Великий год для хакеров: крупнейшие утечки данных в 2019 году
Насколько безопасны ваши личные данные в Интернете? Ответ: Это ни в малейшей степени не безопасно, и это едва ли преувеличение, поскольку большая часть ваших данных уже могла быть раскрыта несколько раз без вашего ведома. Под личными данными мы подразумеваем ваши пароли, номера телефонов, номера кредитных карт, медицинские записи, номера социального страхования и многое другое. Крупная утечка данных происходит почти каждый день, а некоторые нарушения обнаруживаются только через несколько дней, месяцев или даже лет после факта. Тревожный отчет Varonis о риске данных показал, что 58 процентов всех организаций имеют более 100 000 папок с данными, которые доступны каждому сотруднику организации. Один неверный клик неосторожного сотрудника может оставить ваши данные для входа, историю транзакций и многое другое в руки авантюристического хакера. По оценкам Forbes, только в первой половине 2019 года в результате утечки данных было раскрыто 4,1 миллиарда записей. Это почти 700 миллионов открытых записей каждый месяц. Вот самые крупные утечки данных в 2019 году, а впереди еще почти четыре месяца.
16 января: Фортнайт
Fortnite может похвастаться более чем 200 миллионами пользователей по всему миру, но из-за старой незащищенной веб-страницы игроки подвергались риску взлома их учетных записей, записи звука и использования внутриигровой валюты, при этом хакерам даже не нужно было вводить свои данные для входа. Check Point Research обнаружила уязвимость и сообщила об этом Epic Games, которая быстро устранила брешь.
Мошенники обычно заставляют игроков вводить свои учетные данные для входа и информацию о кредитной карте, заманивая их обещанием заработать бесплатные «В-баксы», которые являются виртуальной валютой игры. Однако этот более незаметный метод использовал уязвимость в поддомене Epic Games, которая позволяла запустить XSS-атаку, когда пользователь просто щелкнул ссылку, отправленную злоумышленником.
17 января: Департамент ценных бумаг Оклахомы.
Шокирующий отчет исследовательской группы UpGuard Data Breach Research показал, что данные за десятилетия на сервере хранения, принадлежащем Департаменту ценных бумаг Оклахомы, были раскрыты почти за неделю до того, как была обнаружена утечка. Поисковая система Shodan зарегистрировала общедоступность данных 30 ноября 2018 г. Аналитики Upguard 7 декабря обнаружили, что сервер содержит конфиденциальный контент, и уже на следующий день обновили Департамент ценных бумаг Оклахомы, что побудило их отозвать общедоступные данные. доступ к конфиденциальным данным почти сразу. Масштабы нарушения еще предстоит определить, поскольку диапазон данных, оставшихся незащищенными, включает личную информацию, записи внутренних сообщений и информацию для входа в систему.
17 января: Коллекция №1
Массовая утечка данных, известная как Коллекция №1, была обнаружена этическим хакером и исследователем Троем Хантом в начале этого года. Он обнаружил набор данных, содержащий более 770 миллионов уникальных адресов электронной почты и более 21 миллиона уникальных паролей, которые были скомпилированы в результате многочисленных утечек данных.
Трой Хант нашел коллекцию файлов в облачном хранилище MEGA после того, как ему сообщили несколько контактов. Огромный набор данных включал более 87 ГБ данных и состоял из более чем 12 000 файлов. Скомпрометированные адреса электронной почты и пароли были отдельно загружены в Have I Been Pwned (HIBP) и Pwned Passwords, чтобы пользователи могли проверить, не были ли утекли их учетные данные для входа.
21 января: облачное хранилище Elasticsearch
Более 108 миллионов записей о ставках, сделанных на веб-сайтах, принадлежащих группе онлайн-казино, хранились на сервере Elasticsearch, который не был защищен паролем. Исследователь безопасности Джастин Пейн уведомил ZDNet о своем открытии, сообщив, что база данных содержит информацию об именах игроков, адресах электронной почты, домашних адресах, номерах телефонов, ставках, выигрышах, депозитах и снятии средств. Однако данные их кредитных карт были частично отредактированы, что сделало их непригодными для использования хакерами. Данные были довольно конфиденциальными, потому что они делали игроков уязвимыми для схем вымогательства со стороны хакеров, у которых были данные об их выигрышах и проигрышах. Вскоре после того, как об этом стало известно, сервер отключился, хотя неясно, какая организация удалила незащищенную информацию.
29 марта: Verifications.io
База данных, содержащая более 982 миллионов адресов электронной почты, была украдена маркетинговой компанией, что стало одним из крупнейших нарушений базы данных электронной почты, которые когда-либо происходили. Маркетинговая компания, известная как Verifications.io, отправляла электронные письма на адреса электронной почты, чтобы проверить их действительность, но у нее не было абсолютно никаких мер безопасности для защиты огромной базы данных адресов электронной почты, которые она собрала.
Раскрытая информация была обнаружена экспертом по безопасности Бобом Дьяченко, который уведомил службу поддержки компании, что привело к удалению базы данных. Однако неизвестно, сколько из почти миллиарда адресов электронной почты уже было передано хакерам. Хотя база данных не содержала никаких данных кредитных карт или паролей, она содержала имена пользователей, имя их работодателя, дату их рождения, их пол и их домашний адрес.
2 апреля: Фейсбук
Пользователи Facebook постоянно подвергаются риску раскрытия своих данных общественности из-за большого количества сторонних приложений и программ, которые имеют доступ к их информации. Не все эти третьи стороны хранят пользовательские данные на защищенных серверах, что приводит к массовым утечкам данных, подобным той, которая была обнаружена в апреле. По данным группы UpGuard Cyber Risk, цифровая медиа-компания Cultura Colectiva, базирующаяся в Мексике, оставила более 540 миллионов записей с идентификаторами пользователей, именами учетных записей, лайками и комментариями, размещенными на общедоступном сервере.
Примерно в то же время была обнаружена еще одна меньшая утечка данных, которая вызывала больше беспокойства. Интегрированное с Facebook приложение под названием At the Pool раскрыло пароли более 22 000 пользователей через резервную копию в корзине Amazon S3, где пароли хранились в виде обычного текста. Поскольку многие пользователи склонны дублировать пароли в приложениях, злоумышленники могут легко получить доступ к своим учетным записям Facebook через открытые пароли.
25 мая: Первая американская корпорация.
Выяснилось, что First American Financial Corp., компания, предоставляющая финансовые услуги из списка Fortune 500, предоставила публичный доступ к более чем 885 миллионам записей всем, кто когда-либо получал по электронной почте ссылку на документ от компании. Просто изменив одну цифру в ссылке на документ, пользователи могли получить доступ к электронным транзакциям других пользователей, начиная с 2003 года. Эти документы содержали налоговые отчеты, номера банковских счетов, номера социального страхования, изображения водительских прав и записи об ипотеке. Krebs on Security сообщил, что разработчик по имени Бен Шовал заметил брешь и уведомил компанию, которая закрыла веб-сайт с утечкой данных.
24 мая: Канва
В мае Canva сообщила, что злоумышленнику удалось получить доступ к информации более 139 миллионов пользователей, включая имена, адреса электронной почты, страны проживания и криптографически защищенные пароли. Злоумышленник также смог кратко просмотреть данные кредитной карты до сентября 2016 года, но этих данных было недостаточно для совершения транзакций. Canva удалось остановить атаку на полпути, но она по-прежнему призывала пользователей сменить свои пароли на всякий случай.
29 мая: Флипборд
В период с июня 2018 года по март Flipboard подверглась атаке, аналогичной атаке на Canva, когда к ее базам данных получил доступ неавторизованный пользователь. В результате атаки могли остаться незащищенными имена, криптографически защищенные пароли и адреса электронной почты более 145 миллионов пользователей.
29 июля: Первый капитал
Из всех утечек данных в 2019 году это было самым крупным, по крайней мере, с точки зрения будущих последствий. Инженер-программист из Сиэтла по имени Пейдж Томпсон была арестована после взлома базы данных Capital One, одного из крупнейших банков США. По данным The New York Times, ей удалось украсть более 80 000 номеров банковских счетов, более 140 000 номеров социального страхования, более 1 миллиона канадских номеров социального страхования и миллионы заявок на кредитные карты. Украденные данные датируются 2005 годом, и банк сообщил, что нарушение может потенциально стоить ему более 300 миллионов долларов.
Утечки данных в 2019 году: защитите себя
Эти утечки данных в 2019 году являются доказательством того, что всем организациям, какими бы маленькими они ни были, необходимо инвестировать в кибербезопасность и обеспечивать защиту всех своих баз данных. Более крупные компании, такие как Facebook, которые часто используют сторонние приложения для доступа к данным своих пользователей, должны быть особенно осторожны в отношении того, как эти сторонние компании обрабатывают данные, которые они получают от пользователей. Как пользователь, шаг, который вы можете предпринять для обеспечения безопасности своей информации, — это постоянно обновлять свои пароли и избегать повторного использования одних и тех же паролей на разных платформах. Если вы используете VPN-подключение, чтобы оставаться анонимным в Интернете и защитить свою деятельность от посторонних глаз, убедитесь, что вы используете хорошего провайдера VPN, чтобы ваши данные не регистрировались и не продавались третьим лицам без вашего согласия.