5 недавних случаев утечки данных, которые могли подвергнуть ваши данные риску
Безопасность

5 недавних случаев утечки данных, которые могли подвергнуть ваши данные риску

Бывает трудно уследить за всеми последними взломами систем онлайн-безопасности, поэтому мы собрали самые заметные утечки 2018 года

Нарушения данных – это часть мебели нашей цифровой жизни. Едва ли проходит день без того, чтобы очередная компания не слила ваши данные. И хотя эти события становятся все более обыденными, в 2018 году изменилось и кое-что другое

Введение в действие Общего регламента ЕС по защите данных (GDPR) означает, что компании теперь обязаны раскрывать информацию о любых нарушениях в течение 72 часов. Бывает трудно уследить за всеми последними взломами, поэтому мы собрали самые заметные нарушения этого года

1.Under Armour

Затронуто пользователей: 150 миллионов

Данные раскрыты: Имена пользователей, адреса электронной почты и хэшированные пароли

Для многих людей во всем мире приложение MyFitnessPal (MFP), отслеживающее диету и физические нагрузки, является ежедневным спутником на их фитнес-пути. Поэтому не было ничего удивительного, когда компания Under Armour, производящая спортивную одежду, приобрела MFP в качестве части своего цифрового предложения. В марте 2018 года компания Under Armor (UA) опубликовала заявление о том, что MyFitnessPal был взломан, и имена пользователей, адреса электронной почты и хэшированные пароли 150 миллионов пользователей приложения оказались под угрозой

Компания действовала быстро. В течение четырех дней после того, как стало известно о взломе, MyFitnessPal разослала всем пользователям обновление по электронной почте и создала веб-сайт с часто задаваемыми вопросами. Они рекомендовали всем пользователям немедленно сменить свои пароли и рекомендовали продолжать, несколько расплывчато, ‘совершенствовать свои системы для обнаружения и предотвращения несанкционированного доступа к информации пользователей’

На первый взгляд, кажется, что Under Armour поступает правильно по отношению к своим пользователям. Однако, хотя некоторые пароли были хэшированы с помощью bcrypt – процесса преобразования пароля в нечитаемую строку символов – другим не так повезло. Хотя они не раскрыли цифры, часть значительной пользовательской базы MFP была защищена только с помощью SHA-1, который считается самой слабой формой хэширования

Хотя утечка произошла в начале года, по состоянию на сентябрь 2018 года не было никаких дополнительных сведений о причинах взлома или о том, как UA надеется предотвратить будущие атаки. Компания также не сообщила, будет ли она продолжать использовать хэширование SHA-1

2.British Airways

Пользователи затронуты: Неизвестно

Data Exposed: Личные и финансовые данные клиента

В начале сентября, когда лето подошло к концу, крупнейшая авиакомпания Великобритании British Airways (BA) заявила, что срочно расследует кражу информации о клиентах. На своем сайте, посвященном информации об инциденте, компания сообщила, что кража затронула ‘клиентов, которые бронировали или вносили изменения в свои бронирования . в период с 22:58 BST 21 августа 2018 года по 21:45 BST 5 сентября 2018 года’. Похищенные данные включали имена, адреса электронной почты, адреса для выставления счетов и данные банковских карт

Если вы оказались в числе несчастных жертв атаки, компания BA пообещала, что вы не понесете убытков в результате кражи. Однако стоит отметить, что они не сказали, что именно они считают ‘прямым результатом’. В последующие дни после раскрытия информации издание The Register сообщило, что в атаке мог быть виноват внешний платежный скрипт. Компания по безопасности RiskIQ заявила, что атака, скорее всего, была осуществлена группой, известной как Magecart, которая была ответственна за очень похожую атаку на Ticketmaster ранее в 2018 году

Чуть более чем за год до этой атаки компания BA также оказалась в центре масштабного сбоя питания компьютеров. Сбой привел к остановке ИТ-систем компании, что привело к остановке всех самолетов и затронуло тысячи пассажиров. Несмотря на заголовки газет по всему миру, компания BA практически ничего не сказала о причинах беспрецедентного сбоя

3.TypeForm

Пользователи затронуты: Неизвестно

Data Exposed: Данные опроса, включая личную информацию

Если вы заполняли онлайн-опрос за последние несколько лет, вы, вероятно, использовали сайт по сбору данных Typeform. Их опросы популярны среди предприятий, поскольку их легко настроить и они удобны для пользователей. Клиентами Typeform являются предприятия, а не конечные пользователи. Поэтому, когда компания обнаружила взлом в июне 2018 года, она предупредила своих клиентов

На сайте Typeform, посвященном реагированию на инцидент, не хватает подробностей, и основное внимание уделяется тому, как компании следует сообщать клиентам о раскрытии информации. Все, что мы знаем о взломе Typeform, это то, что он стал результатом несанкционированного доступа к частичной резервной копии от 3 мая 2018 года. Хотя неясно, насколько далеко простирается история этих данных. Поскольку Typeform решила не предоставлять подробную разбивку, общее число пострадавших также неясно

Тем не менее, список организаций, пострадавших от взлома, довольно обширен. Среди пострадавших оказались британские розничные сети Fortnum & Mason и John Lewis, а также австралийская сеть пекарен Bakers Delight. Среди других известных жертв – Airtasker, Rencore, PostShift, Revolut, Middlesex University Student’s Union, Monzo, Избирательная комиссия Тасмании, Travelodge и Либеральные демократы Великобритании

4.Exactis

Затронуто пользователей: 340 миллионов

Данные раскрыты: Все, что только можно себе представить, за исключением номеров социального страхования и кредитных карт

В современной экономике мы торгуем своими данными в обмен на бесплатные продукты и онлайн-услуги. Однако существует растущее движение против такого рода сбора данных. Они пренебрежительно называют эту практику ‘капитализмом наблюдения’. Эти настроения стали еще более популярными после взлома Equifax в 2017 году и скандала с Cambridge Analytica в Facebook. Вы, вероятно, были удивлены тем, что компания Equifax собирала подробную информацию о вас за вашей спиной. К сожалению, вы не будете шокированы, узнав, что они были не единственными

В июне исследователь безопасности Винни Тройя использовал компьютерную поисковую систему Shodan, чтобы обнаружить базу данных, содержащую 340 миллионов записей. База данных была оставлена незащищенной на общедоступном сервере маркетинговой фирмы Exactis. Хотя взлом базы данных Equifax, содержащей 145,5 миллионов записей, получил широкое освещение, база данных Exactis превзошла этот показатель, составив 340 миллионов записей. Однако, в отличие от агрегированных данных Equifax, база данных Exactis была обнаружена исследователем безопасности. В настоящее время нет никаких доказательств того, что доступ к ней был получен злонамеренно

Exatis – это брокер данных, торгующий нашей личной информацией – именно таким образом в их распоряжении оказались данные почти 214 миллионов частных лиц и 110 миллионов предприятий. По данным WIRED, записи включали ‘более 400 переменных по широкому спектру конкретных характеристик: курит ли человек, его религия, есть ли у него собаки или кошки, а также такие разнообразные интересы, как подводное плавание и одежда plus-size’

Однако здесь есть и положительная сторона. Несмотря на феноменальное количество идентифицируемых данных, в отличие от Equifax, они не хранили никакой финансовой информации. Однако если выяснится, что злоумышленники все-таки получили доступ к базе данных, у них появится масса возможностей для социальной инженерии

5. Таймхоп

Затронуто пользователей: 21 миллион

Разглашаемые данные: Имена, адреса электронной почты, даты рождения, пол, коды стран и номера телефонов

Наша коллективная ностальгия по ушедшим годам стала большим бизнесом. Ни одна компания не смогла извлечь из этой любви к прошлому больше выгоды, чем Timehop. Приложение Timehop подключается к вашим социальным сетям и всплывает в памяти ваши старые сообщения, напоминая вам о том, что вы делали в этот день в прошлом. В июле 2018 года Timehop объявил, что прервал вторжение в сеть в День независимости

Несмотря на то, что атака была остановлена чуть более чем за два часа, злоумышленник смог завладеть большим количеством данных. К сожалению, они включали имена, адреса электронной почты, даты рождения, пол, а в некоторых случаях и номера телефонов 21 миллиона пользователей приложения. Однако им удалось предотвратить получение злоумышленником доступа к постам в социальных сетях и личным сообщениям

Злоумышленнику удалось добраться до хранящихся ключей OAuth2, которые предоставляют доступ к подключенным социальным сетям пользователя. Прежде чем раскрыть информацию о взломе, Timehop совместно с социальными сетями деактивировал эти ключи, заставив пользователей заново проходить аутентификацию подключенных аккаунтов

В отличие от многих своих коллег, их веб-сайт, посвященный инциденту, был четко представлен. Атака была объяснена как в технических, так и в простых терминах. Они даже представили легко усваиваемую таблицу с комбинациями данных, к которым был получен доступ, и количеством пострадавших. Конечно, это мало утешит 21 миллион жертв ностальгического приложения

Защитите себя от следующей утечки данных

Сервисы, которые мы когда-то считали безопасными, быстро становятся небезопасными, в том числе из-за плохой практики обеспечения безопасности. Вы можете даже начать сомневаться, безопасно ли вообще где-либо в Интернете. Особенно учитывая, сколько раз сбор данных приводил к раскрытию вашей личной информации. Если вы беспокоитесь, что что-то не так, проверьте, не были ли взломаны ваши онлайн-счета

Ответственность за вашу защиту лежит на пострадавших компаниях. Однако есть способы улучшить свою кибергигиену, которые укрепят вашу защиту. Пароли – одна из самых больших головных болей, но есть и хорошие новости. Возможно, вам не придется ждать слишком долго, прежде чем мы увидим, как интересные альтернативы паролям станут мейнстримом

Image Credit: stevanovicigor/DepositPhotos

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий