Wycieki danych osobowych zdarzają się każdego dnia. Niektóre z nich zdobywają światowy rozgłos, inne pozostają w cieniu. Tylko w Stanach Zjednoczonych zhakowano w tym roku 163 milionów rekordów użytkowników (wg danych organizacji Identity Theft Resource Center). To czterokrotnie więcej niż w całym zeszłym roku.


Choć ten rok jeszcze się nie skończył, nie będziemy czekać i już teraz opowiemy Wam o pięciu największych wyciekach, które zarejestrowaliśmy od początku 2017 r. — a dokładniej w jego pierwszych trzech kwartałach. Choć listę powinien otworzyć serwis Yahoo — związany z nim incydent naruszenia bezpieczeństwa objął 3 miliardy kont — w rzeczywistości wyciek miał miejsce w 2013 r.

Avanti Markets — 1,6 miliona kont

Avanti produkuje automaty sprzedające przekąski, które często można spotkać w firmach. W lipcu organizacja ta poinformowała, że na niektórych terminalach płatniczych wykryto szkodliwe oprogramowanie. Atakujący zainfekowali wybrane maszyny dosyć skomplikowanym szkodliwym programem utworzonym specjalnie w celu przechwytywania numerów kart kredytowych, daty ich wygaśnięcia oraz kodów CVV. Nie wiadomo, w jaki sposób maszyny zostały zarażone. W niektórych przypadkach atakującym udało się nawet uzyskać dostęp do danych biometrycznych klientów — część terminali była wyposażona w czytniki odcisków palców. Fakt, że automaty różniły się ustawieniami, powstrzymał infekcję przed rozprzestrzenieniem się w całej sieci. Niestety firmie nie udało się precyzyjnie oszacować wielkości szkód, postanowiła zatem ogłosić, że łupem atakujących padło co najmniej 1,6 kont.

Election Systems & Software — 1,8 miliona kont

W sierpniu eksperci ds. bezpieczeństwa IT wykryli otwarty kontener w chmurze Amazon Web Services (AWS). Znajdowały się w nim kopie zapasowe danych Election Systems & Software (ES&S) — firmy, która produkuje urządzenia do głosowania i systemy wykorzystywane podczas wyborów. Wśród danych, które dotyczyły niemal 2 milionów kont, znajdowały się imiona i nazwiska, adresy, daty urodzenia oraz przynależność partyjna obywateli stanu Illinois. Domyślnie dostęp do koszy serwisu AWS jest możliwy jedynie po uwierzytelnieniu, jednak w nieznanych okolicznościach ustawienia te zostały zmienione, dzięki czemu kontener był dostępny publicznie. To, czy oprócz ekspertów znalezisko odwiedził ktoś inny, pozostaje wielką niewiadomą. W efekcie dane osobowe 1,8 miliona osób były publicznie dostępne, zatem incydent ten odpowiada definicji wycieku.

Dow Jones & Company — 2,2 miliona kont

Incydent, jaki przydarzył się firmie Dow Jones, jest w dużym stopniu podobny do poprzedniego, lecz obejmował inne repozytorium AWS zawierające archiwum danych. Tu także problem dotyczył ustawień, jednak tym razem dane nie były dostępne publicznie, lecz wyłącznie dla użytkowników AWS. Zdarzenie to spowodowało wyciek informacji osobistych i finansowych miliona subskrybentów Wall Street Journal, Barron’s i innych gazet oraz magazynów wydawanych przez jedną z największych na świecie agencji z obszaru informacji finansowych. Do chwili obecnej nie wiadomo, czy cyberprzestępcom udało się uzyskać dostęp do danych, zanim ustawienia kontenera w chmurze zostały poprawione.

America’s Job Link Alliance — 5,5 miliona kont

Luka w oprogramowaniu sieciowym znanego internetowego silnika służącego do poszukiwania pracy pozwoliła niezidentyfikowanemu hakerowi uzyskać imiona i nazwiska, daty urodzenia, a także numery ubezpieczenia społecznego użytkowników z 10 stanów. W lutym haker ten utworzył konto w systemie i użył wspomnianej luki do uzyskania dostępu do ponad 5,5 miliona kont. Włamanie zostało odkryte dwa tygodnie później, a w efekcie luka została zamknięta. W oficjalnej informacji prasowej organizacja America’s Job Link Alliance wyjaśniła, że aplikacja będąca częścią październikowej aktualizacji w 2016 r. była „niepoprawnie skonfigurowana”.

Equifax — 145,5 miliona kont

A teraz wydarzenie, które zajęło miejsce pierwsze: włamanie do firmy Equifax. We wrześniu przedstawiciele tej organizacji poinformowali, że hakerzy uzyskali dostęp do baz danych zawierających imiona i nazwiska, numery ubezpieczenia społecznego, daty urodzenia i adresy jej klientów. Wyciek trwał ponad miesiąc, od połowy maja do końca lipca. Aby uzyskać dostęp do danych, atakujący użyli luki w strukturze oprogramowania Apache Struts 2. Equifax wstępnie oszacował, że atak objął dane 143 miliona osób, lecz później firma zwiększyła liczbę ofiar do 145,5 milionów. W incydencie zhakowano między innymi ponad 209 000 numerów kart kredytowych, jak również dokumentów zawierających dane osobowe należące do 182 000 osób. Luka, która doprowadziła do wycieku, została załatana przez firmę Oracle (dostawca Apache Struts) w marcu, a mimo to dwa miesiące później Equifax — jedna z największych agencji sporządzających sprawozdania dotyczące kredytów w Stanach Zjednoczonych, nie miała jeszcze zainstalowanych aktualizacji.

Podsumowując tych pięć największych incydentów wycieku danych, można powiedzieć, że w co najmniej czterech z nich (w pierwszym przypadku przyczyna nadal pozostaje nieznana) można im było całkowicie zapobiec. W przypadku firm Election Systems & Software i Dow Jones & Company dane zostały narażone w wyniku niepoprawnej konfiguracji oprogramowania. America’s Job Link Alliance ucierpiał z powodu nieznanej luki w aplikacji internetowej. Z kolei przypadek agencji Equifax wynika z odroczenia stosowania aktualizacji — załatanie luki wyeliminowałoby możliwość jej wykorzystania. Mówiąc w skrócie, wyciekom tym można było zapobiec, przeprowadzając okresowy audyt infrastruktury IT — powinny go regularnie realizować firmy, bez względu na ich wielkość.

źródło:

Autor: Anna Markovskaya – Oficjalny blog Kaspersky Lab

Kan