2018 年には、世界中で 2263 件の機密情報漏洩の公的事件が登録されました。 インシデントの 86% で個人データと支払い情報が侵害されました。これは約 7,3 億件のユーザー データ レコードに相当します。 日本の仮想通貨取引所コインチェックは、顧客のオンラインウォレットが侵害された結果、534億XNUMX万ドルの損失を被りました。 これは報告された被害額としては過去最大となった。
2019年の統計がどうなるかはまだ不明です。 しかし、すでにかなりのセンセーショナルな「リーク」があり、これは悲しいことです。 私たちは、年初から最も議論されているリークを見直すことにしました。 「もっとあるだろう」と彼らは言います。
18月XNUMX日:回収拠点
18 月 XNUMX 日、パブリック ドメインで発見されたデータベースに関するメディアの報道が開始されました。
コレクション #1 はハッカーの手に渡ったデータ配列の一部にすぎないことがすぐに明らかになりました。 情報セキュリティの専門家は、他にも 2 ~ 5 の番号が付けられた「コレクション」を発見し、その合計容量は 845 GB でした。 データベース内のほとんどすべての情報は最新ですが、一部のログイン名とパスワードは古いものもあります。
サイバーセキュリティの専門家ブライアン・クレブス氏は、アーカイブを販売していたハッカーに連絡を取り、コレクション #1 がすでに約 XNUMX ~ XNUMX 年前のものであることを知りました。 このハッカーによると、XNUMX テラバイトを超える最新のデータベースも販売しているとのことです。
11月16日:主要XNUMXサイトからユーザーデータが流出
The Register 11 月 XNUMX 日号
- ダブスマッシュ (162億XNUMX万)
- MyFitnessPal (151 億 XNUMX 万)
- MyHeritage (92万)
- ShareThis (41万)
- オートルック (28万)
- アニモト (25万)
- EyeEm (22万)
- 8fit (20万)
- ホワイトページ (18 万)
- 写真ログ (16 万)
- 500ピクセル(15万)
- アーマー ゲーム (11 万)
- ブックメイト(8万)
- コーヒーミーツベーグル (6万)
- 芸術的 (1万)
- データキャンプ (700)
攻撃者はデータベース全体に約 20 万ドルを要求しましたが、各サイトのデータ アーカイブを個別に購入することもできました。
すべてのサイトが異なる時期にハッキングされました。 たとえば、写真ポータルの 500px は、漏洩が 5 年 2018 月 XNUMX 日に発生したと報告しましたが、データが含まれるアーカイブが出現して初めて判明しました。
データベース
25 月 XNUMX 日: MongoDB データベースが公開されました
25月XNUMX日、情報セキュリティスペシャリストのBob Dyachenko氏
問題のあるデータベースは、電子メール マーケティングを行っていた Verifications IO LLC のものでした。 そのサービスの XNUMX つは企業メールのチェックでした。 問題のあるデータベースに関する情報がメディアに掲載されるとすぐに、同社の Web サイトとデータベース自体にアクセスできなくなりました。 その後、Verifications IO LLC の代表者は、データベースには同社の顧客からのデータは含まれておらず、オープンソースから補充されたと述べました。
10 月 XNUMX 日: Facebook のユーザーデータが FQuiz および Supertest アプリを通じて流出
The Verge 10 月 XNUMX 日版
開発者はテストを実施するためにアプリケーションを作成しました。 これらのプログラムは、ユーザー データを収集するブラウザ拡張機能をインストールしました。 2017 年から 2018 年にかけて、FQuiz や Supertest を含む 63 つのアプリケーションが約 XNUMX 人のユーザーのデータを盗むことができました。 主にロシアとウクライナのユーザーが影響を受けました。
21 月 XNUMX 日: 数億の Facebook パスワードが暗号化されていない
21月XNUMX日、ジャーナリストのブライアン・クレブス氏が報じた。
Facebookのエンジニアリング、セキュリティ、プライバシー担当副社長ペドロ・カナフアティ氏は、パスワードを暗号化せずに保存する問題は解決されたと述べた。 そして一般に、Facebook ログイン システムはパスワードが判読できないように設計されています。 同社は、暗号化されていないパスワードが不正にアクセスされたという証拠は発見できなかった。
21月XNUMX日:トヨタの顧客データ漏洩
XNUMX月末、日本の自動車メーカー、トヨタが
同社は顧客のどのような個人データが盗まれたかは明らかにしていない。 しかし、攻撃者は銀行カードに関する情報にはアクセスできなかったと彼女は述べた。
21月XNUMX日:リペツク地域の患者データをEISウェブサイトで公開
21月XNUMX日、国民運動「ペイシェント・コントロール」の活動家らが
政府調達ウェブサイトには、緊急医療サービスの提供を目的としたいくつかのオークションが掲載されており、患者は地域外の他の施設に移送されなければならなかった。 説明には、患者の姓、自宅住所、診断名、ICD コード、プロフィールなどに関する情報が含まれていました。 信じられないことに、患者データは昨年だけで少なくとも XNUMX 回も公開されています (!)。
リペツク地域保健局のユーリ・シュルシュコフ局長は、内部調査が開始され、データが公表された患者には謝罪すると述べた。 リペツク地方の検察当局も事件の捜査を開始した。
04 月 540 日: Facebook ユーザー XNUMX 億 XNUMX 万人のデータ漏洩
情報セキュリティ会社アップガード
メキシコのデジタルプラットフォーム「Cultura Colectiva」で、ソーシャルネットワークメンバーのコメント、「いいね!」、アカウント名付きの投稿が見つかった。 そして、現在は廃止されている At the Pool アプリでは、名前、パスワード、電子メール アドレス、その他のデータが利用可能でした。
10月XNUMX日:モスクワ地域の救急車患者のデータがオンラインに流出
モスクワ地域の緊急医療救護所(EMS)では、おそらく
モスクワ地域の救急車要請に関する情報を含む 17,8 GB のファイルが、ファイル ホスティング サービスの XNUMX つで発見されました。 文書には、救急車を呼んだ人の名前、連絡先の電話番号、チームを呼んだ住所、電話の日時、さらには患者の状態までが記載されていた。 ミティシ、ドミトロフ、ドルゴプルドヌイ、コロリョフ、バラシハの住民のデータが侵害されました。 この基地はウクライナのハッカーグループの活動家によって設置されたものとみられている。
12月XNUMX日: 中央銀行のブラックリスト
マネーロンダリング防止法に基づく中央銀行のブラックリストにある銀行顧客のデータ
データベースの大部分は個人および個人の起業家で構成されており、残りは法人です。 個人の場合、データベースにはフルネーム、生年月日、シリーズ、パスポート番号に関する情報が含まれています。 個人起業家についてはフルネームとINN、会社については名前、INN、OGRN。 ある銀行はジャーナリストに対し、リストには実際に拒否された顧客が含まれていることを非公式に認めた。 このデータベースは、26 年 2017 月 6 日から 2017 年 XNUMX 月 XNUMX 日までの「Refuseniks」を対象としています。
15月XNUMX日:数千人のアメリカ警察とFBI職員の個人データが公開される
サイバー犯罪グループは、米国連邦捜査局に関連するいくつかの Web サイトをハッキングすることに成功しました。 そして彼女は、数千人の警察官や連邦職員の個人情報を含む数十のファイルをインターネット上に投稿した。
攻撃者は、公開されているエクスプロイトを使用して、クワンティコ (バージニア州) にある FBI アカデミーに関連する団体のネットワーク リソースへのアクセスを取得しました。 それについて
盗まれたアーカイブには、米国の法執行機関と連邦職員の名前、住所、電話番号、電子メールおよび役職に関する情報が含まれていました。 合計約 4000 種類のエントリがあります。
25 月 XNUMX 日: Docker Hub ユーザーデータの漏洩
サイバー犯罪者が世界最大のコンテナ イメージ ライブラリである Docker Hub のデータベースにアクセスし、約 190 万人のユーザーのデータが侵害されました。 データベースには、自動化された Docker ビルドに使用される GitHub および Bitbucket リポジトリのユーザー名、パスワード ハッシュ、トークンが含まれていました。
Docker Hub 管理
少し前のDoc+のストーリーも思い出すことができます
結論として
政府機関、ソーシャル ネットワーク、大規模 Web サイトに保存されているデータの安全性の不安と盗難の規模は恐ろしいものです。 漏れが日常的になっているのも悲しいことです。 個人データが侵害された多くの人は、そのことを知りません。 そして、もし知ったとしても、彼らは自分を守るために何もしません。
出所: habr.com