2018 metai eina į pabaigą, vadinasi, laikas apibendrinti jų rezultatus ir išvardinti reikšmingiausius duomenų nutekėjimus.
Ši apžvalga apima tik tikrai didelius informacijos nutekėjimo atvejus visame pasaulyje. Tačiau net nepaisant aukšto ribinio slenksčio, nutekėjimo atvejų yra tiek daug, kad peržiūrą teko padalyti į dvi dalis – po šešis mėnesius.
Pažiūrėkime, kas ir kaip nutekėjo šiemet nuo sausio iki birželio. Iš karto padarysiu išlygą, kad įvykio mėnuo nurodomas ne jo įvykio, o atskleidimo (viešo paskelbimo) laiku.
Taigi, eime...
Sausis
-
Kanados pažangioji konservatorių partija
Buvo įsilaužta į Kanados pažangiosios konservatorių partijos (Ontarijo filialo) konstitucinės informacijos valdymo sistemą (CIMS).
Pavogtoje duomenų bazėje buvo daugiau nei 1 milijono Ontarijo rinkėjų, taip pat partijos rėmėjų, aukotojų ir savanorių vardai, telefonų numeriai ir kita asmeninė informacija. -
Rosobrnadzoras
Informacijos apie diplomus ir kitus su jais pridedamus asmens duomenis nutekėjimas iš Federalinės švietimo ir mokslo priežiūros tarnybos svetainės.
Iš viso yra apie 14 milijonų įrašų su duomenimis apie buvusius studentus. Duomenų bazės dydis 5 GB.
Nutekėjo: diplomo serija ir numeris, priėmimo metai, baigimo metai, SNILS, INN, paso serija ir numeris, gimimo data, pilietybė, dokumentą išdavusi švietimo organizacija. -
Norvegijos regioninė sveikatos tarnyba
Užpuolikai įsilaužė į Pietų ir Rytų Norvegijos regioninės sveikatos tarnybos (Helse Sør-Øst RHF) sistemą ir gavo prieigą prie maždaug 2.9 milijono norvegų (daugiau nei pusės visų šalies gyventojų) asmens duomenų ir medicininių įrašų.
Tarp pavogtų medicininių duomenų buvo informacija apie vyriausybę, slaptąją tarnybą, karinius, politinius ir kitus visuomenės veikėjus.
vasaris
- Swisscom
Šveicarijos mobiliojo ryšio operatorius „Swisscom“ pripažino, kad buvo pažeisti apie 800 tūkst. jos klientų asmeniniai duomenys.
Buvo paveikti klientų vardai, adresai, telefonų numeriai ir gimimo datos.
kovas
-
pagal Šarvai
„Under Armour“ populiari kūno rengybos ir mitybos stebėjimo programa „MyFitnessPal“ patyrė didelį duomenų pažeidimą. Bendrovės duomenimis, nukentėjo apie 150 mln.
Užpuolikai sužinojo apie naudotojų vardus, el. pašto adresus ir slaptažodžių maišą. -
Orbitzas
Expedia Inc. (priklauso Orbitz) teigė, kad vienoje iš savo senų svetainių aptiko duomenų pažeidimą, kuris paveikė tūkstančius klientų.
Skaičiuojama, kad nutekėjimas palietė apie 880 tūkst.
Užpuolikas gavo prieigą prie duomenų apie pirkinius, įsigytus nuo 2016 m. sausio mėn. iki 2017 m. gruodžio mėn. Pavogta informacija yra gimimo datos, adresai, vardai ir pavardės bei mokėjimo kortelės informacija. -
MBM Company Inc
Viešoji „Amazon S3“ saugykla (AWS), kurioje yra atsarginė MS SQL duomenų bazės kopija su asmenine 1.3 milijono žmonių, gyvenančių JAV ir Kanadoje, informacija, buvo aptikta viešoje erdvėje.
Duomenų bazė priklausė Čikagoje įsikūrusiai juvelyrikos įmonei MBM Company Inc, kuri veikia su prekės ženklu Limoges Jewelry.
Duomenų bazėje buvo vardai, adresai, pašto kodai, telefono numeriai, elektroninio pašto adresai, IP adresai ir tekstiniai slaptažodžiai. Be to, buvo MBM Company Inc vidiniai adresų sąrašai, užšifruoti kredito kortelių duomenys, mokėjimo duomenys, reklamos kredito kodai ir produktų užsakymai.
Balandis
-
Delta Air Lines, Best Buy ir Sears Holding Corp.
Tikslinė specialios kenkėjiškos programos ataka prieš bendrovės [24]7.ai (Kalifornijos įmonė iš San Chosė, kurianti programas internetiniam klientų aptarnavimui) internetinių pokalbių programą.
Nutekėjo visi banko kortelių duomenys – kortelių numeriai, CVV kodai, galiojimo datos, savininkų vardai ir adresai.
Žinomas tik apytikslis nutekėjusių duomenų kiekis. „Sears Holding Corp. tai yra šiek tiek mažiau nei 100 tūkstančių banko kortelių, Delta Air Lines tai yra šimtai tūkstančių kortelių (aviakompanija nepraneša tiksliau). Pažeistų „Best Buy“ kortelių skaičius nežinomas. Visos kortelės buvo nutekintos nuo 26 m. rugsėjo 12 d. iki spalio 2017 d.
[24]7.ai prireikė daugiau nei 5 mėnesių po to, kai atrado ataką prieš jos paslaugą, kad praneštų klientams (Delta, Best Buy ir Sears) apie incidentą. -
Panera Duona
Populiarių kepyklų kavinių tinklo svetainėje tiesiog gulėjo failas su daugiau nei 37 milijonų klientų asmeniniais duomenimis.
Nutekėję duomenys apėmė klientų vardus, el. pašto adresus, gimimo datas, pašto adresus ir paskutinius keturis kredito kortelių numerių skaitmenis. -
Saksas, Lordas ir Teiloras
Daugiau nei 5 milijonai banko kortelių buvo pavogti iš Saks Fifth Avenue mažmeninės prekybos tinklų (įskaitant Saks Fifth Avenue OFF 5TH tinklą) ir Lord & Taylor.
Kortelių duomenims pavogti įsilaužėliai naudojo specialią kasos aparatų ir PoS terminalų programinę įrangą. -
„Careem“
Per kibernetinę ataką prieš Careem (didžiausias Uber konkurentas Artimuosiuose Rytuose) serverius įsilaužėliai pavogė maždaug 14 milijonų žmonių Viduriniuose Rytuose, Šiaurės Afrikoje, Pakistane ir Turkijoje.
Bendrovė aptiko kompiuterinės sistemos, kurioje saugomi klientų ir vairuotojų kredencialai 13 šalių, pažeidimą.
Buvo pavogti vardai, el. pašto adresai, telefonų numeriai ir kelionių duomenys.
Gegužės
- Pietų Afrikos Respublika
Duomenų bazė, kurioje saugomi maždaug 1 milijono Pietų Afrikos gyventojų asmens duomenys, buvo aptikta viešame žiniatinklio serveryje, priklausančiame įmonei, kuri apdoroja elektroninius mokėjimus už eismo baudas.
Duomenų bazėje buvo tekstinės formos vardai, identifikavimo numeriai, el. pašto adresai ir slaptažodžiai.
birželis
-
Tiksliai
Rinkodaros bendrovė „Exactis“ iš Floridos, JAV, laikė maždaug 2 terabaitų dydžio „Elasticsearch“ duomenų bazę, kurioje buvo daugiau nei 340 mln.
Duomenų bazėje rasta apie 230 mln. asmenų (suaugusiųjų) asmens duomenų ir apie 110 mln. įvairių organizacijų kontaktų.
Verta paminėti, kad iš viso JAV gyvena apie 249.5 milijono suaugusiųjų – tai yra, galime sakyti, kad duomenų bazėje yra informacijos apie kiekvieną suaugusį amerikietį. -
Sacramento Bee
Nežinomi įsilaužėliai pavogė dvi duomenų bazes, priklausančias Kalifornijos laikraščiui „The Sacramento Bee“.
Pirmojoje duomenų bazėje buvo 19.4 mln. įrašų su Kalifornijos rinkėjų asmeniniais duomenimis.
Antroje duomenų bazėje buvo 53 tūkst. įrašų su informacija apie laikraščių prenumeratorius. -
Bilietas
„Eventbrite“ priklausanti koncertų bilietų pardavimo paslauga „Ticketfly“ pranešė apie įsilaužėlių ataką savo duomenų bazėje.
Paslaugos klientų bazę pavogė įsilaužėlis IsHaKdZ, pareikalavęs 7502 USD bitkoinų už jos neplatinimą.
Duomenų bazėje buvo „Ticketfly“ klientų ir net kai kurių tarnybos darbuotojų vardai, pavardės, pašto adresai, telefonų numeriai ir el. pašto adresai, iš viso daugiau nei 27 mln. -
MyHeritage
Nutekėjo 92 milijonai Izraelio genealoginės tarnybos „MyHeritage“ paskyrų (prisijungimų, slaptažodžių maišos). Paslauga saugo vartotojų DNR informaciją ir kuria jų šeimos medžius. -
„Dixons Carphone“
Elektronikos tinklas „Dixons Carphone“, turintis mažmeninės prekybos parduotuves JK ir Kipre, pranešė, kad dėl neteisėtos prieigos prie bendrovės IT infrastruktūros buvo nutekinti 1.2 mln. klientų asmeniniai duomenys, įskaitant vardus, adresus ir elektroninio pašto adresus.
Be to, nutekėjo 105 tūkstančių banko kortelių be įmontuoto lusto numeriai.
Turi būti tęsiama ...
Kanale operatyviai skelbiamos nuolatinės žinios apie atskirus duomenų nutekėjimo atvejus .
Šaltinis: www.habr.com