2018 metais visame pasaulyje užregistruoti 2263 vieši konfidencialios informacijos nutekinimo atvejai. Asmens duomenys ir mokėjimo informacija buvo pažeisti 86 % incidentų – tai yra apie 7,3 milijardo vartotojų duomenų įrašų. Japonijos kriptovaliutų birža Coincheck prarado 534 milijonus dolerių dėl savo klientų internetinių piniginių kompromiso. Tai buvo didžiausia pranešta žala.
Kol kas nežinoma, kokia bus 2019 metų statistika. Tačiau jau dabar yra gana daug sensacingų „nutekėjimų“, ir tai liūdna. Nusprendėme apžvelgti daugiausia diskusijų sukėlusius nutekėjimus nuo metų pradžios. „Bus daugiau“, kaip sakoma.
Sausio 18 d.: Kolekcijos bazės
Sausio 18 d. žiniasklaidoje pasirodė pranešimai apie duomenų bazę, rastą viešoje erdvėje pašto dėžutės su slaptažodžiais (įskaitant vartotojus iš Rusijos). Duomenų bazė buvo nutekintų duomenų bazių rinkinys iš maždaug dviejų tūkstančių skirtingų svetainių, sukauptų per kelerius metus. Už kurį ji gavo pavadinimą kolekcija Nr. 1. Pagal dydį tai pasirodė esanti antra pagal dydį nulaužtų adresų duomenų bazė istorijoje (pirmoji buvo 1 mlrd. Yahoo! vartotojų archyvas, pasirodęs 2013 m.).
Netrukus tapo aišku, kad kolekcija #1 buvo tik dalis duomenų masyvo, kuris atsidūrė įsilaužėlių rankose. Informacijos saugos specialistai aptiko ir kitų „Kolekcijų“, numeruotų nuo 2 iki 5, o jų bendra apimtis – 845 GB. Beveik visa informacija duomenų bazėse yra atnaujinta, nors kai kurie prisijungimai ir slaptažodžiai yra pasenę.
Kibernetinio saugumo ekspertas Brianas Krebsas susisiekė su įsilaužėliu, pardavinėjusiu archyvus, ir išsiaiškino, kad kolekcija Nr. 1 jau buvo maždaug dvejų ar trejų metų senumo. Anot įsilaužėlio, jis taip pat turi parduodamų naujesnių duomenų bazių, kurių tūris viršija keturis terabaitus.
Vasario 11 d.: vartotojų duomenų nutekėjimas iš 16 pagrindinių svetainių
vasario 11 d. registro leidimas kad Dream Market prekybos platforma parduoda 620 milijonų pagrindinių interneto paslaugų vartotojų duomenis:
- „Dubsmash“ (162 mln.)
- „MyFitnessPal“ (151 mln.)
- „MyHeritage“ (92 mln.)
- ShareThis (41 mln.)
- HauteLook (28 mln.)
- Animoto (25 mln.)
- „EyeEm“ (22 mln.)
- 8fit (20 mln.)
- „Whitepages“ (18 mln.)
- Fotologas (16 mln.)
- 500 piks. (15 mln.)
- „Armor Games“ (11 mln.)
- „BookMate“ (8 mln.)
- „CoffeeMeetsBagel“ (6 mln.)
- Artsy (1 mln.)
- „DataCamp“ (700 000)
Užpuolikai už visą duomenų bazę prašė apie 20 tūkst. USD, taip pat galėjo nusipirkti kiekvienos svetainės duomenų archyvą atskirai.
Į visas svetaines buvo įsilaužta skirtingu laiku. Pavyzdžiui, nuotraukų portalas 500px pranešė, kad nutekėjimas įvyko 5 metų liepos 2018 dieną, tačiau apie tai sužinota tik pasirodžius archyvui su duomenimis.
Duomenų bazės pašto adresus, vartotojo vardus ir slaptažodžius. Tačiau yra vienas džiuginantis faktas: slaptažodžiai dažniausiai vienaip ar kitaip užšifruojami. Tai reiškia, kad norėdami juos naudoti, pirmiausia turite sukti galvą dėl duomenų iššifravimo. Nors, jei slaptažodis yra paprastas, tai visiškai įmanoma jį atspėti.
Vasario 25 d.: atskleista MongoDB duomenų bazė
vasario 25 d., informacijos saugumo specialistas Bobas Dyachenko internete, neapsaugota 150 GB MongoDB duomenų bazė, kurioje yra daugiau nei 800 milijonų asmens duomenų įrašų. Archyve buvo elektroninio pašto adresai, pavardės, informacija apie lytį ir gimimo datą, telefonų numeriai, pašto kodai ir adresai bei IP adresai.
Probleminė duomenų bazė priklausė Verifications IO LLC, kuri užsiėmė elektroninio pašto rinkodara. Viena iš jos paslaugų buvo įmonių el. pašto tikrinimas. Kai tik žiniasklaidoje pasirodė informacija apie probleminę duomenų bazę, įmonės svetainė ir pati duomenų bazė tapo neprieinami. Vėliau „Verifications IO LLC“ atstovai pareiškė, kad duomenų bazėje nėra įmonės klientų duomenų ir ji buvo papildyta iš atvirų šaltinių.
Kovo 10 d.: „Facebook“ naudotojų duomenys nutekėjo per „FQuiz“ ir „Supertest“ programas
Kovo 10 d. „The Verge“ leidimas kad „Facebook“ padavė ieškinį dviem Ukrainos kūrėjams Glebui Slučevskiui ir Andrejui Gorbačiovui. Jie buvo apkaltinti vartotojų asmens duomenų vagyste.
Kūrėjai sukūrė programas testams atlikti. Šios programos įdiegė naršyklės plėtinius, kurie rinko vartotojo duomenis. Per 2017-2018 metus keturios programos, įskaitant FQuiz ir Supertest, sugebėjo pavogti maždaug 63 tūkstančių vartotojų duomenis. Daugiausia nukentėjo vartotojai iš Rusijos ir Ukrainos.
Kovo 21 d.: šimtai milijonų nešifruotų „Facebook“ slaptažodžių
Kovo 21 d. pranešė žurnalistas Brianas Krebsas kad „Facebook“ ilgą laiką nešifruotus saugojo milijonus slaptažodžių. Maždaug 20 200 bendrovės darbuotojų galėjo matyti 600–XNUMX milijonų „Facebook“ vartotojų slaptažodžius, nes jie buvo saugomi paprasto teksto formatu. Kai kurie „Instagram“ slaptažodžiai taip pat buvo įtraukti į šią neapsaugotą duomenų bazę. Netrukus pats socialinis tinklas bus oficialiai informacija.
Pedro Canahuati, „Facebook“ inžinerijos, saugumo ir privatumo viceprezidentas, teigė, kad slaptažodžių nešifravimo problema buvo išspręsta. Ir apskritai „Facebook“ prisijungimo sistemos yra sukurtos taip, kad slaptažodžiai būtų neįskaitomi. Bendrovė nerado įrodymų, kad prie nešifruotų slaptažodžių buvo prieita netinkamai.
Kovo 21 d.: „Toyota“ klientų duomenų nutekėjimas
Kovo pabaigoje Japonijos automobilių gamintojas Toyota kad įsilaužėliams pavyko pavogti iki 3,1 mln. įmonės klientų asmens duomenis. Kovo 21 d. buvo įsilaužta į „Toyota“ prekybos padalinių ir penkių antrinių įmonių sistemas.
Kokie klientų asmens duomenys buvo pavogti, bendrovė neatskleidė. Tačiau ji pareiškė, kad informacijos apie banko korteles užpuolikai negavo.
Kovo 21 d.: Lipecko srities pacientų duomenų paskelbimas EIS svetainėje
Visuomeninio judėjimo „Pacientų kontrolė“ aktyvistai kovo 21 d. kad Lipecko srities sveikatos departamento EIS svetainėje paskelbtoje informacijoje buvo pateikti pacientų asmens duomenys.
Skubios medicinos pagalbos paslaugų teikimo viešųjų pirkimų svetainėje buvo paskelbti keli aukcionai: pacientai turėjo būti perkelti į kitas įstaigas už regiono ribų. Aprašymuose buvo pateikta informacija apie paciento pavardę, namų adresą, diagnozę, TLK kodą, profilį ir pan. Neįtikėtina, kad vien per pastaruosius metus (!) pacientų duomenys buvo paskelbti ne mažiau kaip aštuonis kartus.
Lipecko srities sveikatos skyriaus vedėjas Jurijus Šuršukovas sakė, kad pradėtas vidinis tyrimas ir bus atsiprašyta pacientų, kurių duomenys buvo paskelbti. Įvykį tikrinti pradėjo ir Lipecko srities prokuratūra.
Balandžio 04 d.: nutekėjo 540 milijonų „Facebook“ vartotojų duomenys
Informacijos apsaugos įmonė „UpGuard“. apie daugiau nei 540 milijonų „Facebook“ vartotojų duomenų viešai prieinamumą.
Meksikos skaitmeninėje platformoje Cultura Colectiva buvo rasti socialinio tinklo narių įrašai su komentarais, simpatijomis ir paskyrų pavadinimais. O dabar nebeveikiančioje „At the Pool“ programėlėje buvo pasiekiami vardai, slaptažodžiai, el. pašto adresai ir kiti duomenys.
Balandžio 10 d.: internete nutekėjo greitosios pagalbos pacientų iš Maskvos srities duomenys
Greičiausiai skubios medicinos pagalbos stotyse (GMP) Maskvos regione. Teisėsaugos institucijos pradėjo išankstinį pranešimų apie įvykį patikrinimą.
Vienoje failų prieglobos tarnyboje buvo aptiktas 17,8 GB failas su informacija apie greitosios pagalbos iškvietimus Maskvos regione. Dokumente buvo nurodyta greitąją pagalbą iškvietusiojo vardas, pavardė, kontaktinis telefono numeris, adresas, kur buvo iškviesta brigada, iškvietimo data ir laikas, net paciento būklė. Buvo pažeisti Mitiščių, Dmitrovo, Dolgoprudny, Korolevo ir Balašichos gyventojų duomenys. Spėjama, kad bazę įrengė Ukrainos įsilaužėlių grupuotės aktyvistai.
Balandžio 12 d.: Centrinio banko juodasis sąrašas
Banko klientų duomenys iš Centrinio banko juodojo atsisakovų sąrašo pagal Kovos su pinigų plovimu įstatymą balandžio 12 d. Kalbėjome apie informaciją iš maždaug 120 tūkstančių klientų, kuriems buvo atsisakyta teikti paslaugas pagal Kovos su pinigų plovimu ir terorizmo finansavimu įstatymą (115-FZ).
Didžiąją duomenų bazės dalį sudaro fiziniai asmenys ir individualūs verslininkai, likusią dalį sudaro juridiniai asmenys. Asmenų duomenų bazėje pateikiama informacija apie jų vardą, pavardę, gimimo datą, seriją ir paso numerį. Apie individualius verslininkus - visas vardas ir INN, apie įmones - pavadinimas, INN, OGRN. Vienas iš bankų žurnalistams neoficialiai pripažino, kad sąraše yra tikrų atstumtų klientų. Duomenų bazė apima „refusenikus“ nuo 26 m. birželio 2017 d. iki 6 m. gruodžio 2017 d.
Balandžio 15 d.: paskelbti tūkstančių Amerikos policijos ir FTB darbuotojų asmens duomenys
Kibernetinių nusikaltėlių grupei pavyko nulaužti kelias svetaines, susijusias su JAV federaliniu tyrimų biuru. Ir ji internete paskelbė daugybę failų su asmenine tūkstančių policijos pareigūnų ir federalinių agentų informacija.
Naudodami viešai prieinamus išnaudojimus, užpuolikai sugebėjo gauti prieigą prie asociacijos, susijusios su FTB akademija Kvantiko mieste (Virdžinija), tinklo išteklių. Apie tai TechCrunch.
Pavogtame archyve buvo JAV teisėsaugos ir federalinių pareigūnų pavardės, adresai, telefonų numeriai, informacija apie jų el. pašto adresą ir pareigas. Iš viso yra apie 4000 skirtingų įrašų.
Balandžio 25 d.: „Docker Hub“ naudotojo duomenų nutekėjimas
Kibernetiniai nusikaltėliai gavo prieigą prie didžiausios pasaulyje konteinerių vaizdų bibliotekos „Docker Hub“ duomenų bazės, todėl buvo pažeisti maždaug 190 tūkst. vartotojų duomenys. Duomenų bazėje buvo naudotojų vardai, slaptažodžių maišos ir prieigos raktai, skirti „GitHub“ ir „Bitbucket“ saugykloms, naudojamoms automatizuotiems „Docker“ kūrimams.
Docker Hub administracija vartotojų apie incidentą vėlai penktadienį, balandžio 26 d. Remiantis oficialia informacija, apie neteisėtą prieigą prie duomenų bazės tapo žinoma balandžio 25 d. Įvykio tyrimas dar nebaigtas.
Taip pat galite prisiminti istoriją su Doc+, kuri buvo ne taip seniai ant Habré, nemalonu su piliečių mokėjimais kelių policijai ir FSSP bei kitais jo aprašytais nutekėjimais .
Kaip išvadą
Siaubą kelia valstybinių įstaigų, socialiniuose tinkluose ir didelėse interneto svetainėse saugomų duomenų nesaugumas, vagysčių mastai. Liūdna ir tai, kad nutekėjimai tapo įprasti. Daugelis žmonių, kurių asmens duomenys buvo pažeisti, apie tai net nežino. Ir jei jie žinos, jie nieko nedarys, kad apsisaugotų.
Šaltinis: www.habr.com