Edmund Richardson
0 
2046
349
Porušení dat je součástí nábytku našich digitálních životů. Sotva uběhne den, aniž by jiná společnost nevypouštěla vaše data. A zatímco se tyto události stávají běžnější, v roce 2018 se změnilo i něco jiného.
Provádění obecného nařízení EU o ochraně údajů (GDPR) znamená, že podniky se nyní zavazují zveřejnit všechna porušení do 72 hodin. Může být těžké držet krok se všemi nejnovějšími hacky, takže jsme zaokrouhlili některá z nejvýznamnějších porušení roku.
1. Pod brnění
Uživatelé ovlivnění: 150 milionů
Data vystavena: Uživatelská jména, e-mailové adresy a hashovaná hesla
Pro mnoho lidí na celém světě je aplikace pro sledování výživy a cvičení MyFitnessPal (MFP) každodenním společníkem na jejich fitness cestě. Bylo tedy malým překvapením, když společnost Sportswear Under Armour získala MFP jako součást své digitální nabídky. V březnu 2018, Under Armour (UA) vydal prohlášení, že MyFitnessPal byl ohrožen, s uživatelskými jmény, e-mailovými adresami a hashovacími hesly 150 milionů uživatelů aplikace vystavených.
Společnost jednala rychle. MyFitnessPal poslal všem uživatelům e-mail do čtyř dnů od získání informací o porušení a sestavil web s nejčastějšími dotazy. Doporučili, aby všichni uživatelé okamžitě změnili svá hesla a aby i nadále byli poněkud vágně, “provádět vylepšení [jejich] systémů za účelem zjištění a zabránění neoprávněnému přístupu k informacím o uživateli.”
Na povrchu to vypadá, jako by si Under Armour dělal právo jeho uživatelů. Přestože byla některá hesla hashována pomocí bcrypt-procesu, který transformuje vaše heslo na nečitelný řetězec znaků, každý zabezpečený web to dělá s vaším heslem Každý zabezpečený web to dělá s vaším heslem Už jste někdy přemýšleli, jak webové stránky chrání vaše heslo před daty porušení? - matky neměly takové štěstí. Ačkoli tato čísla neodhalila, část podstatné uživatelské základny MFP byla chráněna pouze pomocí SHA-1, široce považovaného za nejslabší formu hashování.
Ačkoli k úniku došlo počátkem roku, od září 2018, nedocházelo k žádným dalším aktualizacím o příčině porušení nebo o tom, jak UA doufá, že zabrání budoucím útokům. Společnost také neuvedla, zda budou i nadále používat hashování SHA-1.
2. British Airways
Uživatelé ovlivnění: Neznámý
Data vystavena: Osobní a finanční údaje zákazníka
Když se léto začalo na začátku září blížit, největší britská letecká společnost British Airways (BA) uvedla, že naléhavě vyšetřuje krádež informací o zákaznících. Společnost na svých webových stránkách s informacemi o incidentech uvedla, že krádež ovlivnila “zákazníci, kteří provedli rezervace nebo změny svých rezervací […] mezi 22:58 BST 21. srpna 2018 a 21:45 BST 5. září 2018.” Ukradená data zahrnovala jména, e-mailovou adresu, fakturační adresu a podrobnosti o bankovní kartě.
Pokud jste byli mezi nešťastnými oběťmi útoku, BA slíbila, že nebudete mít z kapsy přímý výsledek krádeže. Je však třeba poznamenat, že neřekli, co považují za “přímý výsledek.” V následujících dnech po zveřejnění Registr uvedl, že za útok mohl být odpovědný skript pro externí platby. Bezpečnostní společnost RiskIQ uvedla, že útok byl pravděpodobně stažen skupinou známou jako Magecart, která byla zodpovědná za velmi podobný útok na Ticketmaster počátkem roku 2018..
Těsně před rokem před útokem byla BA také v centru velkého výpadku napájení počítače. Selhání přivedlo IT systémy společnosti k zastavení, zakotvilo všechna letadla a ovlivnilo tisíce cestujících. I přes titulky po celém světě, BA řekla málo o příčině nebývalého výpadku.
3. TypeForm
Uživatelé ovlivnění: Neznámý
Data vystavena: Údaje z průzkumu včetně osobních údajů
Pokud jste v uplynulých několika letech vyplnili online průzkum, pravděpodobně jste použili web Typ sběru dat. Jejich průzkumy jsou u podniků oblíbené, protože se snadno nastavují a jsou uživatelsky přívětivé. Zákazníci Typeform jsou podniky, nikoli koncoví uživatelé. Když společnost v červnu 2018 zjistila porušení, upozornila své zákazníky.
Stránka s odpovědí na incidenty společnosti Typeform postrádá podrobnosti a zaměřuje se na to, jak by firmy měly zákazníkům sdělovat informace o zveřejnění. Vše, co víme o porušení Typeform, je, že to bylo výsledkem neoprávněného přístupu k částečné záloze ze dne 3. května 2018. Ačkoli není jasné, jak daleko zpět se tato data táhnou. Vzhledem k tomu, že se Typeform rozhodl neposkytnout podrobné členění, je celkový počet dotčených osob rovněž nejasný.
Seznam organizací, které se při porušení dopustily, je však poměrně rozsáhlý. Mezi postiženými byli britští maloobchodníci Fortnum & Mason a John Lewis spolu s australským řetězcem pekařů Bakers Delight. Mezi další známé oběti patří Airtasker, Rencore, PostShift, Revolut, Svaz studentských univerzit Middlesex University, Monzo, Tasmánská volební komise, Travelodge a britští liberální demokraté.
4. Exactis
Uživatelé ovlivnění: 340 milionů
Data vystavena: Vše, co si lze představit, minus číslo sociálního zabezpečení a čísla kreditních karet
V naší moderní ekonomice obchodujeme s našimi daty výměnou za bezplatné produkty a online služby. Proti tomuto druhu sběru dat však roste hnutí. Odkazují disparagely na praxi jako Surveillance kapitalismus. Tento sentiment se stal ještě populárnějším v důsledku 2017 Equifax hacku Equihax: Jeden z nejnápadnějších porušení všech dob Equihax: Jeden z nejnápadnějších porušení všech dob Porušení Equifaxu je nejnebezpečnější a trapné porušení bezpečnosti pořád. Ale znáte všechna fakta? Byl jsi ovlivněn? Co s tím můžete dělat? Zjistěte zde. a Facebook Cambridge Analytica Scandal Facebook se zaměřuje na Cambridge Analytica Scandal Facebook Adresa Cambridge Analytica Scandal Facebook byl zapleten do toho, co se stalo známým jako skandál Cambridge Analytica. Poté, co několik dní mlčel, se Mark Zuckerberg nyní zabýval nastolenými problémy. . Pravděpodobně jste byli překvapeni, že Equifax shromažďoval podrobné informace o vás za zády. Bohužel nebudete příliš šokováni, abyste zjistili, že nebyli jediní.
V červnu výzkumník v oblasti bezpečnosti Vinny Troia použil počítačový vyhledávací stroj Shodan k odhalení databáze obsahující 340 milionů záznamů. Databáze byla ponechána nezajištěna na veřejně dostupném serveru marketingovou společností Exactis. Zatímco 145,5 milionu záznamů hackerů Equifaxu dostalo rozsáhlé pokrytí, databáze Exactis to zatopila na 340 milionech záznamů. Na rozdíl od agregovaných dat Equifax však byla databáze Exactis nalezena výzkumným pracovníkem v oblasti bezpečnosti. V současné době neexistuje žádný důkaz, že k němu byl přistupován nebezpečně.
Exatis je zprostředkovatel dat, který obchoduje s našimi osobními údaji - a tak vlastnili téměř 214 milionů jednotlivců a 110 milionů podnikových dat. Podle WIRED obsahovaly záznamy “více než 400 proměnných na široké škále specifických charakteristik: zda osoba kouří, své náboženství, zda má psy nebo kočky, a zájmy tak rozmanité, jako je potápění a oblečení větší velikosti.”
Je tu však stříbrná podšívka. Přes fenomenální množství identifikovatelných dat, na rozdíl od Equifaxu, neměli žádné finanční informace. Pokud se však ukáže, že se do databáze dostal škodlivý uživatel, existuje spousta příležitostí pro sociální inženýrství. Jak se chránit před těmito 8 útoky sociálního inženýrství Jak se chránit před těmito 8 útoky sociálního inženýrství Jaké techniky sociálního inženýrství by hacker použil a jak byste se před nimi chránili? Pojďme se podívat na některé z nejčastějších metod útoku. .
5. Timehop
Uživatelé ovlivnění: 21 milionů
Data vystavena: Jména, e-mailové adresy, data narození, pohlaví, kódy zemí a telefonní čísla
Naše kolektivní nostalgie po celá léta se stala velkým byznysem. Žádná společnost nebyla schopna vydělávat na této lásce k minulosti více než Timehop. Aplikace Timehop se připojuje k vašim sociálním sítím a obnovuje vaše staré příspěvky, aby vám připomněla, co jste dělali tento den v minulosti. V červenci 2018 Timehop oznámil, že v Den nezávislosti přerušil narušení sítě.
Navzdory zastavení útoku za pouhé dvě hodiny byl útočník schopen vzít spoustu dat. Bohužel to zahrnovalo jména, e-mailové adresy, data narození, pohlaví a v některých případech telefonní čísla 21 milionů uživatelů aplikace. Byli však schopni zabránit útočníkovi v získání přístupu k příspěvkům na sociálních médiích a soukromým zprávám.
Útočník se podařilo dostat k uloženým klíčům OAuth2, které udělují přístup k sociálním sítím připojeným k uživateli. Před odhalením narušení pracoval Timehop se sociálními sítěmi na deaktivaci těchto klíčů, což nutilo uživatele znovu autentizovat připojené účty.
Na rozdíl od mnoha jejich současníků byla jejich webová stránka incidentu jasně prezentována. Útok byl vysvětlen z technického i přímého hlediska. Poskytli dokonce snadno stravitelnou tabulku kombinací přístupných údajů a počtu lidí, kterých se to týkalo. Samozřejmě, bude to pro malé nostalgické aplikace 21 milionů obětí malé pohodlí.
Chraňte se před dalším porušením dat
Služby, které jsme kdysi považovali za zabezpečené, se rychle rozpadají díky částečně jejich špatným bezpečnostním postupům. Možná se dokonce začnete ptát, zda je kdekoli na internetu v bezpečí. Zejména vzhledem k tomu, kolikrát sběr dat odhalil vaše osobní údaje. Pokud máte obavy, že je něco v nepořádku, měli byste zkontrolovat, zda nebyly vaše online účty napadeny.
Odpovědnost za ochranu vás padá na nohy postižených společností. Existují však způsoby, jak zlepšit vaši kybernetickou hygienu. Zlepšení kybernetické hygieny v 5 jednoduchých krocích Vylepšení kybernetické hygieny v 5 jednoduchých krocích V digitálním světě je „kybernetická hygiena“ stejně důležitá jako osobní hygiena v reálném světě. Je třeba pravidelně kontrolovat systém a nové, bezpečnější online návyky. Jak ale můžete tyto změny provést? to posílí vaši obranu. Hesla jsou jednou z našich největších bolestí hlavy, ale jsou tu dobré zprávy. Možná nebudete muset čekat příliš dlouho, než začneme vidět vzrušující alternativy hesla Žádné další úniky? 3 vzrušující alternativy hesel, které přicházejí brzy Žádné další úniky? 3 vzrušující alternativy hesla, které přicházejí brzy Zabezpečení heslem se může zdát jako nekončící bitva. Naštěstí existují lidé, kteří pracují na bezpečnostních metodách, které mohou nahradit hesla. zasáhnout hlavní proud.