Árið 2018 voru skráð 2263 opinber mál um leka trúnaðarupplýsinga um allan heim. Persónuupplýsingar og greiðsluupplýsingar voru í hættu í 86% atvika - það eru um 7,3 milljarðar notendagagnaskráa. Japanska dulmálskauphöllin Coincheck tapaði 534 milljónum dala vegna málamiðlunar á netveski viðskiptavina sinna. Þetta var mesta tjón sem tilkynnt hefur verið um.
Ekki er enn vitað hver tölfræðin verður fyrir árið 2019. En það er nú þegar töluvert mikið af tilkomumiklum „leka“ og þetta er sorglegt. Við ákváðum að fara yfir mest rædda leka frá áramótum. „Það verða fleiri,“ eins og þeir segja.
18. janúar: Söfnunarstöðvar
Þann 18. janúar fóru að birtast fjölmiðlafréttir um gagnagrunn sem fannst á almenningi á pósthólf með lykilorðum (þar á meðal notendur frá Rússlandi). Gagnagrunnurinn var safn gagnagrunna sem lekið var yfir um tvö þúsund mismunandi vefsvæði sem safnast hefur upp á nokkrum árum. Fyrir sem það fékk nafnið Collection #1. Miðað við stærð reyndist hann vera annar stærsti gagnagrunnur sögunnar yfir tölvusnápur (sá fyrsti var skjalasafn um 1 milljarð Yahoo! notenda, sem birtist árið 2013).
Fljótlega varð ljóst að safn #1 var aðeins hluti af gagnafylki sem endaði í höndum tölvuþrjóta. Sérfræðingar í upplýsingaöryggi fundu einnig önnur „söfn“ númeruð 2 til 5 og heildarmagn þeirra var 845 GB. Nánast allar upplýsingar í gagnagrunnunum eru uppfærðar, þó sum innskráning og lykilorð séu úrelt.
Netöryggissérfræðingurinn Brian Krebs hafði samband við tölvuþrjótinn sem var að selja skjalasafnið og komst að því að safn #1 væri þegar um tveggja eða þriggja ára gamalt. Samkvæmt tölvuþrjótinum er hann einnig með nýlegri gagnagrunna til sölu með rúmmál meira en fjögur terabæta.
11. febrúar: leki notendagagna frá 16 helstu síðum
11. febrúar útgáfa af The Register að draumamarkaðurinn selur gögn um 620 milljón notendur helstu internetþjónustu:
- Dubsmash (162 milljónir)
- MyFitnessPal (151 milljón)
- MyHeritage (92 milljónir)
- ShareThis (41 milljón)
- HauteLook (28 milljónir)
- Animoto (25 milljónir)
- EyeEm (22 milljónir)
- 8fit (20 milljónir)
- Whitepages (18 milljónir)
- Fotolog (16 milljónir)
- 500px (15 milljónir)
- Brynjaleikir (11 milljónir)
- BookMate (8 milljónir)
- CoffeeMeetsBagel (6 milljónir)
- Artsy (1 milljón)
- DataCamp (700)
Árásarmennirnir báðu um um 20 þúsund dollara fyrir allan gagnagrunninn; þeir gátu líka keypt gagnasafn hverrar síðu fyrir sig.
Það var brotist inn á allar síður á mismunandi tímum. Til dæmis greindi ljósmyndagáttin 500px frá því að lekinn hafi átt sér stað þann 5. júlí 2018, en hann varð aðeins þekktur eftir að skjalasafn með gögnunum birtist.
Gagnagrunna netföng, notendanöfn og lykilorð. Hins vegar er ein gleðileg staðreynd: lykilorð eru að mestu dulkóðuð á einn eða annan hátt. Það er að segja, til að nota þá þarftu fyrst að gera grein fyrir því að afkóða gögnin. Þó, ef lykilorðið er einfalt, þá er alveg hægt að giska á það.
25. febrúar: MongoDB gagnagrunnur afhjúpaður
25. febrúar, upplýsingaöryggissérfræðingur Bob Dyachenko á netinu, ótryggður 150GB MongoDB gagnagrunnur sem inniheldur yfir 800 milljón persónuupplýsingar. Í skjalasafninu voru netföng, eftirnöfn, upplýsingar um kyn og fæðingardag, símanúmer, póstnúmer og heimilisföng og IP-tölur.
Vandræðagrunnurinn tilheyrði Verifications IO LLC, sem stundaði markaðssetningu á tölvupósti. Ein af þjónustu þess var að athuga fyrirtækjatölvupóst. Um leið og upplýsingar um vandræðagagnagrunninn birtust í fjölmiðlum urðu heimasíður fyrirtækisins og gagnagrunnurinn sjálfur óaðgengilegar. Síðar sögðu fulltrúar Verifications IO LLC að gagnagrunnurinn innihéldi ekki gögn frá viðskiptavinum fyrirtækisins og væri endurnýjað frá opnum heimildum.
10. mars: Facebook notendagögn lekið í gegnum FQuiz og Supertest öpp
10. mars útgáfa af The Verge að Facebook hafi höfðað mál gegn tveimur úkraínskum forriturum, Gleb Sluchevsky og Andrei Gorbatsjov. Þeir voru ákærðir fyrir þjófnað á persónuupplýsingum notenda.
Hönnuðir bjuggu til forrit til að framkvæma próf. Þessi forrit settu upp vafraviðbætur sem söfnuðu notendagögnum. Á árunum 2017-2018 gátu fjögur forrit, þar á meðal FQuiz og Supertest, stolið gögnum um það bil 63 þúsund notenda. Aðallega voru notendur frá Rússlandi og Úkraínu fyrir áhrifum.
21. mars: Hundruð milljóna Facebook lykilorða ódulkóðuð
Þann 21. mars greindi blaðamaðurinn Brian Krebs frá að Facebook hafi geymt milljónir lykilorða ódulkóðuð í langan tíma. Um 20 starfsmenn fyrirtækisins gátu skoðað lykilorð á milli 200 og 600 milljón Facebook notenda vegna þess að þau voru geymd á látlausu textasniði. Sum Instagram lykilorð voru einnig með í þessum óvarða gagnagrunni. Bráðum mun félagslega netið sjálft formlega upplýsingar.
Pedro Canahuati, varaforseti verkfræði, öryggis og friðhelgi einkalífs Facebook, sagði að búið væri að laga vandamálið með að geyma lykilorð ódulkóðuð. Og almennt eru Facebook innskráningarkerfi hönnuð til að gera lykilorð ólæsileg. Fyrirtækið fann ekki vísbendingar um að ódulkóðuðu lykilorðin hafi verið opnuð á rangan hátt.
21. mars: Gagnaleki viðskiptavina Toyota
Í lok mars, japanski bílaframleiðandinn Toyota að tölvuþrjótum tókst að stela persónulegum upplýsingum um allt að 3,1 milljón viðskiptavina fyrirtækisins. Það var brotist inn á kerfi viðskiptadeilda Toyota og fimm dótturfélaga þann 21. mars.
Fyrirtækið gaf ekki upp hvaða persónuupplýsingum viðskiptavina var stolið. Hún tók þó fram að árásarmennirnir hafi ekki fengið aðgang að upplýsingum um bankakort.
21. mars: birting gagna frá sjúklingum á Lipetsk svæðinu á vefsíðu EIS
Þann 21. mars, aðgerðasinnar almenningshreyfingarinnar „Sjúklingaeftirlit“ að í upplýsingum sem Heilbrigðisdeild Lipetsk-héraðs birti á vefsíðu EIS hafi verið veittar persónuupplýsingar um sjúklinga.
Nokkur uppboð voru sett á innkaupavef ríkisins fyrir veitingu bráðalæknisþjónustu: flytja þurfti sjúklinga til annarra stofnana utan svæðisins. Lýsingarnar innihéldu upplýsingar um eftirnafn sjúklings, heimilisfang, sjúkdómsgreiningu, ICD kóða, prófíl og svo framvegis. Það er ótrúlegt að gögn um sjúklinga hafi verið birt á opnum tjöldum ekki sjaldnar en átta sinnum á síðasta ári einu (!).
Yfirmaður heilbrigðisdeildar Lipetsk-héraðs, Yuri Shurshukov, sagði að innri rannsókn hefði verið sett af stað og að beðið yrði afsökunar á sjúklingum sem gögnin voru birt. Saksóknaraembættið í Lipetsk svæðinu byrjaði einnig að athuga atvikið.
04. apríl: Gagnaleki um 540 milljónir Facebook notenda
Upplýsingaöryggisfyrirtækið UpGuard um gögn meira en 540 milljóna Facebook notenda sem verða aðgengileg almenningi.
Færslur meðlima samfélagsnetsins með athugasemdum, líkar við og reikningsnöfn fundust á mexíkóska stafræna vettvangnum Cultura Colectiva. Og í hinu látna At the Pool appi voru nöfn, lykilorð, netföng og önnur gögn tiltæk.
10. apríl: gögnum frá sjúkrabílasjúklingum frá Moskvu svæðinu lekið á netinu
Á neyðarstöðvum læknishjálpar (EMS) í Moskvu svæðinu, væntanlega. Lögregluyfirvöld hófu forrannsókn á tilkynningum um atvikið.
17,8 GB skrá sem inniheldur upplýsingar um símtöl sjúkrabíla í Moskvu svæðinu fannst á einni af skráhýsingarþjónustunum. Skjalið innihélt nafn þess sem hringdi í sjúkrabílinn, símanúmer símans, heimilisfang þar sem hringt var í hópinn, dagsetningu og tíma símtalsins, jafnvel ástand sjúklingsins. Gögn íbúa Mytishchi, Dmitrov, Dolgoprudny, Korolev og Balashikha voru í hættu. Gert er ráð fyrir að grunnurinn hafi verið lagður af aðgerðasinnar úkraínsks tölvuþrjótahóps.
12. apríl: svartur listi Seðlabankans
Gögn um viðskiptavini banka af svörtum lista Seðlabankans yfir synjunaraðila samkvæmt lögum gegn peningaþvætti 12. apríl. Við vorum að tala um upplýsingar frá um 120 þúsund skjólstæðingum sem var neitað um þjónustu í samræmi við lög um varnir gegn peningaþvætti og fjármögnun hryðjuverka (115-FZ).
Meirihluti gagnagrunnsins samanstendur af einstaklingum og einstökum frumkvöðlum, restin eru lögaðilar. Fyrir einstaklinga inniheldur gagnagrunnurinn upplýsingar um fullt nafn, fæðingardag, röð og vegabréfsnúmer. Um einstaka frumkvöðla - fullt nafn og INN, um fyrirtæki - nafn, INN, OGRN. Einn bankanna viðurkenndi óopinberlega fyrir blaðamönnum að listinn innihélt raunverulega hafnaða viðskiptavini. Gagnagrunnurinn nær yfir „refuseniks“ frá 26. júní 2017 til 6. desember 2017.
15. apríl: Persónuupplýsingar þúsunda bandarískra lögreglu- og FBI-starfsmanna birtar
Netglæpahópi tókst að hakka inn nokkrar vefsíður sem tengjast bandarísku alríkislögreglunni. Og hún birti tugi skráa á Netið með persónulegum upplýsingum um þúsundir lögreglumanna og alríkisfulltrúa.
Með því að nota opinberlega aðgengileg hetjudáð tókst árásarmönnum að fá aðgang að netauðlindum samtaka sem tengjast FBI Academy í Quantico (Virginia). Um það TechCrunch.
Í stolnu skjalasafninu voru nöfn bandarískra lögreglu- og alríkisfulltrúa, heimilisföng þeirra, símanúmer, upplýsingar um tölvupóst þeirra og stöðu. Alls eru um 4000 mismunandi færslur.
25. apríl: Docker Hub notendagagnaleki
Netglæpamenn fengu aðgang að gagnagrunni stærsta gámamyndasafns heims, Docker Hub, sem leiddi til þess að gögn um 190 þúsund notenda voru í hættu. Gagnagrunnurinn innihélt notendanöfn, lykilorðskjallar og tákn fyrir GitHub og Bitbucket geymslur sem notaðar eru fyrir sjálfvirkar Docker byggingar.
Docker Hub stjórnun notendur um atvikið seint föstudaginn 26. apríl. Samkvæmt opinberum upplýsingum varð óviðkomandi aðgangur að gagnagrunninum þekktur 25. apríl. Rannsókn á atvikinu er enn ekki lokið.
Þú getur líka muna söguna með Doc+, sem var ekki fyrir svo löngu síðan á Habré, óþægilegt með greiðslum borgaranna til umferðarlögreglunnar og FSSP og öðrum leka sem hann lýsir .
Sem niðurstaða
Óöryggi gagna sem geymd eru af ríkisstofnunum, á samfélagsmiðlum og á stórum vefsíðum, sem og umfang þjófnaðar, er skelfilegt. Það er líka leiðinlegt að lekar séu orðnir algengir. Margir sem hafa haft í hættu á persónuupplýsingum vita ekki einu sinni um það. Og ef þeir vita það gera þeir ekkert til að vernda sig.
Heimild: www.habr.com