Leta 2018 je bilo po vsem svetu zabeleženih 2263 javnih primerov uhajanja zaupnih informacij. Osebni podatki in informacije o plačilih so bili ogroženi v 86 % incidentov – to je približno 7,3 milijarde zapisov uporabniških podatkov. Japonska kripto borza Coincheck je izgubila 534 milijonov dolarjev zaradi vdora v spletne denarnice svojih strank. To je bila največja prijavljena škoda.
Kakšna bo statistika za leto 2019, še ni znano. Toda senzacionalnih "puščanj" je že precej, in to je žalostno. Odločili smo se, da pregledamo najbolj obravnavana uhajanja od začetka leta. "Še bo," kot pravijo.
18. januar: Zbirne baze
18. januarja so se v medijih začela pojavljati poročila o zbirki podatkov, najdeni v javni domeni na nabiralnike z gesli (vključno z uporabniki iz Rusije). Podatkovna baza je bila zbirka razkritih podatkovnih baz približno dva tisoč različnih spletnih mest, ki so se zbirale več let. Za kar je prejela ime Collection #1. Po velikosti se je izkazalo za drugo največjo bazo vdrtih naslovov v zgodovini (prvi je bil arhiv 1 milijarde uporabnikov Yahoo!, ki se je pojavil leta 2013).
Kmalu je postalo jasno, da je zbirka #1 le del niza podatkov, ki je končal v rokah hekerjev. Strokovnjaki za informacijsko varnost so našli tudi druge »zbirke«, označene s številkami od 2 do 5, njihova skupna prostornina pa je bila 845 GB. Skoraj vse informacije v bazah podatkov so posodobljene, čeprav so nekatere prijave in gesla zastarela.
Strokovnjak za kibernetsko varnost Brian Krebs je stopil v stik s hekerjem, ki je prodajal arhive, in ugotovil, da je Collection #1 stara že približno dve ali tri leta. Po navedbah hekerja ima naprodaj tudi novejše podatkovne baze s prostornino več kot štiri terabajte.
11. februar: uhajanje uporabniških podatkov s 16 večjih spletnih mest
Številka The Register z dne 11. februarja da trgovalna platforma Dream Market prodaja podatke 620 milijonov uporabnikov večjih internetnih storitev:
- Dubsmash (162 milijonov)
- MyFitnessPal (151 milijonov)
- MyHeritage (92 milijonov)
- ShareThis (41 milijonov)
- HauteLook (28 milijonov)
- Animoto (25 milijonov)
- EyeEm (22 milijonov)
- 8fit (20 milijonov)
- Bele strani (18 milijonov)
- Fotolog (16 milijonov)
- 500 slikovnih pik (15 milijonov)
- Armor Games (11 milijonov)
- BookMate (8 milijonov)
- CoffeeMeetsBagel (6 milijonov)
- Artsy (1 milijon)
- DataCamp (700)
Napadalci so za celotno bazo zahtevali približno 20 tisoč dolarjev, kupili pa so lahko tudi arhiv podatkov vsake strani posebej.
Vsa spletna mesta so bila napadena ob različnih časih. Na primer, fotografski portal 500px je poročal, da je do uhajanja prišlo 5. julija 2018, vendar je postalo znano šele po pojavu arhiva s podatki.
Baze podatkov e-poštni naslovi, uporabniška imena in gesla. Vendar pa obstaja eno veselo dejstvo: gesla so večinoma tako ali drugače šifrirana. To pomeni, da se morate za njihovo uporabo najprej potruditi z dešifriranjem podatkov. Čeprav je geslo preprosto, ga je povsem mogoče uganiti.
25. februar: Razkrita zbirka podatkov MongoDB
25. februar, strokovnjak za informacijsko varnost Bob Dyachenko na spletu, nezavarovana baza podatkov MongoDB velikosti 150 GB, ki vsebuje več kot 800 milijonov zapisov osebnih podatkov. V arhivu so bili elektronski naslovi, priimki, podatki o spolu in datumu rojstva, telefonske številke, poštne številke in naslovi ter naslovi IP.
Problematična baza podatkov je pripadala podjetju Verifications IO LLC, ki se je ukvarjalo z e-poštnim marketingom. Ena od njegovih storitev je bilo preverjanje poslovne e-pošte. Takoj, ko se je informacija o problematični bazi pojavila v medijih, sta postala spletna stran podjetja in sama baza nedostopna. Kasneje so predstavniki Verifications IO LLC izjavili, da zbirka podatkov ne vsebuje podatkov strank podjetja in je bila dopolnjena iz odprtih virov.
10. marec: podatki o uporabnikih Facebooka so pricurljali skozi aplikacije FQuiz in Supertest
Izdaja The Verge za 10. marec da je Facebook vložil tožbo proti dvema ukrajinskima razvijalcema, Glebu Slučevskemu in Andreju Gorbačovu. Ovadili so jih kraje osebnih podatkov uporabnikov.
Razvijalci so ustvarili aplikacije za izvajanje testov. Ti programi so namestili razširitve brskalnika, ki so zbirale uporabniške podatke. V letih 2017–2018 so štiri aplikacije, vključno s FQuiz in Supertest, uspele ukrasti podatke približno 63 tisoč uporabnikov. Prizadeti so bili predvsem uporabniki iz Rusije in Ukrajine.
21. marec: Na stotine milijonov Facebook gesel nešifriranih
21. marca je poročal novinar Brian Krebs da je Facebook dolgo časa hranil milijone gesel nešifriranih. Približno 20 zaposlenih v podjetju je lahko videlo gesla med 200 in 600 milijoni uporabnikov Facebooka, ker so bila shranjena v obliki navadnega besedila. Nekatera gesla za Instagram so bila vključena tudi v to nezaščiteno zbirko podatkov. Kmalu bo tudi uradno socialno omrežje informacije.
Pedro Canahuati, Facebookov podpredsednik za inženiring, varnost in zasebnost, je dejal, da je bila težava s shranjevanjem nešifriranih gesel odpravljena. In na splošno so Facebook sistemi za prijavo zasnovani tako, da naredijo gesla neberljiva. Podjetje ni našlo dokazov, da so do nešifriranih gesel dostopali nepravilno.
21. marec: uhajanje Toyotinih podatkov strank
Konec marca je japonski proizvajalec avtomobilov Toyota da je hekerjem uspelo ukrasti osebne podatke do 3,1 milijona strank podjetja. V sisteme Toyotinih trgovskih oddelkov in petih podružnic je prišlo do vdora 21. marca.
Kateri osebni podatki strank so bili ukradeni, družba ni razkrila. Vendar pa je izjavila, da napadalci niso dobili dostopa do informacij o bančnih karticah.
21. marec: objava podatkov bolnikov v regiji Lipetsk na spletni strani EIS
21. marca so aktivisti javnega gibanja "Nadzor bolnikov" da so bili v informacijah, ki jih je na spletni strani EIS objavil zdravstveni oddelek regije Lipetsk, navedeni osebni podatki bolnikov.
Na spletni strani državnih naročil je bilo objavljenih več dražb za opravljanje storitev nujne medicinske pomoči: bolnike so morali premestiti v druge ustanove izven regije. Opisi so vsebovali podatke o pacientovem priimku, domačem naslovu, diagnozi, kodi ICD, profilu ipd. Neverjetno, podatki o pacientih so bili samo v zadnjem letu (!) javno objavljeni nič manj kot osemkrat.
Vodja zdravstvenega oddelka regije Lipetsk Jurij Šuršukov je dejal, da je bila uvedena notranja preiskava in da se bodo bolnikom, katerih podatki so bili objavljeni, opravičili. Incident je začelo preverjati tudi tožilstvo regije Lipetsk.
04. april: Uhajanje podatkov 540 milijonov uporabnikov Facebooka
Podjetje za informacijsko varnost UpGuard o tem, da so podatki več kot 540 milijonov uporabnikov Facebooka postali javno dostopni.
Na mehiški digitalni platformi Cultura Colectiva so našli objave članov družbenega omrežja s komentarji, všečki in imeni računov. In v zdaj nedelujoči aplikaciji At the Pool so bila na voljo imena, gesla, e-poštni naslovi in drugi podatki.
10. april: podatki bolnikov reševalnih vozil iz moskovske regije so pricurljali na splet
Predvidoma na postajah nujne medicinske pomoči (NMP) v moskovski regiji. Organi pregona so začeli predpreiskovalno preverjanje poročil o dogodku.
17,8 GB velika datoteka z informacijami o klicih reševalnih vozil v moskovski regiji je bila odkrita na eni od storitev gostovanja datotek. Dokument je vseboval ime osebe, ki je poklicala rešilca, kontaktni telefon, naslov, kamor je bila poklicana ekipa, datum in uro klica, celo bolnikovo stanje. Podatki prebivalcev Mytishchi, Dmitrov, Dolgoprudny, Korolev in Balashikha so bili ogroženi. Domneva se, da so bazo postavili aktivisti ukrajinske hekerske skupine.
12. april: Črna lista centralne banke
Podatki bančnih komitentov s črne liste zavračalcev centralne banke po zakonu o preprečevanju pranja denarja 12. april. Govorili smo o podatkih približno 120 tisoč strank, ki jim je bila zavrnjena storitev v skladu z zakonom o boju proti pranju denarja in financiranju terorizma (115-FZ).
Večino baze sestavljajo posamezniki in samostojni podjetniki posamezniki, ostalo so pravne osebe. Za posameznike zbirka podatkov vsebuje podatke o njihovem polnem imenu, datumu rojstva, seriji in številki potnega lista. O samostojnih podjetnikih - polno ime in INN, o podjetjih - ime, INN, OGRN. Ena od bank je novinarjem neuradno priznala, da so na seznamu res zavrnjeni komitenti. Baza zajema »zavrnilce« od 26. junija 2017 do 6. decembra 2017.
15. april: Objavljeni osebni podatki več tisoč uslužbencev ameriške policije in FBI
Skupini kibernetskih kriminalcev je uspelo vdreti v več spletnih strani, povezanih z ameriškim Zveznim preiskovalnim uradom. In na internetu je objavila na desetine datotek z osebnimi podatki tisočih policistov in zveznih agentov.
Z uporabo javno dostopnih podvigov je napadalcem uspelo pridobiti dostop do omrežnih virov združenja, povezanega z Akademijo FBI v Quanticu (Virginija). O tem TechCrunch.
Ukradeni arhiv je vseboval imena ameriških organov pregona in zveznih uradnikov, njihove naslove, telefonske številke, informacije o njihovi e-pošti in položajih. Skupaj je približno 4000 različnih vnosov.
25. april: Uhajanje uporabniških podatkov Docker Hub
Kibernetski kriminalci so pridobili dostop do baze podatkov največje knjižnice slik vsebnikov na svetu Docker Hub, zaradi česar so bili ogroženi podatki približno 190 tisoč uporabnikov. Baza podatkov je vsebovala uporabniška imena, zgoščene vrednosti gesel in žetone za repozitorije GitHub in Bitbucket, ki se uporabljajo za avtomatizirane gradnje Dockerja.
Skrbništvo Docker Hub uporabnikov o incidentu pozno v petek, 26. aprila. Po uradnih podatkih je nepooblaščen dostop do baze podatkov postal znan 25. aprila. Preiskava dogodka še ni zaključena.
Spomnite se lahko tudi zgodbe z Doc+, ki ni bila tako dolgo nazaj na Habréju, neprijetno s plačili državljanov prometni policiji in FSSP ter drugimi uhajanji, ki jih opisuje .
Kot zaključek
Nevarnost podatkov, ki jih hranijo vladne agencije, na družbenih omrežjih in na velikih spletnih mestih, ter obseg kraj so grozljivi. Žalostno je tudi, da je uhajanje postalo nekaj običajnega. Veliko ljudi, katerih osebni podatki so bili ogroženi, tega sploh ne ve. In če vedo, ne bodo storili ničesar, da bi se zaščitili.
Vir: www.habr.com