2018-й рік добігає кінця — отже, настав час підбити його підсумки та перерахувати найбільш значущі витоки даних.
У цей огляд потрапили лише справді великі випадки витоків інформації по всьому світу. Однак, навіть незважаючи на високий поріг відсікання, випадків витоку так багато, що огляд довелося розбити на дві частини – за півріччя.
Давайте подивимося, що і як випливало цього року із січня до червня. Відразу зазначу, що місяць інциденту зазначений не за часом його події, а за розкриттям (публічного анонсу).
Отже, поїхали.
Січень
-
Прогресивно-консервативна партія Канади
Була зламана система управління інформацією (Constituent Information Management System - CIMS) Прогресивно-консервативної партії Канади (відділення в Онтаріо).
Викрадена база даних містила імена, номери телефонів та іншу персональну інформацію понад 1 млн. виборців, Онтаріо, а також прихильників, спонсорів та волонтерів партії. -
Рособрнагляд
Витік інформації про дипломи та супутні їм інші персональні дані з вебсайту Федеральної служби з нагляду у сфері освіти та науки.
Загалом близько 14 млн. записів із даними про колишніх студентів. Розмір основи 5 Гб.
Вибігли: серія та номер диплому, рік вступу, рік закінчення, СНІЛС, ІПН, серія та номер паспорта, дата народження, національність, навчальна організація, що видала документ. -
Регіональне управління охорони здоров'я Норвегії
Зловмисники зламали систему Регіонального управління охорони здоров'я Південної та Східної Норвегії (Helse Sør-Øst RHF) та отримали доступ до персональних даних та медичних записів близько 2.9 млн. норвежців (більше половини всіх жителів країни).
Викрадені медичні дані містили інформацію про співробітників уряду, секретної служби, військових, політиків та інших громадських осіб.
Лютий
- Swisscom
Швейцарський оператор стільникового зв'язку Swisscom визнав, що скомпрометованими виявились персональні дані близько 800 тис. його клієнтів.
Постраждали імена, адреси, номери телефонів та дати народження клієнтів.
Березень
-
Under Armour
Популярний додаток для фітнесу та обліку харчування MyFitnessPal, що належить Under Armor, став причиною серйозного витоку даних. За заявою компанії, порушено близько 150 млн користувачів.
Зловмисникам стали відомі імена користувачів, адреси електронної пошти та хешовані паролі. -
Orbitz
Expedia Inc. (володіє Orbitz) повідомила, що виявила на одному зі своїх старих сайтів витік даних, що стосується тисячі клієнтів.
За оцінками, витік торкнувся близько 880 тис. банківських карток.
Зловмисник отримав доступ до даних про покупки, зроблені в період із січня 2016 року до грудня 2017 року. Викрадена інформація включає дати народження, адреси, повні імена та дані про платіжні картки. -
MBM Company Inc
У відкритому доступі було виявлено загальнодоступне сховище Amazon S3 (AWS), що містить резервну копію бази даних MS SQL із персональною інформацією 1.3 млн. осіб, що мешкають у США та Канаді.
База даних належала MBM Company Inc - ювелірній компанії, що базується в Чикаго і працює під торговою маркою Limoges Jewelry.
База містила імена, адреси, поштові індекси, номери телефонів, адреси електронної пошти, IP-адреси та текстові паролі. Крім того, там були внутрішні списки розсилки MBM Company Inc, зашифровані дані кредитних карток, дані оплати, промо-коди та замовлення на товарні позиції.
Квітень
-
Delta Air Lines, Best Buy та Sears Holding Corp.
Цільова атака спеціального шкідливого програмного забезпечення на додаток для онлайн-чату компанії [24] 7.ai (каліфорнійська компанія з Сан-Хосе, розробляє програми для онлайн обслуговування клієнтів).
Вибігли повні дані банківських карток – номери карток, CVV-коди, дати закінчення, імена та адреси власників.
Відомо лише приблизну кількість даних, що втекли. Для Sears Holding Corp. це трохи менше 100 тис. банківських карток, для Delta Air Lines це сотні тисяч карток (точніше авіакомпанія не повідомляє). Кількість скомпрометованих карток для Best Buy – невідома. Всі карти вибігли в період з 26 вересня до 12 жовтня 2017 року.
Компанії [24]7.ai знадобилося більше 5 місяців з моменту виявлення атаки на свій сервіс, щоб повідомити клієнтів (Delta, Best Buy та Sears) про інцидент. -
Panera Хліб
Файл з персональними даними більш ніж 37 млн клієнтів просто лежав у відкритому вигляді на сайті мережі популярних кафе-пекарень.
Ці дані містили імена клієнтів, адреси електронної пошти, дати народження, поштові адреси та останні чотири цифри номерів кредитних карток. -
Saks, Lord & Taylor
З торгових мереж Saks Fifth Avenue (включаючи мережу Saks Fifth Avenue OFF 5TH) та Lord & Taylor викрали понад 5 млн банківських карток.
Хакери використовували спеціальне програмне забезпечення в касових апаратах та PoS-терміналах, щоб викрадати дані карток. -
Карім
Персональні дані приблизно 14 млн. осіб на Близькому Сході, Північній Африці, Пакистані та Туреччині були вкрадені хакерами під час кібер-атаки на сервери Careem (найбільший конкурент Uber на Близькому Сході).
Компанія виявила порушення у комп'ютерній системі, в якій зберігаються облікові дані клієнтів та водіїв із 13 країн.
Було вкрадено імена, адреси електронної пошти, номери телефонів, а також дані поїздок.
Травень
- ПАР
У відкритому доступі на загальнодоступному веб-сервері, що належить компанії, яка обробляє електронні платежі за дорожні штрафи, було виявлено базу даних, що містить персональні дані приблизно 1 млн. південноафриканців.
У базі містилися імена, ідентифікаційні номери, адреси електронної пошти та паролі у текстовому вигляді.
Червень
-
Exactis
Маркетингова компанія Exactis з Флориди, США, тримала у відкритому доступі базу даних Elasticsearch розміром близько 2 терабайт, що містить понад 340 млн. записів.
У базі було виявлено близько 230 млн. персональних даних фізичних осіб (повнолітніх) та близько 110 млн. контактів різних організацій.
Варто зазначити, що всього в США проживає близько 249.5 млн. повнолітніх - тобто можна говорити про те, що база даних містить інформацію про кожного дорослого американця. -
Sacramento Bee
Невідомі хакери викрали дві бази даних, що належать каліфорнійській газеті The Sacramento Bee.
У першій базі було 19.4 млн. записів з персональними даними виборців штату Каліфорнія.
У другій базі було 53 тис. записів з інформацією про передплатників газети. -
Ticketfly
Сервіс із продажу концертних квитків Ticketfly, що належить компанії Eventbrite, повідомив про хакерську атаку на свою базу даних.
Клієнтська база сервісу була викрадена хакером IsHaKdZ, який вимагав за її нерозповсюдження $7502 у біткоїнах.
База даних містила імена, поштові адреси, телефони та адреси електронної пошти клієнтів Ticketfly і навіть деяких співробітників сервісу, лише понад 27 млн. записів. -
MyHeritage
Втекли 92 млн. акаунтів (логіни, хеші паролів) ізраїльського генеалогічного сервісу MyHeritage. Сервіс зберігає ДНК інформацію користувачів та будує їх генеалогічні дерева. -
Автомобільний телефон Dixons
Мережа електроніки Dixons Carphone, що має роздрібні магазини у Великій Британії та на Кіпрі, повідомила, що внаслідок неавторизованого доступу до ІТ-інфраструктури компанії стався витік 1.2 млн. персональних даних покупців, включаючи імена, адреси та адреси електронної пошти.
Крім того, на витік зазнали номери 105 тис. банківських карток без вбудованого чіпа.
Далі буде ...
Регулярні новини про окремі випадки витоків даних оперативно публікуються на каналі .
Джерело: habr.com