2018 年に発生した最も重大なデータ漏洩。 第一部（XNUMX月～XNUMX月）

2018 年も終わりに近づいています。つまり、その結果を総括し、最も重大なデータ漏洩をリストアップする時期が来たということです。

このレビューには、世界中で本当に大規模な情報漏洩の事例のみが含まれています。 ただし、カットオフしきい値が高いにもかかわらず、漏洩の事例が非常に多いため、レビューを XNUMX か月ごとに XNUMX つの部分に分割する必要がありました。

今年XNUMX月からXNUMX月までに何がどのように流出したのかを見てみましょう。 早速留保しておきますが、事件の発生月は発生時ではなく、ディスクロージャー（公表）時で示されます。

じゃ、行こう...

1月

• カナダ進歩保守党
  カナダ進歩保守党（オンタリオ州支部）の構成員情報管理システム（CIMS）がハッキングされた。
  盗まれたデータベースには、1万人を超えるオンタリオ州の有権者のほか、党支持者、寄付者、ボランティアの名前、電話番号、その他の個人情報が含まれていた。

• ロゾブルナゾル
  連邦教育科学監督局のウェブサイトから卒業証書およびそれに付随するその他の個人データに関する情報が漏洩。
  元生徒に関するデータを含むレコードは合計で約 14 万件あります。 データベースのサイズは 5 GB。
  漏洩: 卒業証書のシリーズと番号、入学年、卒業年、SNILS、INN、パスポートのシリーズと番号、生年月日、国籍、文書を発行した教育機関。

• ノルウェー地域保健局
  攻撃者はノルウェー南部・東部地域保健局（Helse Sør-Øst RHF）のシステムをハッキングし、約2.9万人のノルウェー人（全住民の半数以上）の個人データと医療記録にアクセスした。
  盗まれた医療データには、政府、諜報機関、軍、政治家、その他の著名人に関する情報が含まれていました。

2月

• スイスコム
  スイスの携帯電話会社スイスコムは、約800万人の顧客の個人データが漏洩したことを認めた。
  顧客の氏名、住所、電話番号、生年月日などが影響を受けた。

3月

• アンダーアーマー
  Under Armour の人気のフィットネスおよび栄養追跡アプリ MyFitnessPal が大規模なデータ侵害に見舞われました。 同社によると、約150億XNUMX万人のユーザーが影響を受けるという。
  攻撃者は、ユーザー名、電子メール アドレス、ハッシュ化されたパスワードを認識しました。

• オービッツ
  株式会社エクスペディア(Orbitz を所有) は、従来のサイトの XNUMX つで数千の顧客に影響を与えるデータ侵害を発見したと発表した。
  この流出により、約880万枚のキャッシュカードが影響を受けたと推定されている。
  攻撃者は、2016 年 2017 月から XNUMX 年 XNUMX 月の間に行われた購入に関するデータにアクセスしました。 盗まれた情報には、生年月日、住所、氏名、支払いカード情報が含まれます。

• 株式会社MBMカンパニー
  米国とカナダに住む 3 万人の個人情報を含む MS SQL データベースのバックアップ コピーを含むパブリック Amazon S1.3 ストレージ (AWS) がパブリック ドメインで発見されました。
  このデータベースは、シカゴに拠点を置き、Limoges Jewelry というブランド名で運営されている宝飾品会社 MBM Company Inc に属していました。
  データベースには、名前、住所、郵便番号、電話番号、電子メールアドレス、 IPアドレス また、テキスト形式のパスワードも含まれていました。さらに、MBM Company Inc.の社内メーリングリスト、暗号化されたクレジットカード情報、支払いデータ、プロモーションコード、製品注文情報なども含まれていました。

4月

• デルタ航空、ベスト・バイ、シアーズ・ホールディング・コーポレーション
  [24]7.ai (オンライン カスタマー サービス用のアプリケーションを開発するカリフォルニア州サンノゼの会社) のオンライン チャット アプリケーションに対する特殊なマルウェアによる標的型攻撃。
  カード番号、CVVコード、有効期限、所有者の名前と住所など、銀行カードの全データが漏洩した。
  判明しているのは漏洩データのおおよその量のみです。 シアーズ・ホールディング・コーポレーション向けこれは 100 万枚弱の銀行カードに相当しますが、デルタ航空の場合、これは数十万枚のカードに相当します (航空会社はより正確には報告していません)。 Best Buy の侵害されたカードの数は不明です。 すべてのカードは 26 年 12 月 2017 日から XNUMX 月 XNUMX 日の間に流出しました。
  [24]7.ai が自社サービスへの攻撃を発見してから顧客 (Delta、Best Buy、Sears) にこの事件について通知するまでに 5 か月以上かかりました。

• Panera Breadの
  37 万人を超える顧客の個人データを含むファイルが、人気のベーカリー カフェ チェーンの Web サイトに公開された形式で放置されていました。
  流出したデータには、顧客名、電子メールアドレス、生年月日、郵送先住所、クレジットカード番号の下XNUMX桁が含まれていた。

• サックス、ロード＆テイラー
  サックス フィフス アベニューの小売店チェーン (サックス フィフス アベニュー OFF 5TH チェーンを含む) とロード アンド テイラーから 5 万枚以上の銀行カードが盗まれました。
  ハッカーはレジやPoS端末にある特殊なソフトを使ってカードデータを盗み出した。

• カリーム
  Careem（Uberの中東最大の競合会社）のサーバーに対するサイバー攻撃により、中東、北アフリカ、パキスタン、トルコの約14万人の個人データがハッカーによって盗まれた。
  同社は、13 か国の顧客とドライバーの資格情報を保存するコンピューター システムの侵害を発見しました。
  名前、メールアドレス、電話番号、旅行データが盗まれました。

5月

• 南アフリカ
  約1万人の南アフリカ人の個人データを含むデータベースが、交通罰金の電子支払いを処理する会社が所有する公開Webサーバーで発見された。
  データベースには、名前、識別番号、電子メール アドレス、パスワードがテキスト形式で含まれていました。

6月

• 正確
  米国フロリダ州のマーケティング会社 Exactis は、公開されている 2 億 340 万件以上のレコードを含む約 XNUMX テラバイトの Elasticsearch データベースを保管していました。
  このデータベースには、個人 (成人) の約 230 億 110 万件の個人データと、さまざまな組織の連絡先約 XNUMX 億 XNUMX 万件が見つかりました。
  米国には合計約 249.5 億 XNUMX 万人の成人が住んでいることは注目に値します。つまり、データベースにはすべての米国成人に関する情報が含まれていると言えます。

• サクラメント·ビー
  正体不明のハッカーが、カリフォルニアの新聞「サクラメント・ビー」に属する XNUMX つのデータベースを盗みました。
  最初のデータベースには、カリフォルニア州有権者の個人データを含む 19.4 万件のレコードが含まれていました。
  53 番目のデータベースには、新聞購読者に関する情報を含む XNUMX 件のレコードが含まれていました。

• チケットフライ
  Eventbrite が所有するコンサートチケット販売サービスである Ticketfly は、データベースに対するハッカー攻撃を報告しました。
  このサービスの顧客ベースはハッカー IsHaKdZ によって盗まれ、配布禁止の代わりにビットコインで 7502 ドルを要求されました。
  データベースには、Ticketfly の顧客、さらにはサービスの一部の従業員の名前、住所、電話番号、電子メール アドレスが含まれており、合計 27 万件を超えるレコードが含まれていました。

• MyHeritage
  イスラエルの家系図サービスMyHeritageの92万件のアカウント（ログイン情報、パスワードハッシュ）が流出した。 このサービスはユーザーの DNA 情報を保存し、家系図を構築します。

• Dixons Carphone
  英国とキプロスに小売店を構える家電チェーンのディクソンズ・カーフォンは、同社のITインフラへの不正アクセスにより、顧客の名前、住所、電子メールアドレスを含む1.2万件の個人データが漏洩したと発表した。
  さらに、チップが内蔵されていない105万XNUMX千枚の銀行カードの番号が流出した。

継続するには...

データ漏洩の個々のケースに関する定期ニュースは、チャネル上で即座に公開されます。 情報漏洩.

出所： habr.com