2018 թվականին ամբողջ աշխարհում գրանցվել է գաղտնի տեղեկատվության արտահոսքի 2263 հրապարակային դեպք։ Անձնական տվյալները և վճարային տվյալները վտանգի են ենթարկվել միջադեպերի 86%-ում, ինչը կազմում է օգտատերերի տվյալների մոտ 7,3 միլիարդ գրառում: Ճապոնական Coincheck կրիպտո փոխանակումը կորցրել է 534 միլիոն դոլար՝ իր հաճախորդների առցանց դրամապանակների փոխզիջման արդյունքում։ Սա հաղորդված վնասի ամենամեծ չափն էր:
Դեռևս հայտնի չէ, թե ինչպիսի վիճակագրություն կլինի 2019թ. Բայց արդեն բավականին շատ են սենսացիոն «արտահոսքերը», և դա տխուր է: Մենք որոշեցինք վերանայել տարեսկզբից ամենաքննարկվող արտահոսքերը։ «Կլինեն ավելին», ինչպես ասում են:
Հունվարի 18. Հավաքածուի հիմքեր
Հունվարի 18-ին լրատվամիջոցներում սկսեցին հայտնվել հրապարակումներ հանրային սեփականությունում հայտնաբերված տվյալների բազայի մասին
Շուտով պարզ դարձավ, որ #1 հավաքածուն տվյալների զանգվածի միայն մի մասն է, որը հայտնվել է հաքերների ձեռքում: Տեղեկատվական անվտանգության մասնագետները գտել են նաև այլ «Հավաքածուներ»՝ 2-ից 5 համարներով, և դրանց ընդհանուր ծավալը կազմել է 845 ԳԲ։ Տվյալների շտեմարանների գրեթե ողջ տեղեկատվությունը արդիական է, թեև որոշ մուտքեր և գաղտնաբառեր հնացած են:
Կիբերանվտանգության փորձագետ Բրայան Քրեբսը կապվել է արխիվները վաճառող հաքերի հետ և պարզել, որ թիվ 1 հավաքածուն արդեն մոտ երկու-երեք տարեկան է։ Ըստ հաքերի՝ նա ունի նաև վաճառքի ավելի նոր տվյալների բազաներ՝ ավելի քան չորս տերաբայթ ծավալով։
Փետրվարի 11. օգտատերերի տվյալների արտահոսք 16 խոշոր կայքերից
The Register-ի փետրվարի 11-ի հրատարակությունը
- Dubsmash (162 միլիոն)
- MyFitnessPal (151 միլիոն)
- MyHeritage (92 միլիոն)
- ShareThis (41 միլիոն)
- HauteLook (28 միլիոն)
- Animoto (25 միլիոն)
- EyeEm (22 միլիոն)
- 8 պիտանի (20 միլիոն)
- Սպիտակ էջեր (18 միլիոն)
- Ֆոտոլոգ (16 միլիոն)
- 500 px (15 միլիոն)
- Armor Games (11 միլիոն)
- BookMate (8 միլիոն)
- CoffeeMeetsBagel (6 միլիոն)
- Artsy (1 միլիոն)
- DataCamp (700)
Հարձակվողները 20 հազար դոլար են խնդրել ամբողջ տվյալների բազայի համար, կարող են նաև գնել յուրաքանչյուր կայքի տվյալների արխիվը առանձին։
Բոլոր կայքերը կոտրվել են տարբեր ժամանակներում: Օրինակ՝ 500px ֆոտոպորտալը հայտնել է, որ արտահոսքը տեղի է ունեցել 5 թվականի հուլիսի 2018-ին, սակայն դրա մասին հայտնի է դարձել միայն տվյալների հետ արխիվի հայտնվելուց հետո։
Տվյալների բազա
Փետրվարի 25. MongoDB տվյալների բազան բացահայտվեց
Փետրվարի 25, տեղեկատվական անվտանգության մասնագետ Բոբ Դյաչենկո
Խնդրահարույց տվյալների բազան պատկանում էր Verifications IO ՍՊԸ-ին, որը զբաղվում էր էլ.փոստի մարքեթինգով։ Նրա ծառայություններից մեկը կորպորատիվ էլ. նամակների ստուգումն էր: Հենց որ խնդրահարույց տվյալների բազայի մասին տեղեկություն հայտնվեց լրատվամիջոցներում, ընկերության կայքը և բուն տվյալների բազան անհասանելի դարձան։ Ավելի ուշ Verifications IO LLC-ի ներկայացուցիչները հայտարարեցին, որ տվյալների բազան չի պարունակում տվյալներ ընկերության հաճախորդներից և համալրվել է բաց աղբյուրներից:
Մարտի 10. Facebook-ի օգտատերերի տվյալների արտահոսքը FQuiz և Supertest հավելվածների միջոցով
մարտի 10-ի թողարկումը The Verge
Մշակողները ստեղծել են հավելվածներ՝ թեստեր անցկացնելու համար։ Այս ծրագրերը տեղադրեցին բրաուզերի ընդլայնումներ, որոնք հավաքում էին օգտատիրոջ տվյալները: 2017-2018 թվականների ընթացքում չորս հավելվածներ, ներառյալ FQuiz-ը և Supertest-ը, կարողացել են գողանալ մոտավորապես 63 հազար օգտատերերի տվյալները։ Հիմնականում տուժել են օգտատերերը Ռուսաստանից և Ուկրաինայից։
Մարտի 21. Facebook-ի հարյուր միլիոնավոր գաղտնաբառեր չգաղտնագրված
Մարտի 21-ին լրագրող Բրայան Քրեբսը հայտնել է
Facebook-ի ճարտարագիտության, անվտանգության և գաղտնիության գծով փոխնախագահ Պեդրո Կանահուատին ասել է, որ գաղտնաբառերը չգաղտնագրված պահելու խնդիրը շտկվել է: Իսկ ընդհանրապես Facebook-ի մուտքի համակարգերը նախատեսված են գաղտնաբառերը անընթեռնելի դարձնելու համար։ Ընկերությունը ապացույցներ չի գտել, որ չգաղտնագրված գաղտնաբառերը սխալ են մուտք գործել:
Մարտի 21. Toyota-ի հաճախորդների տվյալների արտահոսք
Մարտի վերջին ճապոնական Toyota ավտոարտադրողը
Ընկերությունը չի բացահայտել, թե հաճախորդների ինչ անձնական տվյալներ են գողացել։ Այնուամենայնիվ, նա հայտարարել է, որ հարձակվողներին հասանելի չեն եղել բանկային քարտերի մասին տեղեկություններ:
Մարտի 21. Լիպեցկի շրջանի հիվանդների տվյալների հրապարակում EIS կայքում
Մարտի 21-ին «Հիվանդների հսկողություն» հասարակական շարժման ակտիվիստները.
Կառավարության գնումների կայքում անհետաձգելի բժշկական ծառայությունների մատուցման մի քանի աճուրդներ են տեղադրվել. հիվանդները պետք է տեղափոխվեին մարզից դուրս գտնվող այլ հաստատություններ։ Նկարագրությունները պարունակում էին տեղեկություններ հիվանդի ազգանվան, տան հասցեի, ախտորոշման, ICD ծածկագրի, պրոֆիլի և այլնի մասին: Անհավատալի է, որ միայն վերջին մեկ տարվա ընթացքում (!) հիվանդների տվյալները հրապարակվել են ոչ պակաս, քան ութ անգամ:
Լիպեցկի շրջանի առողջապահության վարչության պետ Յուրի Շուրշուկովը հայտնել է, որ սկսվել է ներքին հետաքննություն, և ներողություն կխնդրեն հիվանդներից, որոնց տվյալները հրապարակվել են։ Լիպեցկի շրջանի դատախազությունը նույնպես սկսել է ստուգել միջադեպը։
Ապրիլի 04. Facebook-ի 540 միլիոն օգտատերերի տվյալների արտահոսք
UpGuard տեղեկատվական անվտանգության ընկերություն
Սոցիալական ցանցի անդամների գրառումները՝ մեկնաբանություններով, հավանումներով և հաշիվների անուններով, հայտնաբերվել են մեքսիկական Cultura Colectiva թվային հարթակում: Իսկ այժմ չգործող At the Pool հավելվածում հասանելի էին անուններ, գաղտնաբառեր, էլ. հասցեներ և այլ տվյալներ:
Ապրիլի 10. Մոսկվայի շրջանի շտապօգնության հիվանդների տվյալների արտահոսքը համացանցում է
Ենթադրաբար, Մոսկվայի մարզի շտապ բժշկական օգնության կայաններում (EMS):
Ֆայլերի հոսթինգի ծառայություններից մեկում հայտնաբերվել է 17,8 ԳԲ ծավալով ֆայլ, որը պարունակում է տեղեկատվություն Մոսկվայի մարզում շտապօգնության կանչերի մասին։ Փաստաթուղթը պարունակում էր շտապօգնություն զանգահարած անձի անունը, կոնտակտային հեռախոսահամարը, հասցեն, որտեղ կանչվել էր թիմը, կանչի ամսաթիվը և ժամը, նույնիսկ հիվանդի վիճակը: Միտիշչիի, Դմիտրովի, Դոլգոպրուդնիի, Կորոլևի և Բալաշիխայի բնակիչների տվյալները խախտվել են։ Ենթադրվում է, որ բազան ստեղծվել է ուկրաինական հաքերային խմբի ակտիվիստների կողմից։
Ապրիլի 12՝ Կենտրոնական բանկի սև ցուցակ
Բանկի հաճախորդների տվյալները Կենտրոնական բանկի «փողերի լվացման դեմ պայքարի» օրենքի համաձայն մերժողների սև ցուցակից.
Տվյալների բազայի մեծ մասը բաղկացած է ֆիզիկական և անհատ ձեռնարկատերերից, մնացածը` իրավաբանական անձինք: Ֆիզիկական անձանց համար տվյալների բազան պարունակում է տեղեկատվություն նրանց լրիվ անվան, ծննդյան ամսաթվի, սերիայի և անձնագրի համարի մասին: Անհատ ձեռնարկատերերի մասին՝ լրիվ անվանումը և INN, ընկերությունների մասին՝ անվանումը, INN, OGRN: Բանկերից մեկը լրագրողներին ոչ պաշտոնապես խոստովանեց, որ ցուցակում ընդգրկված են իրական մերժված հաճախորդներ։ Տվյալների բազան ընդգրկում է «refuseniks»-ը 26 թվականի հունիսի 2017-ից մինչև 6 թվականի դեկտեմբերի 2017-ը։
Ապրիլի 15. հրապարակվել են հազարավոր ամերիկացի ոստիկանների և ՀԴԲ աշխատակիցների անձնական տվյալները
Կիբերհանցագործ խմբին հաջողվել է կոտրել ԱՄՆ Հետաքննությունների դաշնային բյուրոյի հետ կապված մի քանի կայքեր։ Եվ նա տասնյակ ֆայլեր է տեղադրել համացանցում՝ հազարավոր ոստիկանների և դաշնային գործակալների անձնական տվյալներով:
Օգտագործելով հանրությանը հասանելի շահագործումները՝ հարձակվողներին հաջողվել է մուտք ունենալ Quantico (Վիրջինիա) ՀԴԲ ակադեմիայի հետ կապված ասոցիացիայի ցանցային ռեսուրսներին: Դրա մասին
Գողացված արխիվը պարունակում էր ԱՄՆ իրավապահ մարմինների և դաշնային պաշտոնյաների անունները, նրանց հասցեները, հեռախոսահամարները, էլեկտրոնային փոստի և պաշտոնների մասին տեղեկություններ: Ընդհանուր առմամբ կան մոտ 4000 տարբեր գրառումներ:
Ապրիլի 25. Docker Hub օգտատերերի տվյալների արտահոսք
Կիբերհանցագործները մուտք են գործել աշխարհի ամենամեծ կոնտեյներային պատկերների գրադարանի՝ Docker Hub-ի տվյալների բազան, ինչի արդյունքում մոտ 190 հազար օգտատերերի տվյալները վտանգվել են: Տվյալների բազան պարունակում էր օգտանուններ, գաղտնաբառերի հեշեր և նշաններ GitHub և Bitbucket պահոցների համար, որոնք օգտագործվում էին ավտոմատացված Docker կառուցումների համար:
Docker Hub ադմինիստրացիա
Կարող եք նաև հիշել Doc+-ի հետ կապված պատմությունը, որը ոչ այնքան վաղուց էր
Որպես եզրակացություն
Պետական կառույցների, սոցիալական ցանցերում և խոշոր կայքերում պահվող տվյալների անապահովությունը, ինչպես նաև գողության մասշտաբները սարսափելի են։ Ցավալի է նաև, որ արտահոսքերը սովորական են դարձել: Շատ մարդիկ, որոնց անձնական տվյալները խախտվել են, նույնիսկ չգիտեն այդ մասին: Իսկ եթե իմանան, իրենք իրենց պաշտպանելու համար ոչինչ չեն անի։
Source: www.habr.com