Содержание
Утечки данных являются частью мебели нашей цифровой жизни. Едва ли проходит день без утечки данных другой компанией. И хотя эти события становятся все более обычным явлением, кое-что еще изменилось и в 2018 году.
Внедрение Общего регламента ЕС по защите данных (GDPR) означает, что предприятия теперь обязуются раскрывать любые нарушения в течение 72 часов. Может быть трудно не отставать от всех последних взломов, поэтому мы собрали некоторые из наиболее заметных нарушений года.
1. Под броней
Затрагиваемые пользователи: 150 миллионов
Данные выставлены: Имена пользователей, адреса электронной почты и хешированные пароли
Для многих людей во всем мире приложение для отслеживания диеты и физических упражнений MyFitnessPal (MFP) является ежедневным спутником в их фитнес-путешествии. Поэтому неудивительно, что компания спортивной одежды Under Armour приобрела МФУ в рамках своего цифрового предложения. В марте 2018 года компания Under Armor (UA) опубликовала заявление о том, что MyFitnessPal был взломан, и были вскрыты имена пользователей, адреса электронной почты и хешированные пароли 150 миллионов пользователей приложения.
Компания действовала быстро. В течение четырех дней, узнав о нарушении, MyFitnessPal отправил всем пользователям обновление по электронной почте и собрал веб-сайт часто задаваемых вопросов. Они рекомендовали, чтобы все пользователи немедленно изменили свои пароли и продолжали, несколько смутно, «вносить улучшения в [свои] системы для обнаружения и предотвращения несанкционированного доступа к пользовательской информации».
На первый взгляд кажется, что Under Armour правильно поступает от своих пользователей. Тем не менее, хотя некоторые пароли были хэшированы с помощью bcrypt — процесс преобразования вашего пароля в нечитаемую строку символов
— другим не повезло. Несмотря на то, что они не раскрывают цифры, часть существенной пользовательской базы МФУ была защищена только с помощью SHA-1, что считается самой слабой формой хеширования.
Хотя утечка произошла в начале года, по состоянию на сентябрь 2018 года дальнейших обновлений о причине нарушения или о том, как UA надеется предотвратить будущие атаки, не поступало. Компания также не уточнила, будут ли они продолжать использовать хеширование SHA-1.
2. British Airways
Затрагиваемые пользователи: неизвестный
Данные выставлены: Персональные и финансовые данные клиента
Когда лето подошло к концу в начале сентября, крупнейшая британская авиакомпания British Airways (BA) заявила, что срочно расследует кражу информации о клиентах. На своем информационном веб-сайте об инциденте компания сообщила, что кража коснулась «клиентов, которые сделали заказы или изменили их заказы […] в период с 22:58 по 21 августа 2018 года по 21:45 и до 21:45 по состоянию на 5 сентября 2018 года». Украденные данные содержали имена , адрес электронной почты, платежный адрес и реквизиты банковской карты.
Если вы попали в число несчастных жертв нападения, Б.А. пообещал, что вы не останетесь без средств в результате прямого кражи. Тем не менее, стоит отметить, что они не сказали, что они считают «прямым результатом». В последующие дни после раскрытия, Регистр сообщил, что виновником атаки мог быть сценарий с внешним платежом. Охранная фирма RiskIQ заявила, что атака, вероятно, была осуществлена группой, известной как Magecart, которая была ответственна за очень похожую атаку на Ticketmaster в начале 2018 года.
Чуть более чем за год до атаки BA также оказалась в центре серьезного сбоя питания компьютера. Отказ привел к полной остановке ИТ-систем компании, в результате чего все самолеты оказались на грани и затронули тысячи пассажиров. Несмотря на то, что BA делает заголовки во всем мире, мало что говорит о причине беспрецедентного сбоя.
3. TypeForm
Затрагиваемые пользователи: неизвестный
Данные выставлены: Данные опроса, включая личную информацию
Если вы заполняли онлайн-опрос в последние несколько лет, вы, вероятно, использовали веб-сайт сбора данных Typeform. Их опросы пользуются популярностью среди предприятий, так как они просты в настройке и удобны для пользователя. Клиентами Typeform являются предприятия, а не конечные пользователи. Поэтому, когда компания обнаружила нарушение в июне 2018 года, они предупредили своих клиентов.
На сайте реагирования на инциденты Typeform не хватает подробностей, и основное внимание уделяется тому, как компании должны сообщать клиентам о раскрытии. Все, что мы знаем о взломе Typeform, это то, что он был результатом несанкционированного доступа к частичной резервной копии от 3 мая 2018 года. Хотя не ясно, как далеко назад растягиваются эти данные. Поскольку Typeform решил не предоставлять подробную разбивку, общее число пострадавших также неясно.
Тем не менее, список организаций, попавших в зону нарушения, довольно обширный. Британские ритейлеры Fortnum Среди пострадавших были Мейсон и Джон Льюис, а также австралийская сеть пекарен Bakers Delight. Другими известными жертвами являются Airtasker, Rencore, PostShift, Revolut, Студенческий союз Мидлсексского университета, Монзо, Тасманская избирательная комиссия, Travelodge и либеральные демократы Великобритании.
4. Точный
Затрагиваемые пользователи: 340 миллионов
Данные выставлены: Все мыслимое, кроме номеров социального страхования и номеров кредитных карт
В нашей современной экономике мы обмениваем наши данные в обмен на бесплатные продукты и онлайн-услуги. Тем не менее, наблюдается растущее движение против такого рода сбора данных. Они пренебрежительно относятся к этой практике как к наблюдению за капитализмом. Это мнение стало еще более популярным после взлома Equifax 2017 года
и скандал с Кембриджской аналитикой на Facebook
, Вы, вероятно, были удивлены, что Equifax собирал подробную информацию о вас за вашей спиной. К сожалению, вы не будете слишком шокированы, узнав, что они не единственные.
В июне исследователь безопасности Винни Троя использовал компьютерную поисковую систему Shodan для обнаружения базы данных, содержащей 340 миллионов записей. База данных была оставлена незащищенной на общедоступном сервере маркетинговой компанией Exactis. В то время как 145,5 миллиона записей о взломе Equifax получили широкое освещение, база данных Exactis затмила его, составив 340 миллионов записей. Однако, в отличие от агрегированных данных Equifax, база данных Exactis была найдена исследователем безопасности. В настоящее время нет доказательств того, что к нему обращались злонамеренно.
Exatis является брокером данных, торгующим нашей личной информацией, — так они получили почти 214 миллионов физических лиц и 110 миллионов коммерческих данных. Согласно WIRED, записи включали «более 400 переменных по широкому спектру специфических характеристик: курит ли человек, его религия, есть ли у него собаки или кошки, а также разные интересы, как подводное плавание и одежда больших размеров».
Здесь есть серебряная подкладка. Несмотря на феноменальное количество идентифицируемых данных, в отличие от Equifax, они не располагали финансовой информацией. Однако, если окажется, что злоумышленник получил доступ к базе данных, существует множество возможностей для социальной инженерии.
,
5. Timehop
Затрагиваемые пользователи: 21 миллион
Данные выставлены: Имена, адреса электронной почты, даты рождения, пол, коды стран и номера телефонов
Наша коллективная ностальгия за прошедшие годы превратилась в большой бизнес. Ни одна компания не смогла извлечь выгоду из этой любви прошлого больше, чем Timehop. Приложение Timehop подключается к вашим социальным сетям и обновляет ваши старые сообщения, чтобы напомнить вам о том, что вы делали в этот день в прошлом. В июле 2018 года Timehop объявил, что прервал вторжение в сеть в День независимости.
Несмотря на то, что атака была остановлена всего за два часа, злоумышленник смог получить много данных. К сожалению, это включало имена, адреса электронной почты, даты рождения, пол и, в некоторых случаях, номера телефонов 21 миллиона пользователей приложения. Однако они смогли помешать злоумышленнику получить доступ к сообщениям в социальных сетях и личным сообщениям.
Злоумышленнику удалось получить доступ к хранимым ключам OAuth2, которые предоставляют доступ к подключенным социальным сетям пользователя. Перед раскрытием информации о нарушении Timehop работал с социальными сетями, чтобы деактивировать эти ключи, заставляя пользователей повторно аутентифицировать подключенные учетные записи.
В отличие от многих их современников, их сайт об инциденте был четко представлен. Атака была объяснена как с технической, так и с прямой точки зрения. Они даже предоставили легко усваиваемую таблицу комбинаций данных и количества пострадавших. Конечно, это принесет мало утешения 21 миллиону жертв ностальгического приложения.
Защитите себя от следующего нарушения данных
Услуги, которые мы когда-то считали безопасными, быстро распадаются, отчасти из-за их плохой практики безопасности. Вы можете даже начать задаваться вопросом, безопасен ли где-нибудь в Интернете. Особенно учитывая, сколько раз сбор данных раскрыл вашу личную информацию. Если вы беспокоитесь о том, что что-то не так, вам следует проверить, не были ли взломаны ваши онлайн-аккаунты.
Ответственность за защиту вас ложится на ноги пострадавших компаний. Тем не менее, есть способы улучшить вашу кибер-гигиену
это укрепит вашу защиту. Пароли — одна из наших самых больших проблем, но есть и хорошие новости. Вам, возможно, не придется ждать слишком долго, прежде чем мы начнем видеть захватывающие альтернативы паролей
ударил мейнстрим.
Кредит Фотографии: stevanovicigor / DepositPhotos