Rok 2018 dobiega końca, a to oznacza, że czas podsumować jego wyniki i wymienić najważniejsze wycieki danych.
W tym przeglądzie uwzględniono jedynie naprawdę duże przypadki wycieków informacji na całym świecie. Jednak nawet pomimo wysokiego progu odcięcia przypadków przecieków jest tak wiele, że przegląd trzeba było podzielić na dwie części – po sześć miesięcy.
Przyjrzyjmy się, co i jak wyciekało w tym roku od stycznia do czerwca. Od razu zastrzegam, że na miesiąc zdarzenia wskazuje się nie moment jego zaistnienia, lecz moment ujawnienia (ogłoszenia publicznego).
Więc chodźmy...
styczeń
-
Postępowa Partia Konserwatywna Kanady
Do systemu zarządzania informacjami składowymi (CIMS) Postępowej Partii Konserwatywnej Kanady (oddział w Ontario) doszło zhakowanie.
Skradziona baza danych zawierała nazwiska, numery telefonów i inne dane osobowe ponad miliona wyborców w Ontario, a także zwolenników partii, darczyńców i wolontariuszy. -
Rosobrnadzor
Wyciek informacji o dyplomach i innych towarzyszących im danych osobowych ze strony internetowej Federalnej Służby Nadzoru Oświaty i Nauki.
W sumie istnieje około 14 milionów rekordów z danymi byłych studentów. Rozmiar bazy danych 5 GB.
Wyciekły: seria i numer dyplomu, rok przyjęcia, rok ukończenia studiów, SNILS, INN, seria i numer paszportu, data urodzenia, narodowość, organizacja edukacyjna, która wydała dokument. -
Norweski Regionalny Urząd ds. Zdrowia
Napastnicy włamali się do systemu Regionalnego Urzędu ds. Zdrowia Południowej i Wschodniej Norwegii (Helse Sør-øst RHF) i uzyskali dostęp do danych osobowych i dokumentacji medycznej około 2.9 mln Norwegów (ponad połowa wszystkich mieszkańców kraju).
Skradzione dane medyczne obejmowały informacje na temat rządu, tajnych służb, wojska, polityki i innych osób publicznych.
luty
- Swisscom
Szwajcarski operator komórkowy Swisscom przyznał, że dane osobowe około 800 tys. jego klientów zostały naruszone.
Miało to wpływ na nazwiska, adresy, numery telefonów i daty urodzenia klientów.
marzec
-
Under Armour
W popularnej aplikacji Under Armour do śledzenia kondycji i odżywiania MyFitnessPal doszło do poważnego naruszenia bezpieczeństwa danych. Według firmy problem dotyczy około 150 milionów użytkowników.
Osoby atakujące poznały nazwy użytkowników, adresy e-mail i zaszyfrowane hasła. -
Orbitz
Expedia Inc. (właściciel Orbitz) stwierdził, że odkrył naruszenie danych w jednej ze swoich starszych witryn, które dotknęło tysiące klientów.
Szacuje się, że wyciek dotyczył około 880 tys. kart bankowych.
Osoba atakująca uzyskała dostęp do danych dotyczących zakupów dokonanych w okresie od stycznia 2016 r. do grudnia 2017 r. Skradzione informacje obejmują daty urodzenia, adresy, imiona i nazwiska oraz dane kart płatniczych. -
Firma MBM Inc
W domenie publicznej odkryto publiczną pamięć masową Amazon S3 (AWS) zawierającą kopię zapasową bazy danych MS SQL zawierającą dane osobowe 1.3 miliona osób mieszkających w Stanach Zjednoczonych i Kanadzie.
Baza danych należała do MBM Company Inc, firmy jubilerskiej z siedzibą w Chicago, działającej pod marką Limoges Jewelry.
Baza danych zawierała nazwiska, adresy, kody pocztowe, numery telefonów, adresy e-mail, adresy IP i hasła tekstowe. Ponadto istniały wewnętrzne listy mailingowe MBM Company Inc, zaszyfrowane dane kart kredytowych, dane dotyczące płatności, kody promocyjne i zamówienia produktów.
kwiecień
-
Delta Air Lines, Best Buy i Sears Holding Corp.
Ukierunkowany atak specjalnego szkodliwego oprogramowania na aplikację do czatowania online firmy [24]7.ai (kalifornijskiej firmy z San Jose, która tworzy aplikacje do obsługi klienta online).
Wyciekły pełne dane kart bankowych – numery kart, kody CVV, daty ważności, nazwiska i adresy właścicieli.
Znana jest tylko przybliżona ilość wyciekających danych. Dla Sears Holding Corp. to nieco mniej niż 100 tysięcy kart bankowych, dla Delta Air Lines to setki tysięcy kart (linia lotnicza nie podaje dokładniej). Liczba przejętych kart w Best Buy jest nieznana. Wszystkie karty wyciekły między 26 września a 12 października 2017 r.
Powiadomienie klientów (Delta, Best Buy i Sears) o incydencie zajęło [24]7.ai ponad 5 miesięcy od wykrycia ataku na jego usługę. -
Panera Bread
Plik z danymi osobowymi ponad 37 milionów klientów po prostu leżał w otwartej formie na stronie internetowej sieci popularnych kawiarni-piekarni.
Wyciekły dane obejmowały nazwiska klientów, adresy e-mail, daty urodzenia, adresy pocztowe i cztery ostatnie cyfry numerów kart kredytowych. -
Saks, Lord i Taylor
Z sieci Saks Fifth Avenue (w tym Saks Fifth Avenue OFF 5TH) oraz Lord & Taylor skradziono ponad 5 mln kart bankowych.
Hakerzy wykorzystali specjalne oprogramowanie w kasach fiskalnych i terminalach PoS do kradzieży danych kart. -
Careem
Dane osobowe około 14 milionów ludzi na Bliskim Wschodzie, w Afryce Północnej, Pakistanie i Turcji zostały skradzione przez hakerów w wyniku cyberataku na serwery Careem (największego konkurenta Ubera na Bliskim Wschodzie).
Firma odkryła lukę w systemie komputerowym przechowującym dane uwierzytelniające klientów i kierowców w 13 krajach.
Skradziono nazwiska, adresy e-mail, numery telefonów i dane dotyczące podróży.
maj
- Republika Południowej Afryki
Na publicznym serwerze internetowym należącym do firmy przetwarzającej elektroniczne płatności za mandaty drogowe odkryto bazę danych zawierającą dane osobowe około 1 miliona mieszkańców Republiki Południowej Afryki.
Baza danych zawierała nazwiska, numery identyfikacyjne, adresy e-mail i hasła w formie tekstowej.
czerwiec
-
Dokładny
Firma marketingowa Exactis z Florydy w USA prowadziła bazę danych Elasticsearch o rozmiarze około 2 terabajtów, zawierającą ponad 340 milionów publicznie dostępnych rekordów.
W bazie danych odnaleziono około 230 milionów danych osobowych osób fizycznych (dorosłych) oraz około 110 milionów kontaktów różnych organizacji.
Warto dodać, że w Stanach Zjednoczonych mieszka łącznie około 249.5 mln dorosłych osób – czyli można powiedzieć, że w bazie znajdują się informacje o każdym dorosłym Amerykaninie. -
Sacramento Bee
Nieznani hakerzy ukradli dwie bazy danych należące do kalifornijskiej gazety The Sacramento Bee.
Pierwsza baza danych zawierała 19.4 mln rekordów z danymi osobowymi wyborców z Kalifornii.
Druga baza zawierała 53 tys. rekordów z informacjami o abonentach gazet. -
Biletowe
Ticketfly, serwis sprzedaży biletów na koncerty należący do Eventbrite, zgłosił atak hakerski na swoją bazę danych.
Baza klientów usługi została skradziona przez hakera IsHaKdZ, który zażądał 7502 dolarów w bitcoinach za niedystrybucję.
Baza danych zawierała nazwiska, adresy pocztowe, numery telefonów i adresy e-mail klientów Ticketfly, a nawet niektórych pracowników serwisu, co dało w sumie ponad 27 milionów rekordów. -
MyHeritage
Wyciekły 92 miliony kont (loginy, skróty haseł) izraelskiego serwisu genealogicznego MyHeritage. Usługa przechowuje informacje DNA użytkowników i buduje ich drzewa genealogiczne. -
Dixons Carphone
Sieć elektroniczna Dixons Carphone, która ma sklepy detaliczne w Wielkiej Brytanii i na Cyprze, podała, że dane osobowe 1.2 miliona klientów, w tym imiona i nazwiska, adresy i adresy e-mail, wyciekły w wyniku nieuprawnionego dostępu do infrastruktury informatycznej firmy.
Ponadto wyciekły numery 105 tys. kart bankowych bez wbudowanego chipa.
To be continued ...
Na kanale regularnie pojawiają się informacje o poszczególnych przypadkach wycieków danych .
Źródło: www.habr.com