Главные утечки информации за 2018 год: часть первая
2018-й год закончился - а значит, время подвести его итоги и перечислить наиболее значимые утечки данных.
В данный обзор попали только действительно крупные случаи утечек информации по всему миру. Однако, даже несмотря на высокий порог отсечения, случаев утечек так много, что обзор пришлось разбить на две части – по полугодиям.
Сразу оговорюсь, что месяц инцидента указан не по времени его происшествия, а по времени раскрытия (публичного анонса).
Январь
Прогрессивно-консервативная партия Канады Была взломана система управления информацией (Constituent Information Management System - CIMS) Прогрессивно-консервативной партии Канады (отделение в Онтарио).
Похищенная база данных содержала имена, номера телефонов и другую персональную информацию более 1 млн. избирателей, Онтарио, а также сторонников, спонсоров и волонтеров партии.
Рособрнадзор Утечка информации о дипломах и сопутствующих им прочих персональных данных с вебсайта Федеральной службы по надзору в сфере образования и науки.
Всего около 14 млн. записей с данными о бывших студентах. Размер базы 5 Гб.
Утекли: cерия и номер диплома, год поступления, год окончания, СНИЛС, ИНН, серия и номер паспорта, дата рождения, национальность, учебная организация, выдавшая документ.
Региональное управление здравоохранения Норвегии Злоумышленники взломали систему Регионального управления здравоохранения Южной и Восточной Норвегии (Helse Sør-Øst RHF) и получили доступ к персональным данным и медицинским записям около 2.9 млн. норвежцев (более половины всех жителей страны).
Похищенные медицинские данные содержали информацию о сотрудниках правительства, секретной службы, военных, политиках и других общественных лицах.
Февраль
Swisscom Швейцарский оператор сотовой связи Swisscom признал, что скомпрометированными оказались персональные данные около 800 тыс. его клиентов.
Пострадали имена, адреса, номера телефонов и даты рождения клиентов.
Март
Under Armour Популярное приложение для фитнеса и учета питания MyFitnessPal, принадлежащее Under Armor, стало причиной серьезнейшей утечки данных. По заявлению компании, затронуто около 150 млн. пользователей.
Злоумышленникам стали известны имена пользователей, адреса электронной почты и хешированные пароли.
Orbitz Expedia Inc. (владеет Orbitz) сообщила, что обнаружила на одном из своих старых сайтов утечку данных, затрагивающую тысячи клиентов.
По оценкам, утечка затронула около 880 тыс. банковских карт.
Злоумышленник получил доступ к данным о покупках, сделанных в период с января 2016 года по декабрь 2017 года. Похищенная информация включает даты рождения, адреса, полные имена и данные о платежных картах.
MBM Company Inc В открытом доступе было обнаружено общедоступное хранилище Amazon S3 (AWS), содержащее резервную копию базы данных MS SQL с персональной информацией 1.3 млн. человек, проживающих в США и Канаде.
База данных принадлежала MBM Company Inc - ювелирной компании, базирующейся в Чикаго и работающей под торговой маркой Limoges Jewelry.
База содержала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, IP-адреса и текстовые пароли. Кроме того, там находились внутренние списки рассылки MBM Company Inc, зашифрованные данные кредитных карт, данные оплаты, промо-коды и заказы на товарные позиции.
Апрель
Delta Air Lines, Best Buy и Sears Holding Corp. Целевая атака специального вредоносного ПО на приложение для онлайн-чата компании [24]7.ai (калифорнийская компания из Сан-Хосе, разрабатывает приложения для онлайн обслуживания клиентов).
Утекли полные данные банковских карт – номера карт, CVV-коды, даты истечения, имена и адреса владельцев. Известно только примерное количество утекших данных. Для Sears Holding Corp. это чуть менее 100 тыс. банковских карт, для Delta Air Lines это сотни тысяч карт (точнее авиакомпания не сообщает). Количество скомпрометированных карт для Best Buy – неизвестно. Все карты утекли в период с 26 сентября по 12 октября 2017 года. Компании [24]7.ai потребовалось более 5 месяцев с момента обнаружения атаки на свой сервис, чтобы уведомить клиентов (Delta, Best Buy и Sears) об инциденте.
Panera Bread Файл с персональными данными более чем 37 млн. клиентов просто лежал в открытом виде на сайте сети популярных кафе-пекарен.
Утекшие данные содержали имена клиентов, адреса электронной почты, даты рождения, почтовые адреса и последние четыре цифры номеров кредитных карт.
Saks, Lord & Taylor Из торговых сетей Saks Fifth Avenue (включая сеть Saks Fifth Avenue OFF 5TH) и Lord & Taylor похитили более 5 млн. банковских карт.
Хакеры использовали специальное программное обеспечение в кассовых аппаратах и PoS-терминалах, чтобы красть данные карт.
Careem Персональные данные примерно 14 млн. человек на Ближнем Востоке, в Северной Африке, Пакистане и Турции были украдены хакерами в ходе кибер-атаки на серверы Careem (крупнейший конкурент Uber на Ближнем Востоке).
Компания обнаружила нарушение в компьютерной системе, в которой хранятся учетные данные клиентов и водителей из 13 стран. Были украдены имена, адреса электронной почты, номера телефонов, а также данные поездок.
Май
ЮАР В свободном доступе на общедоступном веб-сервере, принадлежащем компании, которая обрабатывает электронные платежи за дорожные штрафы, была обнаружена база данных, содержащая персональные данные примерно 1 млн. южноафриканцев.
В базе содержались имена, идентификационные номера, адреса электронной почты и пароли в текстовом виде.
Июнь
Exactis Маркетинговая компания Exactis из Флориды, США, держала в открытом доступе базу данных Elasticsearch размером около 2 терабайт, содержащую более 340 млн. записей.
В базе было обнаружено около 230 млн. персональных данных физических лиц (совершеннолетних) и около 110 млн. контактов различных организаций.
Стоит отметить, что всего в США проживает около 249.5 млн совершеннолетних – то есть можно говорить о том, что база данных содержит информацию о каждом взрослом американце.
Sacramento Bee Неизвестные хакеры похитили две базы данных, принадлежащих калифорнийской газете «The Sacramento Bee».
В первой базе находилось 19.4 млн. записей с персональными данными избирателей штата Калифорния.
Во второй базе было 53 тыс. записей с информацией о подписчиках газеты.
Ticketfly Сервис по продаже концертных билетов Ticketfly, принадлежащий компании Eventbrite, сообщил о хакерской атаке на свою базу данных.
Клиентская база сервиса была похищена хакером IsHaKdZ, который требовал за ее нераспространение $7502 в биткоинах.
База данных содержала имена, почтовые адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса, всего более 27 млн. записей.
MyHeritage Утекли 92 млн. аккаунтов (логины, хеши паролей) израильского генеалогического сервиса MyHeritage. Сервис хранит ДНК информацию пользователей и строит их генеалогические деревья.
Dixons Carphone Сеть электроники Dixons Carphone, имеющая розничные магазины в Великобритании и на Кипре, сообщила, что в результате неавторизованного доступа в ИТ-инфраструктуру компании произошла утечка 1.2 млн. персональных данных покупателей, включая имена, адреса и адреса электронной почты.
Кроме того, утечке подверглись номера 105 тыс. банковских карт без встроенного чипа.
Продолжение следует…
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.