У кіберсвіті є багато випадків кібератак. Пропонуємо Вашій увазі підбірку 5 масштабних витоків даних, які увійшли в історію завдяки розкриттю інформації мільйонів користувачів.
Equifax
У 2017 році Equifax, одне з найбільших агентств кредитної інформації в США, стало жертвою витоку даних. Інцидент був спричинений уразливістю в структурі веб-додатків Apache Struts, для якої Equifax не вдалося застосувати випущене виправлення вчасно. Зловмисники змогли перехопити особисті дані майже 148 мільйонів американців, 15,2 мільйона британців і майже 19 000 канадців. Серед даних було багато персональної інформації, включаючи номери соціального страхування, дати народження та адреси, які могли використовуватися для шахрайства. За оцінками компанії, збитки, пов’язані з цим інцидентом, досягли близько 1,7 мільярдів доларів США.
Marriot
У 2018 році в Marriott International, однієї з найбільших готельних мереж у світі, стався серйозний витік даних, пов’язаний з базою даних бронювання Starwood. За оцінками Marriot, під загрозою опинилося до 383 мільйонів клієнтів.
Серед скомпрометованої інформації були імена, поштові адреси, номери телефонів, адреси електронної пошти, паспортні дані, інформація про обліковий запис Starwood Preferred Guest (SPG), дати народження, а у деяких випадках навіть номери платіжних карт та дані щодо їх терміну дії.
Скомпрометовані дані могли бути використані для фішингових атак, атак за допомогою методів соціальної інженерії, шахрайства з кредитними картами та ідентифікаційними даними. Компанія зазнала збитків у розмірі близько 72 мільйонів доларів США за інцидент, однак 71 мільйон було відшкодовано страховкою. Проте, Marriott все ще може отримати чималий штраф у розмірі 99 мільйонів фунтів стерлінгів (123 мільйонів доларів США) від британського органу із захисту даних.
eBay
eBay — це один з найбільших веб-сайтів електронної комерції у світі, відомий своїми продажами у форматі аукціонів. У 2014 році компанія eBay стала жертвою кібератаки, у результаті якої постраждало 145 мільйонів активних користувачів. Відповідно до даних компанії, атака розпочалася з компрометації невеликої кількості облікових даних співробітників. Серед скомпрометованої інформації були персональні дані клієнтів, такі як імена, адреси електронних скриньок та фізичні адреси, номери телефонів, дати народження, а також зашифровані паролі, які могли використовуватися у різних формах кібератак та спробах обману потенційних жертв.
Target
У 2013 році Target, одна з найбільших роздрібних мереж у США, зазнала серйозного витоку даних про 41 мільйон рахунків платіжних карток, а також контактну інформацію понад 60 мільйонів клієнтів. Кіберзлочинці отримали доступ до імен клієнтів, їх номерів телефонів, адрес електронної пошти, номерів кредитних та дебетових карток, а також зашифрованих PIN-кодів та кодів підтвердження кредитної картки.
За словами Target, PIN-коди були зашифровані за допомогою стандарту потрійного шифрування даних, що ускладнило роботу кіберзлочинців. Однак, зібрана інформація могла бути використана кіберзлочинцями з метою шахрайства з кредитними картками та особистими даними.
Після витоку даних компанія Target запропонувала послуги кредитного моніторингу (відстеження кредитної діяльності від вашого імені) та врегулювала колективний позов у розмірі 10 мільйонів доларів США, пообіцявши виплатити до 10 000 доларів США будь-якому клієнту, який доведе причетність витоку даних до власних збитків. Крім того, компанії довелося виплатити 18,5 мільйонів доларів США.
Adult friend finder
У 2016 році Friend Finder Network — компанія у галузі онлайн-знайомств та розваг— зазнала витоку даних більше 412 мільйонів облікових записів користувачів. Величезний витік даних включав 339 мільйонів акаунтів з веб-сайту AdultFriendFinder.com, а також 15 мільйонів видалених акаунтів, які ще залишалися в базі даних.
Серед даних були записи з найбільших веб-сайтів компанії за 20 років, включаючи імена користувачів, адреси електронної пошти, паролі, дані про членство на сайті, інформацію про браузер, IP-адресу, яка останній раз використовувалась для входу в систему. Варто зазначити, що паролі зберігалися або у вигляді відкритого тексту, або зашифровані за допомогою SHA-1, чого виявилося недостатньо, оскільки паролі можна було легко зламати.
Більшість користувачів не розголошує на публіку інформацію про відвідування або діяльність на таких веб-сайтах. На жаль, витік даних дозволив кіберзлочинцям легко атакувати таких користувачів, шантажуючи їх розкриттям конфіденційної інформації, яку вони хотіли б приховати.
Такі інциденти повинні застерігати домашніх та корпоративних користувачів від легковажних дій під час роботи в Інтернеті та змушувати відповідальніше відноситися до персональних даних.
Джерело: ESET
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ
Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ
Як виявити шахрайство з технічною підтримкою та уникнути його? Поради
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.
Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.
До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.
Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.
А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.