Leta 2018 je bilo po vsem svetu zabeleženih 2263 javnih primerov uhajanja zaupnih informacij. Osebni podatki in informacije o plačilih so bili ogroženi v 86 % incidentov – to je približno 7,3 milijarde zapisov uporabniških podatkov. Japonska kripto borza Coincheck je izgubila 534 milijonov dolarjev zaradi vdora v spletne denarnice svojih strank. To je bila največja prijavljena škoda.
Kakšna bo statistika za leto 2019, še ni znano. Toda senzacionalnih "puščanj" je že precej, in to je žalostno. Odločili smo se, da pregledamo najbolj obravnavana uhajanja od začetka leta. "Še bo," kot pravijo.
18. januar: Zbirne baze
18. januarja so se v medijih začela pojavljati poročila o zbirki podatkov, najdeni v javni domeni na
Kmalu je postalo jasno, da je zbirka #1 le del niza podatkov, ki je končal v rokah hekerjev. Strokovnjaki za informacijsko varnost so našli tudi druge »zbirke«, označene s številkami od 2 do 5, njihova skupna prostornina pa je bila 845 GB. Skoraj vse informacije v bazah podatkov so posodobljene, čeprav so nekatere prijave in gesla zastarela.
Strokovnjak za kibernetsko varnost Brian Krebs je stopil v stik s hekerjem, ki je prodajal arhive, in ugotovil, da je Collection #1 stara že približno dve ali tri leta. Po navedbah hekerja ima naprodaj tudi novejše podatkovne baze s prostornino več kot štiri terabajte.
11. februar: uhajanje uporabniških podatkov s 16 večjih spletnih mest
Številka The Register z dne 11. februarja
- Dubsmash (162 milijonov)
- MyFitnessPal (151 milijonov)
- MyHeritage (92 milijonov)
- ShareThis (41 milijonov)
- HauteLook (28 milijonov)
- Animoto (25 milijonov)
- EyeEm (22 milijonov)
- 8fit (20 milijonov)
- Bele strani (18 milijonov)
- Fotolog (16 milijonov)
- 500 slikovnih pik (15 milijonov)
- Armor Games (11 milijonov)
- BookMate (8 milijonov)
- CoffeeMeetsBagel (6 milijonov)
- Artsy (1 milijon)
- DataCamp (700)
Napadalci so za celotno bazo zahtevali približno 20 tisoč dolarjev, kupili pa so lahko tudi arhiv podatkov vsake strani posebej.
Vsa spletna mesta so bila napadena ob različnih časih. Na primer, fotografski portal 500px je poročal, da je do uhajanja prišlo 5. julija 2018, vendar je postalo znano šele po pojavu arhiva s podatki.
Baze podatkov
25. februar: Razkrita zbirka podatkov MongoDB
25. februar, strokovnjak za informacijsko varnost Bob Dyachenko
Problematična baza podatkov je pripadala podjetju Verifications IO LLC, ki se je ukvarjalo z e-poštnim marketingom. Ena od njegovih storitev je bilo preverjanje poslovne e-pošte. Takoj, ko se je informacija o problematični bazi pojavila v medijih, sta postala spletna stran podjetja in sama baza nedostopna. Kasneje so predstavniki Verifications IO LLC izjavili, da zbirka podatkov ne vsebuje podatkov strank podjetja in je bila dopolnjena iz odprtih virov.
10. marec: podatki o uporabnikih Facebooka so pricurljali skozi aplikacije FQuiz in Supertest
Izdaja The Verge za 10. marec
Razvijalci so ustvarili aplikacije za izvajanje testov. Ti programi so namestili razširitve brskalnika, ki so zbirale uporabniške podatke. V letih 2017–2018 so štiri aplikacije, vključno s FQuiz in Supertest, uspele ukrasti podatke približno 63 tisoč uporabnikov. Prizadeti so bili predvsem uporabniki iz Rusije in Ukrajine.
21. marec: Na stotine milijonov Facebook gesel nešifriranih
21. marca je poročal novinar Brian Krebs
Pedro Canahuati, Facebookov podpredsednik za inženiring, varnost in zasebnost, je dejal, da je bila težava s shranjevanjem nešifriranih gesel odpravljena. In na splošno so Facebook sistemi za prijavo zasnovani tako, da naredijo gesla neberljiva. Podjetje ni našlo dokazov, da so do nešifriranih gesel dostopali nepravilno.
21. marec: uhajanje Toyotinih podatkov strank
Konec marca je japonski proizvajalec avtomobilov Toyota
Kateri osebni podatki strank so bili ukradeni, družba ni razkrila. Vendar pa je izjavila, da napadalci niso dobili dostopa do informacij o bančnih karticah.
21. marec: objava podatkov bolnikov v regiji Lipetsk na spletni strani EIS
21. marca so aktivisti javnega gibanja "Nadzor bolnikov"
Na spletni strani državnih naročil je bilo objavljenih več dražb za opravljanje storitev nujne medicinske pomoči: bolnike so morali premestiti v druge ustanove izven regije. Opisi so vsebovali podatke o pacientovem priimku, domačem naslovu, diagnozi, kodi ICD, profilu ipd. Neverjetno, podatki o pacientih so bili samo v zadnjem letu (!) javno objavljeni nič manj kot osemkrat.
Vodja zdravstvenega oddelka regije Lipetsk Jurij Šuršukov je dejal, da je bila uvedena notranja preiskava in da se bodo bolnikom, katerih podatki so bili objavljeni, opravičili. Incident je začelo preverjati tudi tožilstvo regije Lipetsk.
04. april: Uhajanje podatkov 540 milijonov uporabnikov Facebooka
Podjetje za informacijsko varnost UpGuard
Na mehiški digitalni platformi Cultura Colectiva so našli objave članov družbenega omrežja s komentarji, všečki in imeni računov. In v zdaj nedelujoči aplikaciji At the Pool so bila na voljo imena, gesla, e-poštni naslovi in drugi podatki.
10. april: podatki bolnikov reševalnih vozil iz moskovske regije so pricurljali na splet
Predvidoma na postajah nujne medicinske pomoči (NMP) v moskovski regiji
17,8 GB velika datoteka z informacijami o klicih reševalnih vozil v moskovski regiji je bila odkrita na eni od storitev gostovanja datotek. Dokument je vseboval ime osebe, ki je poklicala rešilca, kontaktni telefon, naslov, kamor je bila poklicana ekipa, datum in uro klica, celo bolnikovo stanje. Podatki prebivalcev Mytishchi, Dmitrov, Dolgoprudny, Korolev in Balashikha so bili ogroženi. Domneva se, da so bazo postavili aktivisti ukrajinske hekerske skupine.
12. april: Črna lista centralne banke
Podatki bančnih komitentov s črne liste zavračalcev centralne banke po zakonu o preprečevanju pranja denarja
Večino baze sestavljajo posamezniki in samostojni podjetniki posamezniki, ostalo so pravne osebe. Za posameznike zbirka podatkov vsebuje podatke o njihovem polnem imenu, datumu rojstva, seriji in številki potnega lista. O samostojnih podjetnikih - polno ime in INN, o podjetjih - ime, INN, OGRN. Ena od bank je novinarjem neuradno priznala, da so na seznamu res zavrnjeni komitenti. Baza zajema »zavrnilce« od 26. junija 2017 do 6. decembra 2017.
15. april: Objavljeni osebni podatki več tisoč uslužbencev ameriške policije in FBI
Skupini kibernetskih kriminalcev je uspelo vdreti v več spletnih strani, povezanih z ameriškim Zveznim preiskovalnim uradom. In na internetu je objavila na desetine datotek z osebnimi podatki tisočih policistov in zveznih agentov.
Z uporabo javno dostopnih podvigov je napadalcem uspelo pridobiti dostop do omrežnih virov združenja, povezanega z Akademijo FBI v Quanticu (Virginija). O tem
Ukradeni arhiv je vseboval imena ameriških organov pregona in zveznih uradnikov, njihove naslove, telefonske številke, informacije o njihovi e-pošti in položajih. Skupaj je približno 4000 različnih vnosov.
25. april: Uhajanje uporabniških podatkov Docker Hub
Kibernetski kriminalci so pridobili dostop do baze podatkov največje knjižnice slik vsebnikov na svetu Docker Hub, zaradi česar so bili ogroženi podatki približno 190 tisoč uporabnikov. Baza podatkov je vsebovala uporabniška imena, zgoščene vrednosti gesel in žetone za repozitorije GitHub in Bitbucket, ki se uporabljajo za avtomatizirane gradnje Dockerja.
Skrbništvo Docker Hub
Spomnite se lahko tudi zgodbe z Doc+, ki ni bila tako dolgo nazaj
Kot zaključek
Nevarnost podatkov, ki jih hranijo vladne agencije, na družbenih omrežjih in na velikih spletnih mestih, ter obseg kraj so grozljivi. Žalostno je tudi, da je uhajanje postalo nekaj običajnega. Veliko ljudi, katerih osebni podatki so bili ogroženi, tega sploh ne ve. In če vedo, ne bodo storili ničesar, da bi se zaščitili.
Vir: www.habr.com