O ano de 2018 está chegando ao fim, o que significa que é hora de resumir os resultados e listar os vazamentos de dados mais significativos.
Esta revisão inclui apenas casos realmente grandes de vazamento de informações em todo o mundo. No entanto, mesmo apesar do elevado limiar, existem tantos casos de fugas que a revisão teve de ser dividida em duas partes - por seis meses.
Vejamos o que e como vazou este ano, de janeiro a junho. Deixe-me desde já fazer uma ressalva que o mês do incidente é indicado não pelo momento da sua ocorrência, mas pelo momento da divulgação (anúncio público).
Então vamos...
janeiro
-
Partido Conservador Progressista do Canadá
O Sistema de Gestão de Informações Constituintes (CIMS) do Partido Conservador Progressista do Canadá (filial de Ontário) foi hackeado.
O banco de dados roubado continha nomes, números de telefone e outras informações pessoais de mais de 1 milhão de eleitores de Ontário, bem como de apoiadores de partidos, doadores e voluntários. -
Rosobrnadzor
Vazamento de informações sobre diplomas e demais dados pessoais que os acompanham do site do Serviço Federal de Supervisão da Educação e Ciência.
No total são cerca de 14 milhões de registros com dados de ex-alunos. Tamanho do banco de dados 5 GB.
Vazado: série e número do diploma, ano de admissão, ano de graduação, SNILS, TIN, série e número do passaporte, data de nascimento, nacionalidade, entidade educacional que emitiu o documento. -
Autoridade Regional de Saúde Norueguesa
Os atacantes invadiram o sistema da Autoridade Regional de Saúde do Sul e Leste da Noruega (Helse Sør-Øst RHF) e obtiveram acesso aos dados pessoais e registos médicos de cerca de 2.9 milhões de noruegueses (mais de metade de todos os residentes do país).
Os dados médicos roubados incluíam informações sobre o governo, os serviços secretos, militares, políticos e outras figuras públicas.
Fevereiro
- Swisscom
A operadora móvel suíça Swisscom admitiu que os dados pessoais de cerca de 800 mil dos seus clientes foram comprometidos.
Nomes, endereços, números de telefone e datas de nascimento dos clientes foram afetados.
Março
-
Under Armour
O popular aplicativo de monitoramento de fitness e nutrição da Under Armour, MyFitnessPal, sofreu uma grande violação de dados. Segundo a empresa, cerca de 150 milhões de usuários são afetados.
Os invasores tomaram conhecimento de nomes de usuário, endereços de e-mail e senhas com hash. -
Orbitz
Expedia Inc. (proprietária da Orbitz) disse que descobriu uma violação de dados em um de seus sites legados, afetando milhares de clientes.
Estima-se que o vazamento tenha afetado cerca de 880 mil cartões bancários.
O invasor obteve acesso a dados de compras realizadas entre janeiro de 2016 e dezembro de 2017. As informações roubadas incluem datas de nascimento, endereços, nomes completos e informações de cartões de pagamento. -
MBM Company Inc.
Um armazenamento público Amazon S3 (AWS) contendo uma cópia de backup de um banco de dados MS SQL com informações pessoais de 1.3 milhão de pessoas que vivem nos Estados Unidos e Canadá foi descoberto em domínio público.
O banco de dados pertencia à MBM Company Inc, uma joalheria com sede em Chicago e que opera sob a marca Limoges Jewelry.
O banco de dados continha nomes, endereços, códigos postais, números de telefone, endereços de e-mail, endereços IP e senhas de texto. Além disso, havia listas de e-mail internas da MBM Company Inc, dados criptografados de cartão de crédito, dados de pagamento, códigos promocionais e pedidos de produtos.
Abril
-
Delta Air Lines, Best Buy e Sears Holding Corp.
Ataque direcionado de malware especial ao aplicativo de bate-papo online da empresa [24]7.ai (uma empresa californiana de San Jose que desenvolve aplicativos para atendimento ao cliente online).
Dados completos de cartões bancários foram vazados – números de cartões, códigos CVV, datas de validade, nomes e endereços dos proprietários.
Apenas a quantidade aproximada de dados vazados é conhecida. Para a Sears Holding Corp. isso é um pouco menos de 100 mil cartões bancários, para a Delta Air Lines são centenas de milhares de cartões (a companhia aérea não informa com mais precisão). O número de cartões comprometidos da Best Buy é desconhecido. Todos os cartões vazaram entre 26 de setembro e 12 de outubro de 2017.
Após a descoberta do ataque ao seu serviço, a [24]7.ai demorou mais de 5 meses para notificar os clientes (Delta, Best Buy e Sears) sobre o incidente. -
Panera Bread
Um arquivo com dados pessoais de mais de 37 milhões de clientes estava simplesmente em formato aberto no site de uma rede de padarias populares.
Os dados vazados incluíam nomes de clientes, endereços de e-mail, datas de nascimento, endereços para correspondência e os últimos quatro dígitos de números de cartão de crédito. -
Saks, Senhor e Taylor
Mais de 5 milhões de cartões bancários foram roubados das redes de varejo Saks Fifth Avenue (incluindo a rede Saks Fifth Avenue OFF 5TH) e Lord & Taylor.
Os hackers usaram software especial em caixas registradoras e terminais PoS para roubar dados de cartões. -
qual
Os dados pessoais de aproximadamente 14 milhões de pessoas no Médio Oriente, Norte de África, Paquistão e Turquia foram roubados por hackers num ataque cibernético aos servidores da Careem (maior concorrente da Uber no Médio Oriente).
A empresa descobriu uma violação no sistema informático que armazena credenciais de clientes e motoristas em 13 países.
Nomes, endereços de e-mail, números de telefone e dados de viagens foram roubados.
maio
- África do Sul
Uma base de dados contendo dados pessoais de aproximadamente 1 milhão de sul-africanos foi descoberta num servidor público de propriedade de uma empresa que processa pagamentos eletrônicos de multas de trânsito.
O banco de dados continha nomes, números de identificação, endereços de e-mail e senhas em formato de texto.
Junho
-
exato
A empresa de marketing Exactis, da Flórida, EUA, mantinha um banco de dados Elasticsearch de cerca de 2 terabytes contendo mais de 340 milhões de registros disponíveis publicamente.
Cerca de 230 milhões de dados pessoais de indivíduos (adultos) e cerca de 110 milhões de contatos de diversas organizações foram encontrados na base de dados.
Vale ressaltar que no total existem cerca de 249.5 milhões de adultos vivendo nos Estados Unidos – ou seja, podemos dizer que o banco de dados contém informações sobre cada adulto americano. -
Sacramento Bee
Hackers desconhecidos roubaram dois bancos de dados pertencentes ao jornal californiano The Sacramento Bee.
O primeiro banco de dados continha 19.4 milhões de registros com dados pessoais de eleitores da Califórnia.
A segunda base continha 53 mil registros com informações sobre assinantes de jornais. -
Ticketfly
Ticketfly, um serviço de venda de ingressos para shows de propriedade da Eventbrite, relatou um ataque de hacker em seu banco de dados.
A base de clientes do serviço foi roubada pelo hacker IsHaKdZ, que exigiu US$ 7502 em bitcoins pela sua não distribuição.
A base de dados continha nomes, endereços postais, números de telefone e endereços de e-mail de clientes da Ticketfly e até de alguns funcionários do serviço, totalizando mais de 27 milhões de registros. -
MyHeritage
92 milhões de contas (logins, hashes de senha) do serviço genealógico israelense MyHeritage vazaram. O serviço armazena informações de DNA dos usuários e constrói suas árvores genealógicas. -
Telefone Dixons
A rede de eletrônicos Dixons Carphone, que possui lojas de varejo no Reino Unido e em Chipre, disse que os dados pessoais de 1.2 milhão de clientes, incluindo nomes, endereços e endereços de e-mail, foram vazados como resultado de acesso não autorizado à infraestrutura de TI da empresa.
Além disso, vazaram números de 105 mil cartões bancários sem chip embutido.
Para ser continuado ...
Notícias regulares sobre casos individuais de vazamento de dados são publicadas prontamente no canal .
Fonte: habr.com