Leto 2018 se bliža koncu, kar pomeni, da je čas, da povzamemo rezultate in navedemo najpomembnejše uhajanje podatkov.
Ta pregled vključuje samo res velike primere uhajanja informacij po vsem svetu. Toda kljub visokemu mejnemu pragu je primerov uhajanja toliko, da je bilo treba pregled razdeliti na dva dela - na šest mesecev.
Poglejmo, kaj in kako je pricurljalo letos od januarja do junija. Naj takoj omenim, da mesec incidenta ni označen s časom njegovega nastanka, temveč s časom razkritja (javne objave).
Torej, gremo ...
Januar
-
Progresivna konservativna stranka Kanade
V sistem za upravljanje informacij o ustanovitvi (CIMS) Progresivne konservativne stranke Kanade (podružnica Ontario) je prišlo do vdora.
Ukradena zbirka podatkov je vsebovala imena, telefonske številke in druge osebne podatke več kot milijona volivcev Ontaria, pa tudi podpornikov stranke, donatorjev in prostovoljcev. -
Rosobrnadzor
Uhajanje informacij o diplomah in drugih osebnih podatkih, ki jih spremljajo, s spletne strani Zvezne službe za nadzor izobraževanja in znanosti.
Skupaj je približno 14 milijonov zapisov s podatki o nekdanjih študentih. Velikost baze podatkov 5 GB.
Ušlo je: serija in številka diplome, leto sprejema, leto diplome, SNILS, INN, serija in številka potnega lista, datum rojstva, državljanstvo, izobraževalna organizacija, ki je izdala dokument. -
Norveški regionalni zdravstveni organ
Napadalci so vdrli v sistem regionalne zdravstvene uprave južne in vzhodne Norveške (Helse Sør-Øst RHF) in pridobili dostop do osebnih podatkov in zdravstvenih kartotek približno 2.9 milijona Norvežanov (več kot polovica vseh prebivalcev države).
Ukradeni zdravstveni podatki so vključevali podatke o vladi, tajni službi, vojaških, političnih in drugih javnih osebnostih.
Februar
- Swisscom
Švicarski mobilni operater Swisscom je priznal, da so bili ogroženi osebni podatki približno 800 tisoč njegovih strank.
Prizadeta so imena, naslovi, telefonske številke in rojstni datumi strank.
Marec
-
pod Armour
Priljubljena aplikacija Under Armour za spremljanje telesne pripravljenosti in prehrane MyFitnessPal je utrpela veliko kršitev podatkov. Po podatkih podjetja je prizadetih približno 150 milijonov uporabnikov.
Napadalci so izvedeli za uporabniška imena, e-poštne naslove in zgoščena gesla. -
orbitz
Expedia Inc. (lastnik Orbitza) je dejal, da je odkril kršitev podatkov na enem od svojih starih spletnih mest, ki je prizadela na tisoče strank.
Ocenjuje se, da je uhajanje vplivalo na približno 880 tisoč bančnih kartic.
Napadalec je pridobil dostop do podatkov o nakupih med januarjem 2016 in decembrom 2017. Ukradeni podatki vključujejo datume rojstva, naslove, polna imena in podatke o plačilni kartici. -
Podjetje MBM Inc
Javna shramba Amazon S3 (AWS), ki vsebuje varnostno kopijo baze podatkov MS SQL z osebnimi podatki 1.3 milijona ljudi, ki živijo v Združenih državah in Kanadi, je bila odkrita v javni domeni.
Podatkovna baza je pripadala podjetju MBM Company Inc, draguljarskemu podjetju s sedežem v Chicagu, ki deluje pod blagovno znamko Limoges Jewelry.
Baza podatkov je vsebovala imena, naslove, poštne številke, telefonske številke, e-poštne naslove, naslove IP in besedilna gesla. Poleg tega so bili interni poštni seznami MBM Company Inc, šifrirani podatki o kreditnih karticah, podatki o plačilih, promocijske kode in naročila izdelkov.
April
-
Delta Air Lines, Best Buy in Sears Holding Corp.
Ciljni napad posebne zlonamerne programske opreme na aplikacijo za spletni klepet podjetja [24]7.ai (kalifornijsko podjetje iz San Joseja, ki razvija aplikacije za spletno pomoč strankam).
Pricurljali so celotni podatki o bančni kartici - številke kartice, kode CVV, datumi veljavnosti, imena in naslovi lastnikov.
Znana je le približna količina razkritih podatkov. Za Sears Holding Corp. to je nekaj manj kot 100 tisoč bančnih kartic, pri Delta Air Lines pa več sto tisoč kartic (natančneje letalska družba ne poroča). Število ogroženih kartic za Best Buy ni znano. Vse kartice so pricurljale med 26. septembrom in 12. oktobrom 2017.
[24]7.ai je potreboval več kot 5 mesecev po odkritju napada na svojo storitev, da je stranke (Delta, Best Buy in Sears) obvestil o incidentu. -
Panera Kruh
Datoteka z osebnimi podatki več kot 37 milijonov strank je preprosto ležala v odprti obliki na spletni strani verige priljubljenih pekarskih kavarn.
Razkriti podatki so vključevali imena strank, elektronske naslove, datume rojstva, poštne naslove in zadnje štiri števke številk kreditnih kartic. -
Saks, Lord & Taylor
Iz trgovskih verig Saks Fifth Avenue (vključno z verigo Saks Fifth Avenue OFF 5TH) in Lord & Taylor je bilo ukradenih več kot 5 milijonov bančnih kartic.
Hekerji so s posebno programsko opremo v blagajnah in terminalih PoS ukradli podatke o karticah. -
ki
Osebne podatke približno 14 milijonov ljudi na Bližnjem vzhodu, v Severni Afriki, Pakistanu in Turčiji so hekerji ukradli v kibernetskem napadu na strežnike Careema (največjega Uberjevega konkurenta na Bližnjem vzhodu).
Podjetje je odkrilo vdor v računalniški sistem, ki hrani poverilnice za stranke in voznike v 13 državah.
Ukradeni so bili imena, elektronski naslovi, telefonske številke in potovalni podatki.
Maja
- Južna Afrika
Zbirka podatkov z osebnimi podatki približno milijona Južnoafričanov je bila odkrita na javnem spletnem strežniku v lasti podjetja, ki obdeluje elektronska plačila prometnih kazni.
Baza podatkov je vsebovala imena, identifikacijske številke, elektronske naslove in gesla v besedilni obliki.
Junij
-
Exactis
Marketinško podjetje Exactis s Floride v ZDA je imelo javno dostopno podatkovno bazo Elasticsearch, veliko približno 2 terabajta, ki vsebuje več kot 340 milijonov zapisov.
V bazi je bilo najdenih približno 230 milijonov osebnih podatkov posameznikov (polnoletnih) in približno 110 milijonov kontaktov različnih organizacij.
Omeniti velja, da v Združenih državah skupaj živi približno 249.5 milijona odraslih - to pomeni, da lahko rečemo, da baza podatkov vsebuje podatke o vsakem odraslem Američanu. -
Sacramento Bee
Neznani hekerji so ukradli dve bazi podatkov, ki pripadata kalifornijskemu časopisu The Sacramento Bee.
Prva baza je vsebovala 19.4 milijona zapisov z osebnimi podatki kalifornijskih volivcev.
Druga baza je vsebovala 53 tisoč zapisov s podatki o naročnikih časopisov. -
Ticketfly
Ticketfly, storitev prodaje vstopnic za koncerte v lasti Eventbrite, je prijavila hekerski napad na svojo bazo podatkov.
Bazo strank storitve je ukradel heker IsHaKdZ, ki je zahteval 7502 $ v bitcoinih za njeno nedistribucijo.
Baza podatkov je vsebovala imena, poštne naslove, telefonske številke in e-poštne naslove strank Ticketfly in celo nekaterih zaposlenih v storitvi, skupaj več kot 27 milijonov zapisov. -
MyHeritage
Pricurljalo je 92 milijonov računov (prijav, zgoščencev gesel) izraelske genealoške storitve MyHeritage. Storitev shranjuje podatke DNK uporabnikov in gradi njihova družinska drevesa. -
Dixons telefon
Elektronska veriga Dixons Carphone, ki ima maloprodajne trgovine v Združenem kraljestvu in na Cipru, je sporočila, da so osebni podatki 1.2 milijona strank, vključno z imeni, naslovi in e-poštnimi naslovi, ušli zaradi nepooblaščenega dostopa do IT infrastrukture podjetja.
Poleg tega so pricurljale številke 105 tisoč bančnih kartic brez vgrajenega čipa.
Se nadaljuje ...
Na kanalu sproti objavljamo redne novice o posameznih primerih uhajanja podatkov .
Vir: www.habr.com