ProHoster > Блог > Administrasi > Bocor data pangguna sensasional kanggo Januari - April 2019

Bocor data pangguna sensasional kanggo Januari - April 2019

Bocor data pangguna sensasional kanggo Januari - April 2019

Ing taun 2018, 2263 kasus bocor informasi rahasia wis didaftar ing saindenging jagad. Data pribadhi lan informasi pembayaran dikompromi ing 86% kedadeyan - yaiku udakara 7,3 milyar cathetan data pangguna. Exchange crypto Jepang Coincheck ilang $ 534 yuta minangka akibat saka kompromi dompet online klien. Iki minangka jumlah karusakan paling gedhe sing dilaporake.

Isih ora dingerteni apa statistik kanggo 2019. Nanging wis ana akeh "bocor" sensasional, lan iki sedih. Kita mutusake kanggo mriksa bocor sing paling dibahas wiwit awal taun. "Ana liyane," kaya sing dikandhakake.

18 Januari: basis koleksi

Tanggal 18 Januari, laporan media wiwit katon babagan database sing ditemokake ing domain umum ing 773M kothak layang karo sandhi (kalebu pangguna saka Rusia). Basis data kasebut minangka kumpulan database bocor babagan rong ewu situs sing beda-beda sing diklumpukake sajrone pirang-pirang taun. Kanggo sing nampa jeneng Koleksi #1. Ing babagan ukuran, ternyata dadi database alamat sing disusupi paling gedhe nomer loro ing sejarah (sing pisanan yaiku arsip 1 milyar pangguna Yahoo!, sing muncul ing 2013).

Dadi cetha yen Koleksi #1 mung minangka bagean saka susunan data sing ana ing tangan peretas. Spesialis keamanan informasi uga nemokake "Koleksi" liyane sing nomer 2 nganti 5, lan volume total 845 GB. Meh kabeh informasi ing basis data anyar, sanajan sawetara login lan sandhi wis ketinggalan jaman.

Pakar cybersecurity Brian Krebs ngubungi peretas sing adol arsip kasebut lan ngerti yen Koleksi #1 wis umur rong utawa telung taun. Miturut peretas, dheweke uga duwe database paling anyar sing bisa didol kanthi volume luwih saka patang terabyte.

11 Februari: bocor data pangguna saka 16 situs utama

11 Februari edisi The Register kacaritayen platform dagang Dream Market adol data 620 yuta pangguna layanan Internet utama:

  • Dubsmash (162 yuta)
  • MyFitnessPal (151 yuta)
  • MyHeritage (92 yuta)
  • ShareThis (41 yuta)
  • HauteLook (28 yuta)
  • Animoto (25 yuta)
  • EyeEm (22 yuta)
  • 8 pas (20 yuta)
  • Whitepages (18 yuta)
  • Fotolog (16 yuta)
  • 500px (15 yuta)
  • Game Armor (11 yuta)
  • BookMate (8 yuta)
  • CoffeeMeetsBagel (6 yuta)
  • Artsy (1 yuta)
  • DataCamp (700)

Para panyerang njaluk kira-kira $20 ewu kanggo kabeh database; uga bisa tuku arsip data saben situs kanthi kapisah.

Kabeh situs disusupi ing wektu sing beda-beda. Contone, portal foto 500px nglaporake manawa bocor kasebut kedadeyan tanggal 5 Juli 2018, nanging dikenal mung sawise muncul arsip kanthi data kasebut.

Databases ngemot alamat email, jeneng panganggo lan sandhi. Nanging, ana siji kasunyatan sing nyenengake: sandhi biasane dienkripsi kanthi cara siji utawa liyane. Yaiku, kanggo nggunakake, sampeyan kudu mikir babagan dekripsi data. Senajan, yen sandhi iku prasaja, iku cukup bisa kanggo guess iku.

25 Februari: database MongoDB kapapar

25 Februari, spesialis keamanan informasi Bob Dyachenko pinanggih online, database MongoDB 150GB sing ora aman sing ngemot luwih saka 800 yuta cathetan data pribadhi. Arsip kasebut ngemot alamat email, jeneng mburi, informasi babagan jenis kelamin lan tanggal lair, nomer telpon, kode pos lan alamat, lan alamat IP.

Basis data sing duwe masalah yaiku Verifikasi IO LLC, sing melu marketing email. Salah sawijining layanan yaiku mriksa email perusahaan. Sanalika informasi babagan database masalah muncul ing media, situs web perusahaan lan database dhewe dadi ora bisa diakses. Mengko, wakil Verifikasi IO LLC nyatakake yen database ora ngemot data saka klien perusahaan lan diisi maneh saka sumber terbuka.

10 Maret: Data pangguna Facebook bocor liwat aplikasi FQuiz lan Supertest

10 Maret edisi The Verge dikirim pesen yen Facebook ngajokake tuntutan hukum marang loro pangembang Ukrainia, Gleb Sluchevsky lan Andrei Gorbachev. Dheweke didakwa nyolong data pribadi pangguna.

Pangembang nggawe aplikasi kanggo nganakake tes. Program kasebut nginstal ekstensi browser sing ngumpulake data pangguna. Sajrone 2017-2018, papat aplikasi, kalebu FQuiz lan Supertest, bisa nyolong data kira-kira 63 ewu pangguna. Umume pangguna saka Rusia lan Ukraina kena pengaruh.

21 Maret: Atusan yuta sandhi Facebook sing ora dienkripsi

Tanggal 21 Maret, wartawan Brian Krebs nglaporake ing blog sampeyansing Facebook wis nyimpen mayuta-yuta sandhi unencrypted kanggo dangu. Kira-kira 20 karyawan perusahaan bisa ndeleng sandhi antarane 200 nganti 600 yuta pangguna Facebook amarga disimpen ing format teks biasa. Sawetara sandhi Instagram uga kalebu ing database sing ora dilindhungi iki. Rauh jaringan sosial dhewe bakal resmi dikonfirmasi informasi.

Pedro Canahuati, wakil presiden teknik, keamanan lan privasi Facebook, ujar manawa masalah nyimpen sandhi sing ora dienkripsi wis diatasi. Lan umume, sistem login Facebook dirancang kanggo nggawe sandhi ora bisa diwaca. Perusahaan ora nemokake bukti yen tembung sandhi sing ora dienkripsi diakses kanthi ora bener.

21 Maret: Bocor data pelanggan Toyota

Ing pungkasan Maret, mobil Jepang Toyota ngumumake manawa peretas bisa nyolong data pribadhi nganti 3,1 yuta klien perusahaan. Sistem divisi dagang Toyota lan limang anak perusahaan diretas tanggal 21 Maret.

Perusahaan ora ngandhani apa data pribadhi klien sing dicolong. Nanging, dheweke ujar manawa para penyerang ora entuk akses menyang informasi babagan kertu bank.

21 Maret: publikasi data saka pasien ing wilayah Lipetsk ing situs web EIS

Tanggal 21 Maret, aktivis gerakan umum "Kontrol Pasien" kacarita yen ing informasi sing diterbitake dening Departemen Kesehatan Wilayah Lipetsk ing situs web EIS, data pribadhi pasien diwenehake.

Sawetara lelang dikirim ing situs web pengadaan pemerintah kanggo nyedhiyakake layanan medis darurat: pasien kudu ditransfer menyang institusi liyane ing njaba wilayah kasebut. Katrangan kasebut ngemot informasi babagan jeneng mburi pasien, alamat omah, diagnosis, kode ICD, profil, lan liya-liyane. Luar biasa, data pasien wis diterbitake ing mbukak ora kurang saka wolung kaping ing taun pungkasan piyambak (!).

Kepala Departemen Kesehatan Wilayah Lipetsk, Yuri Shurshukov, ujar manawa investigasi internal wis diluncurake lan njaluk ngapura marang pasien sing data diterbitake. Kantor jaksa wilayah Lipetsk uga wiwit mriksa kedadeyan kasebut.

04 April: Bocor data saka 540 yuta pangguna Facebook

Perusahaan keamanan informasi UpGuard kacarita babagan data luwih saka 540 yuta pangguna Facebook sing kasedhiya kanggo umum.

Kiriman anggota jaringan sosial kanthi komentar, seneng, lan jeneng akun ditemokake ing platform digital Meksiko Cultura Colectiva. Lan ing aplikasi Ing Pool sing saiki wis ora aktif, jeneng, sandhi, alamat email lan data liyane kasedhiya.

10 April: data saka pasien ambulans saka wilayah Moskow bocor online

Ing stasiun bantuan medis darurat (EMS) ing wilayah Moskow, bisa uga ana data bocor. Badan penegak hukum wiwit mriksa pra-investigasi babagan laporan kedadeyan kasebut.

File 17,8 GB sing ngemot informasi babagan telpon ambulans ing wilayah Moskow ditemokake ing salah sawijining layanan hosting file. Dokumen kasebut ngemot jeneng wong sing nelpon ambulans, nomer telpon kontak, alamat ing ngendi tim kasebut diarani, tanggal lan wektu telpon, malah kondisi pasien. Data warga Mytishchi, Dmitrov, Dolgoprudny, Korolev lan Balashikha dikompromi. Dianggep basis kasebut ditata dening para aktivis klompok peretas Ukraina.

12 April: Daftar ireng Bank Sentral
Data klien bank saka daftar ireng Bank Sentral saka refuseniks miturut hukum anti pencucian dhuwit ditemokaké ing Internet 12 April. Kita ngomong babagan informasi saka kira-kira 120 ewu klien sing ditolak layanan sesuai karo hukum nglawan pencucian uang lan pendanaan terorisme (115-FZ).

Mayoritas database kasusun saka individu lan pengusaha individu, liyane minangka entitas legal. Kanggo individu, database ngemot informasi babagan jeneng lengkap, tanggal lahir, seri lan nomer paspor. Babagan wirausaha individu - jeneng lengkap lan INN, babagan perusahaan - jeneng, INN, OGRN. Salah sawijining bank ora resmi ngakoni marang wartawan yen dhaptar kasebut kalebu klien sing ditolak nyata. Basis data kasebut kalebu "refuseniks" wiwit 26 Juni 2017 nganti 6 Desember 2017.

15 April: Data pribadhi saka ewu polisi Amerika lan karyawan FBI diterbitake

Klompok cybercriminal bisa hack sawetara situs web sing ana gandhengane karo Biro Investigasi Federal AS. Lan dheweke ngirim puluhan file ing Internet kanthi informasi pribadhi saka ewu polisi lan agen federal.

Nggunakake eksploitasi sing kasedhiya kanggo umum, penyerang bisa entuk akses menyang sumber jaringan asosiasi sing ana gandhengane karo Akademi FBI ing Quantico (Virginia). bab iku wrote TechCrunch.
Arsip sing dicolong kasebut ngemot jeneng penegak hukum AS lan pejabat federal, alamat, nomer telpon, informasi babagan email lan jabatane. Ana kira-kira 4000 entri sing beda-beda.

25 April: Bocor data pangguna Docker Hub

Penjahat siber entuk akses menyang database perpustakaan gambar kontainer paling gedhe ing donya, Docker Hub, sing nyebabake data kira-kira 190 ewu pangguna dikompromi. Basis data kasebut ngemot jeneng panganggo, hash sandhi, lan token kanggo repositori GitHub lan Bitbucket sing digunakake kanggo mbangun Docker otomatis.

Administrasi Docker Hub didhawuhi pangguna babagan kedadean pungkasan ana, 26 April. Miturut informasi resmi, akses sing ora sah menyang database dikenal tanggal 25 April. Penyelidikan babagan kedadeyan kasebut durung rampung.

Sampeyan uga bisa ngelingi crita karo Doc +, sing durung suwe dipadhangi ing Habré, ora nyenengake kahanan karo pembayaran warga menyang polisi lalu lintas lan FSSP lan bocor liyane sing diterangake ashotog.

Minangka kesimpulan

Ora aman data sing disimpen dening lembaga pemerintah, ing jaringan sosial lan ing situs web gedhe, uga skala nyolong, nggegirisi. Sedhih uga yen bocor wis dadi umum. Akeh wong sing data pribadhi wis dikompromi ora ngerti babagan iki. Lan yen dheweke ngerti, dheweke ora bakal nindakake apa-apa kanggo nglindhungi awake dhewe.

Source: www.habr.com

Add a comment