Кейбіреулер жазғы демалысын жақсы өткізсе, басқалары құпия деректермен айналысатын болды. Cloud4Y осы жазда сенсациялық деректердің ағып кетуіне қысқаша шолуды дайындады.
маусым
1.
400 мыңнан астам электрондық пошта мекенжайлары мен 160 мың телефон нөмірлері, сондай-ақ Fesco ірі көлік компаниясының клиенттерінің жеке кабинеттеріне кіруге арналған 1200 логин-пароль жұбы жалпыға қолжетімді болды. Нақты деректер аз шығар, өйткені... жазбалар қайталануы мүмкін.
Логиндер мен парольдер жарамды, олар белгілі бір тапсырыс беруші үшін компания орындаған тасымалдау туралы толық ақпаратты алуға мүмкіндік береді, оның ішінде орындалған жұмыс туралы сертификаттар мен мөрі бар шот-фактураларды сканерлеу.
Деректер Fesco пайдаланатын CyberLines бағдарламалық құралы қалдырған журналдар арқылы жалпыға қолжетімді болды. Логиндер мен парольдерден басқа, журналдарда Fesco клиенттік компаниялары өкілдерінің жеке деректері де бар: аты-жөні, төлқұжат нөмірлері, телефон нөмірлері.
2.
9 жылдың 2019 маусымында ресейлік банктердің 900 мың клиенті туралы деректердің ағып кеткені белгілі болды. Ресей Федерациясы азаматтарының төлқұжат деректері, телефон нөмірлері, тұрғылықты жері мен жұмысы жалпыға қолжетімді болды. Альфа Банк, OTP Bank және HKF Bank клиенттері, сондай-ақ Ішкі істер министрлігінің 500-ге жуық қызметкері мен ФСБ-ның 40 адамы зардап шекті.
Сарапшылар Alfa Bank клиенттерінің екі дерекқорын анықтады: біреуінде 55–2014 жылдардағы 2015 мыңнан астам клиент туралы деректер, екіншісінде 504–2018 жылдардағы 2019 жазба бар. Екінші дерекқорда сонымен қатар 130-160 мың рубль шегімен шектелген шоттағы қалдық туралы деректер бар.
шілде
Адамдардың көпшілігі шілдеде демалыста болған сияқты, сондықтан ай бойы бір ғана байқалатын ағып кету болды. Бірақ не!
3.
Айдың соңында банк клиенттерінің ең үлкен деректерінің ағып кетуі туралы белгілі болды. Capital One қаржылық холдингі зардап шекті, шығын 100-150 миллион долларды құрайды.Хакерлеу нәтижесінде шабуылдаушылар АҚШ-тағы 100 миллион және Канададағы 6 миллион Capital One клиентінің деректеріне қол жеткізді. Несиелік карталарға арналған өтінімдерден алынған ақпарат және қолданыстағы карта ұстаушылардың деректері бұзылды.
Компания несиелік карта деректерінің өзі (нөмірлер, CCV кодтары және т.б.) қауіпсіз болып қалғанын, бірақ 140 мың әлеуметтік сақтандыру нөмірі мен 80 мың банк шоты ұрланғанын айтады. Сонымен қатар, алаяқтар қаржы институты клиенттерінің несие тарихын, анықтамаларын, мекенжайларын, туған күндері мен жалақыларын алған.
Канадада бір миллионға жуық әлеуметтік қамсыздандыру нөмірі бұзылды. Сондай-ақ хакерлер 23, 2016 және 2017 жылдардағы 2018 күнде шашыраңқы карта транзакциялары туралы деректерді алды.
Capital One ішкі тергеу жүргізіп, ұрланған ақпараттың алаяқтық мақсатында пайдаланылуы екіталай екенін мәлімдеді. Қызық, ол кезде қайсыларында қолданылған?
Тамыз
Шілдеде демалып, тамызда жаңа күшпен оралдық. Сонымен.
Биометрияны сақтау туралы көп айтылды, міне, тағы да...
4.
2019 жылдың тамыз айының ортасында миллионнан астам саусақ іздері мен басқа да құпия деректердің ағып кетуі анықталды. Компания қызметкерлері биометриялық деректерге Biostar 2 бағдарламалық жасақтамасы арқылы қол жеткіздік деп мәлімдейді.
Biostar 2-ні дүние жүзіндегі мыңдаған компаниялар, соның ішінде Лондон полициясы қауіпсіз сайттарға кіруді бақылау үшін пайдаланады. Biostar 2 әзірлеушісі Suprema бұл мәселені шешуде қазірдің өзінде жұмыс істеп жатыр деп мәлімдейді. Зерттеушілер саусақ ізі жазбаларымен қатар адамдардың фотосуреттерін, бет-әлпетті тану деректерін, аты-жөндерін, мекенжайларын, құпия сөздерін, еңбек кітапшасын және қорғалатын сайттарға кіру жазбаларын тапқанын атап өтті. Көптеген жәбірленушілер Suprema деректердің ықтимал бұзылуын ашпағанына алаңдайды, сондықтан оның клиенттері жергілікті жерде әрекет ете алады.
Желіде барлығы 23 миллионға жуық жазбаны қамтитын 30 гигабайт деректер табылды. Зерттеушілер мұндай ағып кетуден кейін биометриялық ақпарат ешқашан құпия бола алмайтынын атап өтті. Деректер ағып кеткен компаниялардың арасында Power World Gyms, Үндістан мен Шри-Ланкадағы спорт залы (саусақ іздерін қосқанда 113 796 пайдаланушы жазбасы), БАӘ-де жыл сайын өтетін Global Village фестивалі (15 000 саусақ ізі), Adecco Staffing, бельгиялық рекрутингтік компания (2000) саусақ іздері). Ағып кету британдық пайдаланушылар мен компанияларға көбірек әсер етті - миллиондаған жеке жазбалар еркін қол жетімді болды.
Mastercard төлем жүйесі бельгиялық және неміс реттеушілеріне 19 тамызда компания «көптеген» тұтынушылардан деректердің ағып кетуін тіркегені туралы ресми түрде хабарлады, «оның маңызды бөлігі» Германия азаматтары. Компания қажетті шараларды қабылдағанын және Интернетте пайда болған клиенттердің барлық жеке деректерін жойғанын айтты. Mastercard мәліметінше, оқиға үшінші тарап неміс компаниясының адалдық бағдарламасына қатысты.
5.
Бұл арада біздің жерлестеріміз де ұйықтап жатқан жоқ. Олар айтқандай: «Ресей темір жолына рахмет, бірақ жоқ».
«Ресей темір жолдары» қызметкерлерінің деректерінің ағып кетуі , 2019 жылы Ресейдегі екінші ірі болды. Ресей темір жолдарының 703 мың қызметкерінің 730 мың қызметкерінің SNILS нөмірлері, мекенжайлары, телефондары, фотосуреттері, толық аты-жөндері мен лауазымдары көпшілікке қолжетімді болды.
«Ресей темір жолдары» басылымды тексеріп, құқық қорғау органдарына үндеу дайындап жатыр. Жолаушылардың жеке деректері ұрланған жоқ, деп сендірді компания.
6.
Кеше ғана Imperva өзінің бірқатар клиенттерінен құпия ақпараттың ағып кеткенін жариялады. Оқиға Imperva Cloud Web Application Firewall CDN қызметін пайдаланушыларға әсер етті, бұрын Incapsula деген атпен белгілі. Imperva веб-сайтындағы жарияланымға сәйкес, компания оқиға туралы осы жылдың 20 тамызында қызметте 15 жылдың 2017 қыркүйегіне дейін есептік жазбалары болған бірқатар клиенттер туралы деректердің ағып кетуі туралы хабарланғаннан кейін белгілі болды.
Бұзылған ақпарат 15 жылдың 2017 қыркүйегіне дейін тіркелген пайдаланушылардың электрондық пошта мекенжайлары мен құпиясөз хэштерін, сонымен қатар кейбір тұтынушылардың API кілттері мен SSL сертификаттарын қамтиды. Компания деректердің қалай ағып кеткені туралы мәліметтерді жарияламады. Cloud WAF қызметін пайдаланушыларға тіркелгілерінің құпия сөздерін өзгерту, екі факторлы аутентификацияны қосу және бір рет кіру механизмін (Single Sign-On) енгізу, сондай-ақ жаңа SSL сертификаттарын жүктеп алу және API кілттерін қалпына келтіру ұсынылады.
Осы жинаққа ақпарат жинау кезінде еріксіз бір ой туындады: күз бізге қанша керемет ағып кетеді?
Блогта тағы не оқуға болады?
→
→
→
→
→
Біздің жазылым Келесі мақаланы жіберіп алмау үшін арна! Біз аптасына екі реттен көп емес және тек бизнес бойынша жазамыз.
Ақпарат көзі: www.habr.com