ปี 2018 กำลังจะสิ้นสุดลง ซึ่งหมายความว่าถึงเวลาสรุปผลลัพธ์และรายการการรั่วไหลของข้อมูลที่สำคัญที่สุด
การตรวจสอบนี้รวมเฉพาะกรณีข้อมูลรั่วไหลจำนวนมากทั่วโลกเท่านั้น อย่างไรก็ตาม แม้ว่าเกณฑ์การตัดจะสูง แต่ก็มีกรณีของการรั่วไหลจำนวนมากจนต้องแบ่งการตรวจสอบออกเป็นสองส่วน - ภายในหกเดือน
มาดูกันว่าในปีนี้มีอะไรบ้างและอย่างไรตั้งแต่เดือนมกราคมถึงมิถุนายน ผมขอจองไว้ก่อนว่าเดือนที่เกิดเหตุการณ์ไม่ได้ระบุตามเวลาที่เกิด แต่ตามเวลาที่เปิดเผย (ประกาศสาธารณะ)
งั้นไปกัน...
มกราคม
-
พรรคอนุรักษ์นิยมก้าวหน้าแห่งแคนาดา
ระบบการจัดการข้อมูลที่เป็นส่วนประกอบ (CIMS) ของพรรคอนุรักษ์นิยมก้าวหน้าของแคนาดา (สาขาออนแทรีโอ) ถูกแฮ็ก
ฐานข้อมูลที่ถูกขโมยประกอบด้วยชื่อ หมายเลขโทรศัพท์ และข้อมูลส่วนบุคคลอื่นๆ ของผู้มีสิทธิเลือกตั้งในออนแทรีโอมากกว่า 1 ล้านคน รวมถึงผู้สนับสนุนพรรค ผู้บริจาค และอาสาสมัคร -
โรโซเบอร์นาดเซอร์
การรั่วไหลของข้อมูลเกี่ยวกับประกาศนียบัตรและข้อมูลส่วนบุคคลอื่น ๆ ที่มาพร้อมกับเว็บไซต์ของ Federal Service เพื่อการกำกับดูแลการศึกษาและวิทยาศาสตร์
มีทั้งหมดประมาณ 14 ล้านบันทึกพร้อมข้อมูลเกี่ยวกับอดีตนักศึกษา ฐานข้อมูลขนาด 5 GB.
รั่วไหล: ชุดและจำนวนประกาศนียบัตร, ปีที่เข้าศึกษา, ปีที่สำเร็จการศึกษา, SNILS, INN, ชุดและหมายเลขหนังสือเดินทาง, วันเดือนปีเกิด, สัญชาติ, องค์กรการศึกษาที่ออกเอกสาร -
หน่วยงานด้านสุขภาพระดับภูมิภาคของนอร์เวย์
ผู้โจมตีแฮ็กระบบของหน่วยงานสาธารณสุขภูมิภาคนอร์เวย์ตอนใต้และตะวันออก (Helse Sør-Øst RHF) และเข้าถึงข้อมูลส่วนบุคคลและเวชระเบียนของชาวนอร์เวย์ประมาณ 2.9 ล้านคน (มากกว่าครึ่งหนึ่งของผู้อยู่อาศัยทั้งหมดในประเทศ)
ข้อมูลทางการแพทย์ที่ถูกขโมยนั้นรวมถึงข้อมูลเกี่ยวกับรัฐบาล หน่วยสืบราชการลับ ทหาร การเมือง และบุคคลสาธารณะอื่นๆ
กุมภาพันธ์
- Swisscom
ผู้ให้บริการโทรศัพท์มือถือชาวสวิส Swisscom ยอมรับว่าข้อมูลส่วนบุคคลของลูกค้าประมาณ 800 รายถูกบุกรุก
ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และวันเกิดของลูกค้าได้รับผลกระทบ
มีนาคม
-
ภายใต้เกราะ
MyFitnessPal แอปติดตามการออกกำลังกายและโภชนาการยอดนิยมของ Under Armour ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่ จากข้อมูลของบริษัท ผู้ใช้ประมาณ 150 ล้านคนได้รับผลกระทบ
ผู้โจมตีทราบชื่อผู้ใช้ ที่อยู่อีเมล และรหัสผ่านที่แฮช -
orbitz
เอ็กซ์พีเดีย อิงค์ (เป็นเจ้าของ Orbitz) กล่าวว่าได้ค้นพบการละเมิดข้อมูลในไซต์เดิมแห่งหนึ่งซึ่งส่งผลกระทบต่อลูกค้าหลายพันราย
คาดว่าการรั่วไหลส่งผลกระทบต่อบัตรธนาคารประมาณ 880 ใบ
ผู้โจมตีสามารถเข้าถึงข้อมูลเกี่ยวกับการซื้อระหว่างเดือนมกราคม 2016 ถึงธันวาคม 2017 ข้อมูลที่ถูกขโมยรวมถึงวันเกิด ที่อยู่ ชื่อนามสกุล และข้อมูลบัตรชำระเงิน -
บริษัท เอ็มบีเอ็ม อิงค์
พื้นที่เก็บข้อมูล Amazon S3 สาธารณะ (AWS) ที่มีสำเนาสำรองของฐานข้อมูล MS SQL พร้อมข้อมูลส่วนบุคคลจำนวน 1.3 ล้านคนที่อาศัยอยู่ในสหรัฐอเมริกาและแคนาดาถูกค้นพบในโดเมนสาธารณะ
ฐานข้อมูลนี้เป็นของ MBM Company Inc ซึ่งเป็นบริษัทจิวเวลรี่ที่ตั้งอยู่ในชิคาโก และดำเนินงานภายใต้ชื่อแบรนด์ Limoges Jewelry
ฐานข้อมูลประกอบด้วยชื่อ ที่อยู่ รหัสไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล ที่อยู่ IP และรหัสผ่านข้อความ นอกจากนี้ ยังมีรายชื่ออีเมลภายในของ MBM Company Inc. ข้อมูลบัตรเครดิตที่เข้ารหัส ข้อมูลการชำระเงิน รหัสส่งเสริมการขาย และคำสั่งซื้อผลิตภัณฑ์
เมษายน
-
Delta Air Lines, Best Buy และ Sears Holding Corp.
การโจมตีแบบกำหนดเป้าหมายของมัลแวร์พิเศษในแอปพลิเคชันแชทออนไลน์ของบริษัท [24]7.ai (บริษัทแคลิฟอร์เนียจากซานโฮเซที่พัฒนาแอปพลิเคชันสำหรับการบริการลูกค้าออนไลน์)
ข้อมูลบัตรธนาคารทั้งหมดรั่วไหล - หมายเลขบัตร, รหัส CVV, วันหมดอายุ, ชื่อและที่อยู่ของเจ้าของ
ทราบเพียงจำนวนข้อมูลที่รั่วไหลโดยประมาณเท่านั้น สำหรับเซียร์ โฮลดิ้ง คอร์ป นี่เป็นบัตรธนาคารน้อยกว่า 100 ใบเล็กน้อย สำหรับ Delta Air Lines นี่คือบัตรหลายแสนใบ (สายการบินไม่ได้รายงานอย่างแม่นยำกว่านี้) ไม่ทราบจำนวนการ์ดที่ถูกบุกรุกสำหรับ Best Buy การ์ดทั้งหมดรั่วไหลออกมาระหว่างวันที่ 26 กันยายนถึง 12 ตุลาคม 2017
[24]7.ai ใช้เวลามากกว่า 5 เดือนหลังจากค้นพบการโจมตีในบริการของตนเพื่อแจ้งให้ลูกค้า (Delta, Best Buy และ Sears) ทราบเกี่ยวกับเหตุการณ์ดังกล่าว -
Panera Bread
ไฟล์ที่มีข้อมูลส่วนบุคคลของลูกค้ามากกว่า 37 ล้านรายถูกโกหกในรูปแบบเปิดบนเว็บไซต์ของเครือร้านเบเกอรี่ยอดนิยม
ข้อมูลที่รั่วไหล ได้แก่ ชื่อลูกค้า ที่อยู่อีเมล วันเกิด ที่อยู่ทางไปรษณีย์ และหมายเลขบัตรเครดิตสี่หลักสุดท้าย -
แซคส์ ลอร์ด และเทย์เลอร์
บัตรธนาคารมากกว่า 5 ล้านใบถูกขโมยจากเครือข่ายค้าปลีก Saks Fifth Avenue (รวมถึงเครือข่าย Saks Fifth Avenue OFF 5TH) และ Lord & Taylor
แฮกเกอร์ใช้ซอฟต์แวร์พิเศษในเครื่องบันทึกเงินสดและเทอร์มินัล PoS เพื่อขโมยข้อมูลบัตร -
แคร์รีม
ข้อมูลส่วนบุคคลของผู้คนประมาณ 14 ล้านคนในตะวันออกกลาง แอฟริกาเหนือ ปากีสถาน และตุรกี ถูกแฮกเกอร์ขโมยไปในการโจมตีทางไซเบอร์บนเซิร์ฟเวอร์ของ Careem (คู่แข่งรายใหญ่ที่สุดของ Uber ในตะวันออกกลาง)
บริษัทค้นพบช่องโหว่ในระบบคอมพิวเตอร์ที่จัดเก็บข้อมูลประจำตัวสำหรับลูกค้าและผู้ขับขี่ใน 13 ประเทศ
ชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ และข้อมูลการเดินทางถูกขโมย
พฤษภาคม
- แอฟริกาใต้
ฐานข้อมูลที่มีข้อมูลส่วนบุคคลของชาวแอฟริกาใต้ประมาณ 1 ล้านคนถูกค้นพบบนเว็บเซิร์ฟเวอร์สาธารณะของบริษัทที่ประมวลผลการชำระเงินทางอิเล็กทรอนิกส์สำหรับค่าปรับจราจร
ฐานข้อมูลประกอบด้วยชื่อ หมายเลขประจำตัว ที่อยู่อีเมล และรหัสผ่านในรูปแบบข้อความ
มิถุนายน
-
เอ็กแซ็กท์
บริษัทการตลาด Exactis จากฟลอริดา สหรัฐอเมริกา เก็บฐานข้อมูล Elasticsearch ขนาดประมาณ 2 เทราไบต์ ซึ่งมีบันทึกมากกว่า 340 ล้านรายการต่อสาธารณะ
พบข้อมูลส่วนบุคคลของบุคคล (ผู้ใหญ่) ประมาณ 230 ล้านรายการ และผู้ติดต่อขององค์กรต่าง ๆ ประมาณ 110 ล้านรายการในฐานข้อมูล
เป็นที่น่าสังเกตว่าโดยรวมแล้วมีผู้ใหญ่ประมาณ 249.5 ล้านคนที่อาศัยอยู่ในสหรัฐอเมริกานั่นคือเราสามารถพูดได้ว่าฐานข้อมูลนี้มีข้อมูลเกี่ยวกับผู้ใหญ่ชาวอเมริกันทุกคน -
ผึ้งแซคราเมนโต
แฮกเกอร์ที่ไม่รู้จักขโมยฐานข้อมูลสองแห่งที่เป็นของหนังสือพิมพ์ The Sacramento Bee ของรัฐแคลิฟอร์เนีย
ฐานข้อมูลแรกมีบันทึก 19.4 ล้านรายการพร้อมข้อมูลส่วนบุคคลของผู้มีสิทธิเลือกตั้งในแคลิฟอร์เนีย
ฐานข้อมูลที่สองมีบันทึก 53 รายการพร้อมข้อมูลเกี่ยวกับสมาชิกหนังสือพิมพ์ -
ทิคเก็ตฟลาย
Ticketfly บริการขายตั๋วคอนเสิร์ตของ Eventbrite รายงานว่าแฮ็กเกอร์โจมตีฐานข้อมูล
ฐานลูกค้าของบริการถูกขโมยโดยแฮ็กเกอร์ IsHaKdZ ซึ่งเรียกร้อง Bitcoins มูลค่า 7502 ดอลลาร์สำหรับการไม่แจกจ่าย
ฐานข้อมูลประกอบด้วยชื่อ ที่อยู่ไปรษณีย์ หมายเลขโทรศัพท์ และที่อยู่อีเมลของลูกค้า Ticketfly และแม้แต่พนักงานบริการบางคน รวมกว่า 27 ล้านบันทึก -
MyHeritage
บัญชี 92 ล้านบัญชี (ล็อกอิน, แฮชรหัสผ่าน) ของบริการลำดับวงศ์ตระกูลของอิสราเอล MyHeritage รั่วไหลออกมา บริการจัดเก็บข้อมูล DNA ของผู้ใช้และสร้างแผนภูมิลำดับวงศ์ตระกูลของพวกเขา -
ไดซอน คาร์โฟน
Dixons Carphone เครือธุรกิจอิเล็กทรอนิกส์ ซึ่งมีร้านค้าปลีกในสหราชอาณาจักรและไซปรัส เปิดเผยว่าข้อมูลส่วนบุคคลของลูกค้า 1.2 ล้านราย รวมถึงชื่อ ที่อยู่ และที่อยู่อีเมล รั่วไหลอันเป็นผลมาจากการเข้าถึงโครงสร้างพื้นฐานด้านไอทีของบริษัทโดยไม่ได้รับอนุญาต
นอกจากนี้ยังมีการรั่วไหลของบัตรธนาคารจำนวน 105 ใบที่ไม่มีชิปในตัว
จะยังคง ...
ข่าวปกติเกี่ยวกับกรณีข้อมูลรั่วไหลแต่ละกรณีจะถูกเผยแพร่ทางช่องทันที
ที่มา: will.com