Il 2018 volge al termine, il che significa che è tempo di tirare le somme dei risultati ed elencare le fughe di dati più significative.
Questa revisione include solo casi davvero estesi di fughe di informazioni in tutto il mondo. Tuttavia, nonostante l'elevata soglia limite, ci sono così tanti casi di fughe di notizie che la revisione ha dovuto essere divisa in due parti, ciascuna di sei mesi.
Diamo un'occhiata a cosa e come è trapelato quest'anno da gennaio a giugno. Vorrei fare subito una prenotazione che il mese dell'incidente non sia indicato dal momento in cui si è verificato, ma dal momento della divulgazione (annuncio pubblico).
Quindi andiamo...
gennaio
-
Partito conservatore progressista del Canada
Il sistema di gestione delle informazioni costituenti (CIMS) del Partito conservatore progressista del Canada (ramo dell'Ontario) è stato violato.
Il database rubato conteneva nomi, numeri di telefono e altre informazioni personali di oltre 1 milione di elettori dell'Ontario, nonché sostenitori del partito, donatori e volontari. -
Rosobrnadzor
Perdita di informazioni sui diplomi e altri dati personali che li accompagnano dal sito web del Servizio federale per la supervisione dell'istruzione e della scienza.
In totale ci sono circa 14 milioni di record con dati sugli ex studenti. Dimensione del database 5 GB.
Trapelato: serie e numero del diploma, anno di ammissione, anno di laurea, SNILS, INN, serie e numero del passaporto, data di nascita, nazionalità, organizzazione educativa che ha rilasciato il documento. -
Autorità sanitaria regionale norvegese
Gli aggressori hanno violato il sistema dell'Autorità sanitaria regionale della Norvegia meridionale e orientale (Helse Sør-Øst RHF) e hanno ottenuto l'accesso ai dati personali e alle cartelle cliniche di circa 2.9 milioni di norvegesi (più della metà di tutti i residenti del paese).
I dati medici rubati includevano informazioni su personaggi pubblici, governativi, dei servizi segreti, militari, politici e di altro tipo.
febbraio
- Swisscom
L'operatore mobile svizzero Swisscom ha ammesso che i dati personali di circa 800mila dei suoi clienti sono stati compromessi.
Sono stati colpiti nomi, indirizzi, numeri di telefono e date di nascita dei clienti.
Marzo
-
Under Armour
La popolare app di monitoraggio del fitness e della nutrizione di Under Armour, MyFitnessPal, ha subito una grave violazione dei dati. Secondo l'azienda sono interessati circa 150 milioni di utenti.
Gli aggressori sono venuti a conoscenza di nomi utente, indirizzi e-mail e password con hash. -
Orbitz
Expedia Inc. (proprietaria di Orbitz) ha dichiarato di aver scoperto una violazione dei dati su uno dei suoi siti legacy che ha colpito migliaia di clienti.
Si stima che la fuga di notizie abbia interessato circa 880mila carte bancarie.
L’aggressore ha avuto accesso ai dati sugli acquisti effettuati tra gennaio 2016 e dicembre 2017. Le informazioni rubate includono date di nascita, indirizzi, nomi completi e informazioni sulla carta di pagamento. -
MBM Company Inc
Uno spazio di archiviazione pubblico Amazon S3 (AWS) contenente una copia di backup di un database MS SQL con informazioni personali di 1.3 milioni di persone che vivono negli Stati Uniti e in Canada è stato scoperto di pubblico dominio.
Il database apparteneva a MBM Company Inc, una società di gioielleria con sede a Chicago e operante con il marchio Limoges Jewelry.
Il database conteneva nomi, indirizzi, codici postali, numeri di telefono, indirizzi e-mail, indirizzi IP e password di testo. Inoltre c'erano mailing list interne di MBM Company Inc, dati di carte di credito, dati di pagamento, codici promozionali e ordini di prodotti crittografati.
Aprile
-
Delta Air Lines, Best Buy e Sears Holding Corp.
Attacco mirato di malware speciali all'applicazione di chat online della società [24]7.ai (un'azienda californiana di San Jose che sviluppa applicazioni per il servizio clienti online).
Sono trapelati i dati completi delle carte bancarie: numeri di carta, codici CVV, date di scadenza, nomi e indirizzi dei proprietari.
Si conosce solo la quantità approssimativa di dati trapelati. Per Sears Holding Corp. si tratta di poco meno di 100mila carte bancarie, per Delta Air Lines si tratta di centinaia di migliaia di carte (la compagnia aerea non fornisce dati più precisi). Il numero di carte compromesse per Best Buy è sconosciuto. Tutte le carte sono trapelate tra il 26 settembre e il 12 ottobre 2017.
Ci sono voluti più di 24 mesi perché [7]5.ai avesse scoperto l'attacco al suo servizio per avvisare i clienti (Delta, Best Buy e Sears) dell'incidente. -
Panera Bread
Sul sito web di una catena di famose panetterie c'era semplicemente un file con i dati personali di oltre 37 milioni di clienti.
I dati trapelati includevano nomi di clienti, indirizzi e-mail, date di nascita, indirizzi postali e le ultime quattro cifre dei numeri di carta di credito. -
Saks, Lord e Taylor
Più di 5 milioni di carte bancarie sono state rubate dalle catene di vendita al dettaglio Saks Fifth Avenue (inclusa la catena Saks Fifth Avenue OFF 5TH) e Lord & Taylor.
Gli hacker hanno utilizzato software speciali nei registratori di cassa e nei terminali PoS per rubare i dati delle carte. -
Caree
I dati personali di circa 14 milioni di persone in Medio Oriente, Nord Africa, Pakistan e Turchia sono stati rubati da hacker durante un attacco informatico ai server di Careem (il più grande concorrente di Uber in Medio Oriente).
L'azienda ha scoperto una violazione nel sistema informatico che memorizza le credenziali di clienti e conducenti in 13 paesi.
Nomi, indirizzi e-mail, numeri di telefono e dati di viaggio sono stati rubati.
Maggio
- ЮАР
Un database contenente i dati personali di circa 1 milione di sudafricani è stato scoperto su un server web pubblico di proprietà di una società che elabora pagamenti elettronici per le multe stradali.
Il database conteneva nomi, numeri di identificazione, indirizzi e-mail e password in forma di testo.
Giugno
-
Esatto
La società di marketing Exactis della Florida, USA, ha mantenuto un database Elasticsearch di circa 2 terabyte contenente oltre 340 milioni di record disponibili al pubblico.
Nel database sono stati trovati circa 230 milioni di dati personali di individui (adulti) e circa 110 milioni di contatti di varie organizzazioni.
Vale la pena notare che in totale vivono negli Stati Uniti circa 249.5 milioni di adulti, ovvero possiamo dire che il database contiene informazioni su ogni adulto americano. -
Sacramento Bee
Ignoti hacker hanno rubato due database appartenenti al quotidiano californiano The Sacramento Bee.
Il primo database conteneva 19.4 milioni di record con dati personali degli elettori della California.
Il secondo database conteneva 53mila record con informazioni sugli abbonati ai giornali. -
Ticketfly
Ticketfly, un servizio di vendita di biglietti per concerti di proprietà di Eventbrite, ha segnalato un attacco hacker al suo database.
La base clienti del servizio è stata rubata dall'hacker IsHaKdZ, che ha richiesto 7502 dollari in bitcoin per la sua mancata distribuzione.
Il database conteneva nomi, indirizzi postali, numeri di telefono e indirizzi e-mail dei clienti Ticketfly e persino di alcuni dipendenti del servizio, per un totale di oltre 27 milioni di record. -
MyHeritage
Sono trapelati 92 milioni di account (login, hash delle password) del servizio genealogico israeliano MyHeritage. Il servizio memorizza le informazioni sul DNA degli utenti e costruisce i loro alberi genealogici. -
Dixon's Carphone
La catena di elettronica Dixons Carphone, che ha negozi al dettaglio nel Regno Unito e a Cipro, ha affermato che 1.2 milioni di dati personali di clienti, inclusi nomi, indirizzi e indirizzi e-mail, sono stati divulgati a causa dell'accesso non autorizzato all'infrastruttura IT dell'azienda.
Inoltre, sono trapelati i numeri di 105mila carte bancarie senza chip integrato.
To be continued ...
Sul canale vengono tempestivamente pubblicate notizie periodiche su singoli casi di fuga di dati .
Fonte: habr.com