Zatiaľ čo niektorí si užívali letné prázdniny, iní si užívali hromadu citlivých dát. Cloud4Y pripravil krátky prehľad o senzačných únikoch dát tohto leta.
Jún
1.
Viac ako 400-tisíc e-mailových adries a 160-tisíc telefónnych čísiel, ako aj 1200 XNUMX párov prihlasovacie heslo pre prístup k osobným účtom klientov najväčšej dopravnej spoločnosti Fesco bolo verejne prístupných. Reálnych údajov je pravdepodobne menej, pretože... položky sa môžu opakovať.
Prihlasovacie údaje a heslá sú platné, umožňujú získať kompletné informácie o preprave vykonanej spoločnosťou pre konkrétneho zákazníka, vrátane potvrdení o vykonaných prácach a skenov faktúr s kolkami.
Údaje boli sprístupnené verejnosti prostredníctvom protokolov, ktoré zanechal softvér CyberLines, ktorý používa Fesco. Okrem prihlasovacích údajov a hesiel obsahujú protokoly aj osobné údaje zástupcov klientskych spoločností Fesco: mená, čísla pasov, telefónne čísla.
2.
Dňa 9. júna 2019 sa dozvedeli o úniku údajov 900-tisíc klientov ruských bánk. Verejne boli sprístupnené údaje o pasoch, telefónne čísla, miesta pobytu a práce občanov Ruskej federácie. Postihnutí boli klienti Alfa Bank, OTP Bank a HKF Bank, ako aj asi 500 zamestnancov ministerstva vnútra a 40 ľudí z FSB.
Odborníci objavili dve databázy klientov Alfa Bank: jedna obsahuje údaje o viac ako 55-tisíc klientoch z rokov 2014–2015, druhá obsahuje 504 záznamov z rokov 2018–2019. Druhá databáza obsahuje aj údaje o zostatku na účte, obmedzené na rozsah 130–160 tisíc rubľov.
Júl
Zdá sa, že väčšina ľudí bola v júli na dovolenke, takže za celý mesiac došlo len k jednému viditeľnému úniku. Ale čo!
3.
Koncom mesiaca sa dozvedel o najväčšom úniku dát klientov bánk. Utrpel finančný holding Capital One, ktorý škodu odhadol na 100 – 150 miliónov USD. Boli ohrozené informácie zo žiadostí o kreditné karty a údaje existujúcich držiteľov kariet.
Spoločnosť tvrdí, že samotné údaje o kreditných kartách (čísla, CCV kódy atď.) zostali v bezpečí, no bolo odcudzených 140-tisíc rodných čísel a 80-tisíc bankových účtov. Okrem toho podvodníci získali úverovú históriu, výpisy, adresy, dátumy narodenia a platy klientov finančnej inštitúcie.
V Kanade bol ohrozený približne milión čísel sociálneho zabezpečenia. Hackeri za roky 23, 2016 a 2017 získali aj údaje o kartových transakciách roztrúsených do 2018 dní.
Capital One vykonala interné vyšetrovanie a uviedla, že ukradnuté informácie pravdepodobne neboli použité na podvodné účely. Zaujímalo by ma, v ktorých sa to vtedy používalo?
August
Keď sme si v júli oddýchli, v auguste sme sa vrátili s novým elánom. Takže.
O ukladaní biometrických údajov sa toho už popísalo veľa a je to tu opäť...
4.
V polovici augusta 2019 bol objavený únik viac ako milióna odtlačkov prstov a iných citlivých údajov. Zamestnanci spoločnosti tvrdia, že získali prístup k biometrickým údajom zo softvéru Biostar 2.
Biostar 2 používajú tisíce spoločností po celom svete, vrátane londýnskej polície, na kontrolu prístupu na zabezpečené stránky. Suprema, vývojár Biostar 2, tvrdí, že už pracuje na riešení tohto problému. Vedci poznamenávajú, že spolu so záznamami o odtlačkoch prstov našli fotografie ľudí, údaje o rozpoznávaní tváre, mená, adresy, heslá, históriu zamestnania a záznamy o návštevách chránených stránok. Mnohé obete sa obávajú, že Suprema nezverejnila potenciálne porušenie údajov, aby jej klienti mohli konať priamo na mieste.
Celkovo bolo v sieti objavených 23 gigabajtov dát obsahujúcich takmer 30 miliónov záznamov. Vedci poznamenávajú, že biometrické informácie sa po takomto úniku nikdy nemôžu stať dôvernými. Medzi spoločnosťami, ktorých údaje unikli, boli Power World Gyms, telocvičňa v Indii a na Srí Lanke (113 796 používateľských záznamov vrátane odtlačkov prstov), Global Village, každoročný festival v Spojených arabských emirátoch (15 000 odtlačkov prstov), Adecco Staffing, belgická náborová spoločnosť (2000 odtlačky prstov). Únik sa najviac dotkol britských používateľov a spoločností – voľne dostupné boli milióny osobných záznamov.
Platobný systém Mastercard oficiálne oznámil belgickým a nemeckým regulačným orgánom, že 19. augusta spoločnosť zaznamenala únik údajov „veľkého počtu“ zákazníkov, z ktorých „významnú časť“ tvoria nemeckí občania. Spoločnosť naznačila, že podnikla potrebné kroky a vymazala všetky osobné údaje klientov, ktoré sa objavili na internete. Incident podľa Mastercard súvisí s vernostným programom nemeckej spoločnosti tretej strany.
5.
Medzitým naši krajania tiež nespia. Ako sa hovorí: "Vďaka ruským železniciam, ale nie."
Únik údajov zamestnancov Ruských železníc, ktoré , sa v roku 2019 stala druhou najväčšou v Rusku. Čísla SNILS, adresy, telefónne čísla, fotografie, celé mená a funkcie 703 tisíc zamestnancov Ruských železníc zo 730 tisíc boli sprístupnené verejnosti.
Ruské železnice zverejnenie preverujú a pripravujú odvolanie orgánom činným v trestnom konaní. Osobné údaje cestujúcich neboli odcudzené, ubezpečuje spoločnosť.
6.
A práve včera Imperva oznámila únik dôverných informácií od viacerých svojich klientov. Incident zasiahol používateľov služby Imperva Cloud Web Application Firewall CDN, predtým známej ako Incapsula. Podľa publikácie na webe Imperva sa spoločnosť o incidente dozvedela 20. augusta tohto roku po nahlásení úniku dát u viacerých klientov, ktorí mali účty v službe pred 15. septembrom 2017.
Medzi napadnuté informácie patrili e-mailové adresy a hash hesiel používateľov, ktorí sa zaregistrovali pred 15. septembrom 2017, ako aj kľúče API a certifikáty SSL niektorých zákazníkov. Podrobnosti o tom, ako presne k úniku dát došlo, spoločnosť nezverejnila. Používateľom služby Cloud WAF sa odporúča zmeniť si heslá pre svoje účty, povoliť dvojfaktorovú autentifikáciu a implementovať mechanizmus jednotného prihlásenia (Single Sign-On), ako aj stiahnuť nové certifikáty SSL a resetovať kľúče API.
Pri zbieraní informácií pre túto kolekciu sa mimovoľne vynorila myšlienka: koľko úžasných únikov nám prinesie jeseň?
Čo si ešte môžete prečítať na blogu?
→
→
→
→
→
Prihláste sa na odber -kanál, aby ste nezmeškali ďalší článok! Píšeme si maximálne dvakrát do týždňa a len služobne.
Zdroj: hab.com