառեր, էլ. հասցեներ և այլ տվյալներ:
Ապրիլի 10. Մոսկվայի շրջանի շտապօգնության հիվանդների տվյալների արտահոսքը համացանցում է
Ենթադրաբար, Մոսկվայի մարզի շտապ բժշկական օգնության կայաններում (EMS):. Իրավապահ մարմինները դեպքի վերաբերյալ հաղորդումների նախաքննական ստուգում են սկսել։
Ֆայլերի հոսթինգի ծառայություններից մեկում հայտնաբերվել է 17,8 ԳԲ ծավալով ֆայլ, որը պարունակում է տեղեկատվություն Մոսկվայի մարզում շտապօգնության կանչերի մասին։ Փաստաթուղթը պարունակում էր շտապօգնություն զանգահարած անձի անունը, կոնտակտային հեռախոսահամարը, հասցեն, որտեղ կանչվել էր թիմը, կանչի ամսաթիվը և ժամը, նույնիսկ հիվանդի վիճակը: Միտիշչիի, Դմիտրովի, Դոլգոպրուդնիի, Կորոլևի և Բալաշիխայի բնակիչների տվյալները խախտվել են։ Ենթադրվում է, որ բազան ստեղծվել է ուկրաինական հաքերային խմբի ակտիվիստների կողմից։
Ապրիլի 12՝ Կենտրոնական բանկի սև ցուցակ
Բանկի հաճախորդների տվյալները Կենտրոնական բանկի «փողերի լվացման դեմ պայքարի» օրենքի համաձայն մերժողների սև ցուցակից. ապրիլի 12. Խոսքը մոտ 120 հազար հաճախորդների տեղեկատվության մասին էր, որոնց ծառայությունը մերժել են փողերի լվացման և ահաբեկչության ֆինանսավորման դեմ պայքարի մասին օրենքի (115-FZ) համաձայն։
Տվյալների բազայի մեծ մասը բաղկացած է ֆիզիկական և անհատ ձեռնարկատերերից, մնացածը` իրավաբանական անձինք: Ֆիզիկական անձանց համար տվյալների բազան պարունակում է տեղեկատվություն նրանց լրիվ անվան, ծննդյան ամսաթվի, սերիայի և անձնագրի համարի մասին: Անհատ ձեռնարկատերերի մասին՝ լրիվ անվանումը և INN, ընկերությունների մասին՝ անվանումը, INN, OGRN: Բանկերից մեկը լրագրողներին ոչ պաշտոնապես խոստովանեց, որ ցուցակում ընդգրկված են իրական մերժված հաճախորդներ։ Տվյալների բազան ընդգրկում է «refuseniks»-ը 26 թվականի հունիսի 2017-ից մինչև 6 թվականի դեկտեմբերի 2017-ը։
Ապրիլի 15. հրապարակվել են հազարավոր ամերիկացի ոստիկանների և ՀԴԲ աշխատակիցների անձնական տվյալները
Կիբերհանցագործ խմբին հաջողվել է կոտրել ԱՄՆ Հետաքննությունների դաշնային բյուրոյի հետ կապված մի քանի կայքեր։ Եվ նա տասնյակ ֆայլեր է տեղադրել համացանցում՝ հազարավոր ոստիկանների և դաշնային գործակալների անձնական տվյալներով:
Օգտագործելով հանրությանը հասանելի շահագործումները՝ հարձակվողներին հաջողվել է մուտք ունենալ Quantico (Վիրջինիա) ՀԴԲ ակադեմիայի հետ կապված ասոցիացիայի ցանցային ռեսուրսներին: Դրա մասին TechCrunch- ը:
Գողացված արխիվը պարունակում էր ԱՄՆ իրավապահ մարմինների և դաշնային պաշտոնյաների անունները, նրանց հասցեները, հեռախոսահամարները, էլեկտրոնային փոստի և պաշտոնների մասին տեղեկություններ: Ընդհանուր առմամբ կան մոտ 4000 տարբեր գրառումներ:
Ապրիլի 25. Docker Hub օգտատերերի տվյալների արտահոսք
Կիբերհանցագործները մուտք են գործել աշխարհի ամենամեծ կոնտեյներային պատկերների գրադարանի՝ Docker Hub-ի տվյալների բազան, ինչի արդյունքում մոտ 190 հազար օգտատերերի տվյալները վտանգվել են: Տվյալների բազան պարունակում էր օգտանուններ, գաղտնաբառերի հեշեր և նշաններ GitHub և Bitbucket պահոցների համար, որոնք օգտագործվում էին ավտոմատացված Docker կառուցումների համար:
Docker Hub ադմինիստրացիա օգտատերերը՝ ուրբաթ՝ ապրիլի 26-ի ուշ տեղի ունեցած միջադեպի մասին։ Պաշտոնական տեղեկատվության համաձայն՝ տվյալների բազա չարտոնված մուտքի մասին հայտնի է դարձել ապրիլի 25-ին։ Միջադեպի հետաքննությունը դեռ չի ավարտվել։
Կարող եք նաև հիշել Doc+-ի հետ կապված պատմությունը, որը ոչ այնքան վաղուց էր Հաբրեի վրա՝ տհաճ քաղաքացիների վճարումներով ճանապարհային ոստիկանություն և FSSP և այլ արտահոսքեր, որոնք նա նկարագրում է .
Որպես եզրակացություն
Պետական կառույցների, սոցիալական ցանցերում և խոշոր կայքերում պահվող տվյալների անապահովությունը, ինչպես նաև գողության մասշտաբները սարսափելի են։ Ցավալի է նաև, որ արտահոսքերը սովորական են դարձել: Շատ մարդիկ, որոնց անձնական տվյալները խախտվել են, նույնիսկ չգիտեն այդ մասին: Իսկ եթե իմանան, իրենք իրենց պաշտպանելու համար ոչինչ չեն անի։
Source: www.habr.com