Аллея позора: самые громкие утечки 2019 года

Словосочетание «незащищенная база данных» повторялась журналистами несчётное количество раз в 2019 году. Каждый месяц какая-то из компаний обращалась к своим клиентам с просьбой поменять пароли и сообщить о любых подозрительных действиях. Такие облачные компании, как Amazon Web Services, ElasticSearch и подобные им, неоднократно видели свои имена в заголовках. Хакеры с легкостью находили незащищенные базы данных и продавали их в даркнете. Общее количество утечек выросло на 33% по сравнению с прошлым годом, согласно исследованию Risk Based Security. Больше всего пострадал медицинский сектор, розничная торговля и государственные организации. Всего в 2019 было почти 5,2 тыс. нарушений данных, а это в общей сложности 7,9 миллиарда открытых записей.

Угадайте, какой год стал худшим в истории по утечкам данных? Правильно, 2019! Давайте воспользуемся моментом и вспомним самые громкие из них.

Январь

Marriott начал 2019 год с объявления, что хакеры получили доступ к записям — включая паспортные данные и информацию о кредитных картах — 383 миллионов гостей. Это в два раза больше, чем пострадавших от взлома Equifax, почти 148 миллионов американцев. Если это не подняло ваши брови до потолка, то следующая информация может вас удивить. Исследователь Трой Хант в январе обнаружил 773 миллиона пользовательских адресов электронной почты в открытом доступе.

Февраль

Февраль был жестким месяцем для онлайн-безопасности. Более 617 миллионов аккаунтов были взяты с 16 сайтов и выставлены на продажу в даркнете. Владельцы сайтов Dubsmash, Armor Games, 500px, Whitepages и ShareThis — все они видели, как украденные данные их пользователей продавались менее чем за $20,000. Был в этом месяце и урожай мелких взломов в медицинском секторе:

  • злоумышленник хранил 15 тыс. файлов австралийских пациентов для получения дальнейшего выкупа;
  • хакер получил несанкционированный доступ к электронной почте и раскрыл 326 тыс. записей пациентов Коннектикута;
  • в открытой базе данных была оставлена информация о почти миллионе пациентов из Вашингтона;
  • 2,7 миллиона звонков на национальную шведскую линию здравоохранения были записаны и оставлены без защиты.

Март

Сотни миллионов пользователей Facebook и Instagram на День Святого Патрика получили неприятный сюрприз. Их учетные данные были похищены из-за неправильного хранения паролей.

Апрель

В апреле Facebook снова вышел на первое место в рейтинге самых неудачливых, оставив 540 миллионов записей на незащищенных серверах. Имена, ID и пароли пользователей были предоставлены хакерам. В том же месяце Facebook признал, что хранит миллионы паролей пользователей Instagram в опасном незащищенном текстовом формате. Еще одно невероятно важное нарушение произошло в апреле: 12,5 миллионов медицинских записей беременных женщин были разоблачены, из-за незащищенного сервера, принадлежащего индийскому государственному агентству здравоохранения.

Май

Самым ярким заголовком мая стала утечка сотни миллионов страховых документов, по вине гиганта недвижимости First American Financial Corp. Но в том же месяце прошла и пара странных событий в сфере питания. Burger King оставил незащищенными базы данных, в результате чего пострадало около 40 тыс. клиентов его интернет-магазина KoolKing. Тем временем, горячее соперничество двух школьных обеденных компаний переросло в кибервойну. Финансовый директор одной из них был арестован за взлом сайта другой и раскрытие данных об учениках.

Июнь

По крайней мере 20 миллионов пациентов подверглись риску разглашения данных при взломе счетов American Medical Collection Association. Ущерб? Против AMCA и его клиентов-подрядчиков было подано несколько коллективных исков по факту нарушения приватности платежных данных пациентов, номеров социального страхования, медицинской информации, дат рождения, телефонных номеров, адресов и многого другого. Результат? Компания была вынуждена объявить о банкротстве.

Июль

О, Capital One. Как будто это было миллион лет назад, не так ли? Трудно поверить, что всего около пяти месяцев назад банк разоблачил 100 миллионов заявок на кредитные карты, 140 тыс. номеров социального страхования и 80 тыс. номеров банковских счетов — включая такие персонализированные данные, как имена, адреса, ZIP-коды, номера телефонов и даты рождения. Выяснилось, что хакером был человек изнутри компании Пейдж А. Томпсон.

Август

Помимо дорогостоящих билетов и автоматической подписки клиентов, пользователи MoviePass получили еще больше плохих новостей в августе. В ходе расследования было обнаружено, что 160 миллионов записей MoviePass были оставлены незашифрованными в базе данных компании без парольной защиты, в результате чего данные кредитных карт клиентов было похищены. Между тем, в Великобритании в результате массовой утечки данных было обнаружено 27,8 миллиона биометрических данных персонала, находящихся в распоряжении городской полиции, банков и корпоративных компаний.

Сентябрь

Более 218 миллионов слов с учетными записями игроков Friends были скомпрометированы — включая адреса электронной почты игроков, имена, идентификаторы для входа и многое другое. Хакер проник в одну из игровых баз данных, а также в базу данных целевых пользователей, которые установили игровое приложение до важного обновления. Потенциально более опасное нарушение произошло в сентябре, когда в открытой, неправильно настроенной правительственной базе данных произошла утечка 20,8 миллионов учетных записей эквадорских пользователей. И это в стране, официальное население которой составляет около 17,5 миллионов! Киберпреступники получили данные о рождении, семейном положении и национальных идентификационных номерах, а также полные домашние адреса, информацию о детях, телефонные номера и записи об образовании.

Октябрь

На ненадежном сервере Elasticsearch было обнаружено 4 миллиарда записей о профилях социальных сетей. Это одна из самых масштабных утечек из одного источника, которые мы когда-либо видели. Adobe оставил 7,5 миллионов записей о клиентах Creative Cloud в незащищенной базе данных. В это же время более 20 миллионов налоговых деклараций граждан России были выставлены на всеобщее обозрение в открытой базе данных — информация, собранная в период с 2009 по 2016 год.

Ноябрь

В ноябрьском списке утечек, взломов и разоблачений выделяется пара инцидентов с техническими сотрудниками. Facebook вернулся в заголовки после того, как около 100 разработчиков приложений получили неуместный доступ к данным профиля. В этом месяце стало известно о предыдущем нарушении, в результате которого была обнаружена учетная запись неавторизованного сотрудника компании Trend Micro, который украл личные данные около 70 тыс. клиентов компании, а затем использовал их с целью мошенничества.

Декабрь

Около 100 женщин, которые стали жертвами утечки фотографий, получили подарок в канун Рождества. Какой? Виновнику, бывшему голландскому политику, был выдвинут приговор. Прокуроры обратились к суду с просьбой дать, по крайней мере, три года человеку, взломавшему личные аккаунты женщин в iCloud с учетными записями.

Дивіться також