Rok 2018 sa blíži ku koncu, čo znamená, že je čas zhrnúť jeho výsledky a vymenovať najvýznamnejšie úniky dát.
Táto recenzia zahŕňa len naozaj veľké prípady úniku informácií po celom svete. Aj napriek vysokému hraničnému prahu však existuje toľko prípadov únikov, že preskúmanie bolo potrebné rozdeliť na dve časti – na šesť mesiacov.
Pozrime sa, čo a ako uniklo tento rok od januára do júna. Dovoľte mi hneď urobiť výhradu, že mesiac incidentu nie je označený časom jeho vzniku, ale časom zverejnenia (verejného oznámenia).
Tak, poďme...
Január
-
Progresívna konzervatívna strana Kanady
Konštituentný systém správy informácií (CIMS) Progresívnej konzervatívnej strany Kanady (pobočka v Ontáriu) bol napadnutý hackermi.
Ukradnutá databáza obsahovala mená, telefónne čísla a ďalšie osobné informácie viac ako 1 milióna voličov v Ontáriu, ako aj priaznivcov strany, darcov a dobrovoľníkov. -
Rosobrnadzor
Únik informácií o diplomoch a iných osobných údajoch, ktoré ich sprevádzajú, z webovej stránky Federálnej služby pre dohľad nad vzdelávaním a vedou.
Celkovo existuje asi 14 miliónov záznamov s údajmi o bývalých študentoch. Veľkosť databázy 5 GB.
Uniknuté: séria a číslo diplomu, rok prijatia, rok absolvovania, SNILS, INN, séria a číslo pasu, dátum narodenia, štátna príslušnosť, vzdelávacia organizácia, ktorá dokument vydala. -
Nórsky regionálny zdravotnícky úrad
Útočníci hackli systém Regionálneho zdravotného úradu južného a východného Nórska (Helse Sør-Øst RHF) a získali prístup k osobným údajom a zdravotným záznamom približne 2.9 milióna Nórov (viac ako polovica všetkých obyvateľov krajiny).
Ukradnuté lekárske údaje obsahovali informácie o vláde, tajnej službe, armáde, politike a iných verejných osobnostiach.
Február
- Swisscom
Švajčiarsky mobilný operátor Swisscom priznal, že došlo k ohrozeniu osobných údajov asi 800-tisíc jeho zákazníkov.
Postihnuté boli mená, adresy, telefónne čísla a dátumy narodenia zákazníkov.
Marec
-
under Armour
Populárna aplikácia na sledovanie kondície a výživy od Under Armour MyFitnessPal utrpela veľké porušenie údajov. Podľa spoločnosti sa to týka približne 150 miliónov používateľov.
Útočníci sa dozvedeli o používateľských menách, e-mailových adresách a hashovaných heslách. -
Orbitz
Expedia Inc. (vlastní Orbitz) uviedla, že zistila porušenie údajov na jednej zo svojich starších stránok, ktoré postihuje tisíce zákazníkov.
Odhaduje sa, že únik sa dotkol asi 880-tisíc bankových kariet.
Útočník získal prístup k údajom o nákupoch uskutočnených v období od januára 2016 do decembra 2017. Ukradnuté informácie zahŕňajú dátumy narodenia, adresy, celé mená a informácie o platobných kartách. -
Spoločnosť MBM Company Inc
Verejné úložisko Amazon S3 (AWS) obsahujúce záložnú kópiu databázy MS SQL s osobnými informáciami 1.3 milióna ľudí žijúcich v Spojených štátoch a Kanade bolo objavené vo verejnej doméne.
Databáza patrila spoločnosti MBM Company Inc, klenotníckej spoločnosti so sídlom v Chicagu a pôsobiacej pod značkou Limoges Jewelry.
Databáza obsahovala mená, adresy, poštové smerovacie čísla, telefónne čísla, e-mailové adresy, IP adresy a textové heslá. Okrem toho existovali interné zoznamy adresátov MBM Company Inc, šifrované údaje o kreditných kartách, platobné údaje, propagačné kódy a objednávky produktov.
Apríl
-
Delta Air Lines, Best Buy a Sears Holding Corp.
Cielený útok špeciálneho malvéru na online chatovú aplikáciu spoločnosti [24]7.ai (kalifornská spoločnosť zo San Jose, ktorá vyvíja aplikácie pre online zákaznícky servis).
Unikli úplné údaje o bankových kartách – čísla kariet, CVV kódy, dátumy expirácie, mená a adresy vlastníkov.
Známe je len približné množstvo uniknutých dát. Pre Sears Holding Corp. to je o niečo menej ako 100 tisíc bankových kariet, pre Delta Air Lines ide o státisíce kariet (letecká spoločnosť presnejšie neuvádza). Počet napadnutých kariet pre Best Buy nie je známy. Všetky karty unikli medzi 26. septembrom a 12. októbrom 2017.
Po zistení útoku na jej službu trvalo [24]7.ai viac ako 5 mesiacov, kým o incidente informoval zákazníkov (Delta, Best Buy a Sears). -
Panera chlieb
Súbor s osobnými údajmi viac ako 37 miliónov zákazníkov jednoducho ležal v otvorenej podobe na webe siete obľúbených pekárskych kaviarní.
Uniknuté údaje zahŕňali mená zákazníkov, e-mailové adresy, dátumy narodenia, poštové adresy a posledné štyri číslice čísel kreditných kariet. -
Saks, Lord & Taylor
Z maloobchodných reťazcov Saks Fifth Avenue (vrátane reťazca Saks Fifth Avenue OFF 5TH) a Lord & Taylor bolo ukradnutých viac ako 5 miliónov bankových kariet.
Hackeri použili na odcudzenie údajov z kariet špeciálny softvér v pokladniach a PoS termináloch. -
care
Osobné údaje približne 14 miliónov ľudí na Blízkom východe, v severnej Afrike, Pakistane a Turecku ukradli hackeri pri kybernetickom útoku na servery Careem (najväčší konkurent Uberu na Blízkom východe).
Spoločnosť objavila narušenie počítačového systému, ktorý uchováva prihlasovacie údaje pre zákazníkov a vodičov v 13 krajinách.
Mená, e-mailové adresy, telefónne čísla a cestovné údaje boli ukradnuté.
Máj
- Južná Afrika
Na verejnom webovom serveri spoločnosti, ktorá spracováva elektronické platby za dopravné pokuty, bola objavená databáza obsahujúca osobné údaje približne 1 milióna Juhoafričanov.
Databáza obsahovala mená, identifikačné čísla, emailové adresy a heslá v textovej podobe.
Jún
-
Exactis
Marketingová spoločnosť Exactis z Floridy v USA udržiavala databázu Elasticsearch s veľkosťou približne 2 terabajty obsahujúcu viac ako 340 miliónov záznamov verejne dostupných.
V databáze sa našlo okolo 230 miliónov osobných údajov jednotlivcov (dospelých) a asi 110 miliónov kontaktov na rôzne organizácie.
Stojí za zmienku, že celkovo v Spojených štátoch žije približne 249.5 milióna dospelých – to znamená, že môžeme povedať, že databáza obsahuje informácie o každom dospelom Američanovi. -
Sacramento Bee
Neznámi hackeri ukradli dve databázy patriace kalifornským novinám The Sacramento Bee.
Prvá databáza obsahovala 19.4 milióna záznamov s osobnými údajmi kalifornských voličov.
Druhá databáza obsahovala 53-tisíc záznamov s informáciami o predplatiteľoch novín. -
Ticketfly
Ticketfly, služba predaja vstupeniek na koncerty, ktorú vlastní Eventbrite, ohlásila hackerský útok na svoju databázu.
Klientskú základňu služby ukradol hacker IsHaKdZ, ktorý za jej nedistribúciu požadoval 7502 XNUMX dolárov v bitcoinoch.
Databáza obsahovala mená, poštové adresy, telefónne čísla a e-mailové adresy zákazníkov Ticketfly a dokonca aj niektorých zamestnancov služby, spolu viac ako 27 miliónov záznamov. -
Moje dedičstvo
Uniklo 92 miliónov účtov (prihlasovacie údaje, hash hesiel) izraelskej genealogickej služby MyHeritage. Služba uchováva informácie o DNA používateľov a vytvára ich rodokmene. -
Dixons Carphone
Elektronický reťazec Dixons Carphone, ktorý má maloobchodné predajne vo Veľkej Británii a na Cypre, uviedol, že 1.2 milióna osobných údajov zákazníkov vrátane mien, adries a e-mailových adries uniklo v dôsledku neoprávneného prístupu do IT infraštruktúry spoločnosti.
Okrem toho unikli čísla 105-tisíc bankových kariet bez zabudovaného čipu.
Ak sa chcete pokračovať ...
Na kanáli sú promptne zverejňované pravidelné správy o jednotlivých prípadoch úniku dát
Zdroj: hab.com