Mens noen nøt sommerferien, nøt andre med sensitive data. Cloud4Y har utarbeidet en kort oversikt over de oppsiktsvekkende datalekkasjene denne sommeren.
juni
1.
Mer enn 400 160 e-postadresser og 1200 XNUMX telefonnumre, samt XNUMX XNUMX påloggingspassordpar for å få tilgang til de personlige kontoene til kunder til det største transportselskapet Fesco var i det offentlige domene. Det er sannsynligvis mindre reelle data, fordi... oppføringer kan gjentas.
Pålogginger og passord er gyldige, de lar deg få fullstendig informasjon om transport utført av selskapet for en spesifikk kunde, inkludert sertifikater for utført arbeid og skanning av fakturaer med frimerker.
Dataene ble gjort offentlig tilgjengelig gjennom logger etterlatt av CyberLines-programvaren brukt av Fesco. I tillegg til pålogginger og passord, inneholder loggene også personopplysninger om representanter for Fesco-klientselskaper: navn, passnummer, telefonnumre.
2.
9. juni 2019 ble det kjent om en datalekkasje på 900 tusen kunder i russiske banker. Passdata, telefonnumre, bosted og arbeid til borgere i Den russiske føderasjonen ble gjort offentlig tilgjengelig. Kunder i Alfa Bank, OTP Bank og HKF Bank ble berørt, samt rundt 500 ansatte i innenriksdepartementet og 40 personer fra FSB.
Eksperter oppdaget to databaser med Alfa Bank-kunder: den ene inneholder data om mer enn 55 tusen kunder fra 2014–2015, den andre inneholder 504 poster fra 2018–2019. Den andre databasen inneholder også data om kontosaldoen, begrenset til området 130–160 tusen rubler.
juli
Det ser ut til at de fleste var på ferie i juli, så det var bare én merkbar lekkasje hele måneden. Men hva!
3.
I slutten av måneden ble det kjent om den største datalekkasjen til bankkunder. Den finansielle beholdningen Capital One ble påført, og estimerte skaden til 100-150 millioner dollar. Som et resultat av hacket fikk angripere tilgang til dataene til 100 millioner Capital One-kunder i USA og 6 millioner i Canada. Informasjon fra søknader om kredittkort og data til eksisterende kortholdere ble kompromittert.
Selskapet hevder at selve kredittkortdataene (numre, CCV-koder osv.) forble trygge, men 140 tusen personnummer og 80 tusen bankkontoer ble stjålet. I tillegg innhentet svindlerne kreditthistorier, uttalelser, adresser, fødselsdato og lønn til finansinstitusjonens klienter.
I Canada ble omtrent en million personnummer kompromittert. Hackerne innhentet også data om korttransaksjoner spredt over 23 dager for 2016, 2017 og 2018.
Capital One gjennomførte en intern etterforskning og uttalte at den stjålne informasjonen neppe ble brukt til uredelige formål. Jeg lurer på hvilke den ble brukt i da?
Augustus
Etter å ha hvilt i juli, kom vi tilbake i august med fornyet kraft. Så.
Mye har allerede blitt sagt om lagring av biometri, og så er det igjen...
4.
I midten av august 2019 ble det oppdaget en lekkasje på mer enn en million fingeravtrykk og andre sensitive data. Ansatte i selskapet hevder at de fikk tilgang til biometriske data fra Biostar 2-programvaren.
Biostar 2 brukes av tusenvis av selskaper over hele verden, inkludert London Police, for å kontrollere tilgangen til sikre nettsteder. Suprema, utvikleren av Biostar 2, hevder at de allerede jobber med en løsning på dette problemet. Forskerne bemerker at sammen med fingeravtrykksregistreringer fant de fotografier av mennesker, ansiktsgjenkjenningsdata, navn, adresser, passord, ansettelseshistorikk og registreringer av besøk på beskyttede nettsteder. Mange ofre er bekymret for at Suprema ikke avslørte det potensielle datainnbruddet slik at klientene kunne iverksette tiltak på bakken.
Totalt ble 23 gigabyte med data som inneholder nesten 30 millioner poster oppdaget på nettverket. Forskerne bemerker at biometrisk informasjon aldri kan bli konfidensiell etter en slik lekkasje. Blant selskapene hvis data ble lekket var Power World Gyms, et treningsstudio i India og Sri Lanka (113 796 brukerregistreringer inkludert fingeravtrykk), Global Village, en årlig festival i UAE (15 000 fingeravtrykk), Adecco Staffing, et belgisk rekrutteringsselskap (2000) fingeravtrykk). Lekkasjen rammet britiske brukere og selskaper mest – millioner av personlige poster var fritt tilgjengelig.
Betalingssystem Mastercard informerte offisielt belgiske og tyske regulatorer om at selskapet den 19. august registrerte en lekkasje av data fra et "stort antall" kunder, "hvorav en betydelig del" er tyske statsborgere. Selskapet indikerte at det hadde tatt de nødvendige skritt og slettet alle personlige data om klienter som hadde dukket opp på Internett. Ifølge Mastercard er hendelsen knyttet til lojalitetsprogrammet til et tysk tredjepartsselskap.
5.
I mellomtiden sover heller ikke våre landsmenn. Som de sier: "Takk til russiske jernbaner, men nei."
Lekkasje av data fra ansatte ved Russian Railways, som , ble den nest største i Russland i 2019. SNILS-numre, adresser, telefonnumre, bilder, fulle navn og stillinger til 703 tusen ansatte ved russiske jernbaner av 730 tusen ble gjort offentlig tilgjengelig.
Russian Railways sjekker publikasjonen og forbereder en appell til rettshåndhevelsesbyråer. Personopplysningene til passasjerene ble ikke stjålet, forsikrer selskapet.
6.
Og bare i går annonserte Imperva en lekkasje av konfidensiell informasjon fra en rekke av sine kunder. Hendelsen påvirket brukere av Imperva Cloud Web Application Firewall CDN-tjenesten, tidligere kjent som Incapsula. Ifølge en publikasjon på nettstedet Imperva ble selskapet kjent med hendelsen 20. august i år etter en melding om en datalekkasje for en rekke kunder som hadde kontoer i tjenesten før 15. september 2017.
Den kompromitterte informasjonen inkluderte e-postadresser og passord-hasher til brukere som registrerte seg før 15. september 2017, samt API-nøkler og SSL-sertifikater fra enkelte kunder. Selskapet avslørte ikke detaljer om nøyaktig hvordan datalekkasjen skjedde. Brukere av Cloud WAF-tjenesten anbefales å endre passord for kontoene sine, aktivere tofaktorautentisering og implementere en enkeltpåloggingsmekanisme (Single Sign-On), samt laste ned nye SSL-sertifikater og tilbakestille API-nøkler.
Ved innsamling av informasjon til denne samlingen dukket det ufrivillig opp en tanke: hvor mange fantastiske lekkasjer vil høsten bringe oss?
Hva annet kan du lese på bloggen?
→
→
→
→
→
Abonner på vår -kanal slik at du ikke går glipp av neste artikkel! Vi skriver ikke mer enn to ganger i uken og kun på forretningsreise.
Kilde: www.habr.com