6 Февраля, 2019

Как протекал 2018 год. Часть вторая (июль-декабрь)

vera@devicelock.com
В первой части обзора утечек 2018 года, мы рассматривали наиболее значимые утечки данных за первое полугодие и вот пришло время второй части.
Как уже говорилось ранее - в обзор попали только крупные случаи утечек информации по всему миру и месяц инцидента указан не по времени его происшествия, а по времени раскрытия (публичного анонса).
Июль
Fashion Nexus
Утекли персональных данных 1.3 млн. покупателей британских онлайн магазинов модной одежды (таких брендов, как Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch и Traffic People), обслуживаемых компанией Fashion Nexus и ее дочерней структурой White Room Solutions. Пострадали имена, даты рождения, телефонные номера, адреса электронной почты, MD5 и SHA-1 хеши паролей.
Macy’s
Американская торговая сеть Macy’s предупредила клиентов, имеющих аккаунты на сайте ритейлера, о том, что неизвестные получили доступ к этим аккаунтам. После входа в аккаунт злоумышленники получили такие данные клиента, как полное имя, адрес, номер телефона, адрес электронной почты, дату рождения, номер платежной карты и дату ее истечения.
Level One Robotics and Controls
Неверная настройка программы rsync, предназначенной для удаленного резервного копирования и синхронизации файлов, привела к утечке 157 гигабайт конфиденциальной информации таких автопроизводителей, как Тойота, Тесла, GM, Форд, VW и многих других. Данные оставила в открытом доступе канадская компания-производитель роботов Level One Robotics and Controls. Утекли схемы сборочных конвейеров, планы и компоновка цехов, конфигурация роботов, формы запроса доступа для персонала, договора о неразглашении, персональные данные и документы (водительские удостоверения, паспорта) некоторых сотрудников Level One Robotics and Controls, инвойсы, контракты и банковская информация.
SingHealth
В Сингапуре хакеры взломали базу данных пациентов, посещавших сеть клиник SingHealth в период с 1 мая 2015 по 4 июля 2018. Похищены имена, адреса, пол, раса, дата рождения более 1.5 млн. человек. Кроме того, украдены данные по лекарственным рецептам 160 тыс. человек.
Telefonica
Злоумышленники воспользовались уязвимостью компьютерной сети крупнейшего испанского оператора Telefonica и сумели получить все персональные данные миллионов клиентов компании. Telefonica является одной из 10 крупнейших в мире телекоммуникационных компаний.
Утекшие данные включают имена, контактную информацию, контактные номера, данные платежей, и все, что содержит стандартный счет за услуги связи.
Данные клиентов Telefonica легко загружались в виде незашифрованной электронной таблицы (CSV).
Timehop
Сервис Timehop, который собирает «воспоминания» из соцсетей, выявил утечку данных 21 млн. пользователей. Утекли имена пользователей, адреса электронной почты и токены авторизации в социальных сетях.
Небольшое количество записей включало имя, номер телефона и адрес электронной почты, а несколько большее число - имя и номер телефона, еще большее число - имя и адрес электронной почты.
Эта утечка стала возможной следствие компрометации учетной записи администратора для доступа к облачной вычислительной среде.
Август
Huazhu Hotels Group
Утечка данных из китайских отелей затронула около 130 млн. человек. 13 отелей, принадлежащих управляющей компании Huazhu Hotels Group, пострадали от утечки персональных данных клиентов.
ABBYY
В свободном доступе оказался 192 гигабайтный файл базы данных MongoDB, принадлежащий одному из клиентов компании ABBYY и содержащий более 200 тыс. отсканированных документов.
В базе содержались договора, соглашения о неразглашении конфиденциальной информации, письма, внутренняя документация и другие документы, распознанные с применением OCR ABBYY.
Data Trust
Данные 14.8 млн. избирателей штата Техас оказались в открытом доступе. Всего в Техасе зарегистрировано 19.3 млн. избирателей. Файл базы данных размером около 16 Гб просто оставили на открытом сервере.
База данных изначально собиралась аналитической компанией Data Trust, обслуживающей Республиканскую партию.
T-Mobile
Утекли персональные данные (имена, адреса электронной почты, почтовые адреса и т.п.) из 2 млн. счетов американского сотового оператора T-Mobile.
К утечке данных привела ошибка в коде взаимодействия между онлайн магазином Apple и сервером T-Mobile, отвечающим за проверку пользовательских счетов. Функция проверки допускала неограниченное количество проверок, введенных пользователем данных, что позволило злоумышленникам осуществить перебор ПИН-кодов и последних 4-х цифр номера социального страхования.
Сентябрь
Facebook
Фейсбук официально подтвердил утечку данных 50 млн. аккаунтов, при этом потенциально было затронуто до 90 млн. аккаунтов. Хакеры смогли получить доступ к профилям владельцев этих аккаунтов благодаря цепочке из как минимум трех уязвимостей в коде Фейсбука.
Помимо самого Фейсбука пострадали и те сервисы, которые использовали аккаунты этой социальной сети для аутентификации (Single Sign-On).
Alibaba Group
Более 10 млн. записей, содержащих имена пользователей, телефоны и номера почтовых отправлений были украдены из компании Cainiao Network, входящей в холдинг Alibaba Group.
Было обнаружено, что злоумышленники установили вредоносное ПО, похищающее персональные данные, в сканеры штрих кодов. Затем похищенные данные перепродавались на черном рынке.
Veeam Software
В открытом доступе в облаке Amazon была обнаружена база данных MongoDB, принадлежащая компании Veeam.
В базе размером 200 Гб содержалось 445 млн. записей, содержащих имена, адреса электронной почты и в некоторых случаях IP-адреса. Данные были собраны за период с 2013 по 2017 год.
Октябрь
Google
Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к таким данным 500 тыс. пользователей как: логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т.п.
Google утверждают, что никто из тех 438 разработчиков, кто имел доступ к API, не знал об этой ошибке и не мог ей воспользоваться.
Сбербанк
В интернете в открытом доступе оказался архив с файлами Сбербанка, содержащими служебные документы об интеграции процессов разработки и эксплуатации программного обеспечения, в частности, данные о проверках работоспособности систем банка.
Кроме того, в открытый доступ попал CSV-файл с выгрузкой Active Directory, содержащий имена и адреса электронной почты примерно 420 тыс. сотрудников Сбербанка.
Сам Сбербанк не считает данный инцидент утечкой. Однако, банк уведомил Еврокомиссию об инциденте, так как среди скомпрометированной информации были данные граждан ЕС.
Ноябрь
Quora
Социальный сервис обмена знаниями Quora сообщил об утечке данных из 100 млн. пользовательских учетных записей. Было обнаружено внешнее проникновение в систему сервиса, в результате которого пострадали пользовательские данные:
- имена, адреса электронной почты, хешированные пароли, данные из подключенных сетей (Facebook, Google);
- публичный контент, включая вопросы, ответы, комментарии, положительные голоса;
- непубличный контент, включая запросы на ответы, переписка между пользователями, отрицательные голоса.
Marriott
Компания Marriott International заявила, что хакеры получили доступ к базе данных подразделения Marriott - Starwood Hotels, содержащей персональные данные клиентов начиная с 2014 года и по сегодняшний день.
Всего утекли данные 500 млн. гостей, пользовавшихся услугами Starwood Hotels, при этом 327 млн. утекших записей содержат номера паспортов, адреса электронной почты, почтовые адреса, а в некоторых случаях и даже реквизиты банковских карт.
American Express India
Платежная система American Express допустила утечку персональных данных 2.3 млн. индийских клиентов через оставленную в свободном доступе базу данных MongoDB. В базе содержались идентификаторы Aadhaar (уникальный идентификатор гражданина Индии), имена, адреса электронной почты, адреса, имена родственников, номера счетов.
Декабрь
Nixi Technology
Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе две базы данных Elasticsearch с персональными данными 5.3 млн. пользователей iOS и Android версий Boomoji по всему миру.
Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.
МИД Франции
5 декабря неизвестные получили доступ к базе данных с контактами (имена, адреса электронной почты и телефоны) на случай чрезвычайных происшествий, всех (540 тыс.) зарегистрированных в системе Ariane граждан. Ariane это онлайн сервис, созданный в 2010 году, который позволяет гражданам Франции, отправляющимся в «небезопасные» страны, оповестить об этом МИД страны.
Data & Leads
Очередная утечка персональных данных избирателей США. В открытой базе данных Elasticsearch находилось почти 60 млн. записей, содержащих имена, фамилии, адреса электронной почты, домашние адреса, телефонные номера и IP-адреса. Общий объем данных превышал 73 Гб. Владельцем базы данных скорее всего является канадская компания Data & Leads, занимающаяся сбором и обработкой данных.
Sky Brasil
Имена, адреса, пароли, телефоны и прочие персональные данные 32 млн. клиентов бразильского оператора платного телевидения и мобильного интернета Sky Brasil были обнаружены в свободно доступной базе данных Elasticsearch.
Freeze Pro Shop
Шотландский онлайн магазин горнолыжного снаряжения Freeze Pro Shop допустил утечку 4 млн. записей с персональными данными (имена, адреса электронной почты, почтовые адреса, телефонные номера и детали заказов) своих клиентов, оставив в открытом доступе базу данных Elasticsearch.
Google
Еще одна уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей. Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т.п.), даже если эти данные были приватными. Кроме того, через профиль одного пользователя можно было получать данные других пользователей.
Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации .