夏休みを楽しんでいる人もいれば、機密データの収集を楽しんでいる人もいます。 Cloud4Y は、この夏のセンセーショナルなデータ漏洩の概要をまとめました。
6月
1.
最大手の運送会社フェスコの顧客の個人アカウントにアクセスするための 400 万件以上の電子メール アドレスと 160 万件以上の電話番号、および 1200 件のログインとパスワードのペアがパブリック ドメインにありました。おそらく実際のデータは少ないでしょう。エントリは繰り返される可能性があります。
ログインとパスワードは有効であり、完了した作業の証明書やスタンプ付きの請求書のスキャンなど、特定の顧客のために会社が実行した輸送に関する完全な情報を取得できます。
このデータは、Fesco が使用していた CyberLines ソフトウェアによって残されたログを通じて一般に公開されました。ログには、ログインとパスワードに加えて、Fesco クライアント企業の代表者の個人データ (名前、パスポート番号、電話番号) も含まれています。
2.
9年2019月900日、ロシアの銀行の顧客500万人のデータ漏洩が判明した。ロシア連邦国民のパスポートデータ、電話番号、居住地、勤務先が公開された。アルファ銀行、OTP銀行、HKF銀行の顧客のほか、内務省職員約40名、FSB職員約XNUMX名が影響を受けた。
専門家は、Alfa Bank の顧客に関する 55 つのデータベースを発見しました。2014 つは 2015 ~ 504 年の 2018 を超える顧客に関するデータを含み、もう 2019 つは 130 ~ 160 年の XNUMX 件のレコードを含みます。 XNUMX 番目のデータベースには、XNUMX ~ XNUMX ルーブルの範囲に限定された口座残高に関するデータも含まれています。
7月
ほとんどの人が 7 月に休暇を取っていたようで、その月全体で目立った漏洩は 1 件だけでした。でもなんと!
3.
月末、銀行顧客の最大規模のデータ漏洩が判明した。 Capital One が被った金融資産は 100 億ドルから 150 億 100 万ドルに達すると推定されています。ハッキングの結果、攻撃者は米国の 6 億件、カナダの XNUMX 万件の Capital One 顧客のデータにアクセスしました。クレジット カードの申し込み情報や既存のカード所有者のデータが侵害されました。
同社は、クレジットカードのデータ自体(番号、CCVコードなど)は安全だったが、140万件の社会保障番号と80万件の銀行口座が盗まれたと主張している。さらに、詐欺師は金融機関の顧客の信用履歴、取引明細、住所、生年月日、給与を入手しました。
カナダでは、約 23 万件の社会保障番号が侵害されました。ハッカーは、2016年、2017年、2018年のXNUMX日間に散在したカード取引に関するデータも入手した。
Capital One は内部調査を実施し、盗まれた情報が不正目的に使用された可能性は低いと述べました。当時はどれに使われていたのでしょうか?
アウグストゥス
7月に休んだ後、私たちは8月に新たな活力を持って戻ってきました。それで。
生体認証の保存についてはすでに多くのことが述べられてきましたが、ここでもう一度説明します...
4.
2019年2月中旬、XNUMX万件を超える指紋やその他の機密データの漏洩が発見された。同社の従業員は、Biostar XNUMX ソフトウェアから生体認証データにアクセスしたと主張しています。
Biostar 2 は、安全なサイトへのアクセスを制御するために、ロンドン警察を含む世界中の何千もの企業で使用されています。 Biostar 2 の開発者である Suprema は、すでにこの問題の解決策に取り組んでいると主張しています。研究者らは、指紋記録とともに、人物の写真、顔認識データ、名前、住所、パスワード、職歴、保護されたサイトへの訪問記録も発見したと指摘している。多くの被害者は、Suprema が顧客が現場で対応できるようにデータ侵害の可能性を明らかにしなかったことを懸念している。
合計で、約 23 万件のレコードを含む 30 ギガバイトのデータがネットワーク上で発見されました。研究者らは、このような漏洩があった場合、生体情報が機密になることは決してない、と指摘しています。データが流出した企業には、インドとスリランカのジム、パワー・ワールド・ジムズ(指紋を含む利用者記録113万796件)、アラブ首長国連邦(UAE)の毎年恒例のフェスティバル、グローバル・ビレッジ(指紋15万000件)、ベルギーの人材紹介会社アデコ・スタッフィング(2000年)などが含まれる。指紋)。この漏洩は英国のユーザーと企業に最も大きな影響を及ぼし、何百万もの個人記録が自由に入手できた。
決済システムのマスターカードは、19月XNUMX日に同社が「多数の」顧客からのデータ漏洩を記録したことをベルギーとドイツの規制当局に正式に通知し、その「大部分が」ドイツ国民であった。同社は必要な措置を講じ、インターネット上に公開された顧客の個人データをすべて削除したことを明らかにした。マスターカードによると、この事件はドイツのサードパーティ企業のロイヤルティプログラムに関連しているという。
5.
一方、私たちの同胞も眠っていません。彼らが言うように、「ロシア鉄道には感謝していますが、そうではありません。」
ロシア鉄道従業員のデータ流出。 、2019年にロシアで703番目に大きな規模になりました。ロシア鉄道従業員730万人のうちXNUMX万XNUMX千人のSNILS番号、住所、電話番号、写真、氏名、役職が公開された。
ロシア鉄道はこの出版物を確認し、法執行機関への控訴を準備している。乗客の個人データは盗まれていない、と同社は保証する。
6.
そしてつい昨日、Imperva は多くの顧客からの機密情報の漏洩を発表しました。このインシデントは、以前は Incapsula として知られていた Imperva Cloud Web Application Firewall CDN サービスのユーザーに影響を与えました。 Imperva Web サイトの発表によると、同社は、20 年 15 月 2017 日より前にサービスにアカウントを持っていた多数の顧客のデータ漏洩の報告を受けて、今年 XNUMX 月 XNUMX 日にこの事件を認識しました。
侵害された情報には、15 年 2017 月 XNUMX 日より前に登録したユーザーの電子メール アドレスとパスワード ハッシュに加え、一部の顧客の API キーと SSL 証明書が含まれていました。同社はデータ漏えいが具体的にどのように発生したのかについての詳細は明らかにしていない。クラウド WAF サービスのユーザーは、アカウントのパスワードを変更し、XNUMX 要素認証を有効にしてシングル サインオン メカニズム (シングル サインオン) を実装するだけでなく、新しい SSL 証明書をダウンロードして API キーをリセットすることをお勧めします。
このコレクションの情報を収集しているときに、秋にはどれだけの素晴らしいリークが私たちに届けられるだろうかという考えが思わず浮かび上がりました。
ブログでは他に何が読めますか?
→
→
→
→
→
購読してください 次の記事を見逃さないように、 -channel をご覧ください。 私たちは週に XNUMX 回まで、ビジネスに関するもののみを書きます。
出所: habr.com