Ještě pár let zpět by únik dat několika milionu uživatelů plnil titulky novin a hlavních zpráv. V současné době se ale až příliš často setkáváme s úniky dat z milionu až miliardy uživatelských účtů, o kterých se téměř nemluví. Zhruba 3,5 miliardy lidí se stalo obětí krádeže osobních dat a to se bavíme pouze o prvních dvou případech z Top 15. Pro porovnání nejmenší data breach se týkal “pouhých” 134 milionu lidí.
Níže uvedený seznam největších úniků dat za 21. století byl sestaven na základě jednoduchého kritéria – celkový počet lidí, jejichž data byla kompromitována. Rozlišujeme také mezi incidenty kde byla data ukradena za účelem cíleného zneužití a případy kde daná organizace nechala data nechráněná. Jako příklad si můžeme uvést společnost Twitter, která nechala zhruba 330 milionu nezašifrovaných uživatelských hesel v logu.
Zde je seznam Top 15 největších úniků dat nedávné historie. Zahrnuje informace o obětích, odpovědných osobách a reakce jednolitých společností.
TOP 15 NEJVĚTŠÍCH ÚNIKŮ DAT 21. STOLETÍ
Kdy: 2013-2014
Dopad: 3 miliardy uživatelských účtů
Yahoo v září 2016 ohlásilo, že se během rou 2014 stalo obětí doposud největšího úniku dat v historii. Společnost označila útočníky jako “state-sponsored actors” (pozn. hackeři sponzorovaní vládou dané země), jimž se podařilo odhalit reálná jména, emailové adresy, data narození a telefonní čísla více než 500 milionů uživatelů. Yahoo prohlásilo, že většina kompromitovaných hesel nebyla prolomena.
V prosinci 2016 Yahoo přiznalo další únik z roku 2013, kdy byla kompromitována jména, data narození, emailové adresy, hesla, bezpečnostní otázky a odpovědi uživatelů u více než 1 miliardy uživatelských účtů. Společnost o rok později opravila odhad úniku dat na celkem 3 miliardy uživatelských účtů. Načasován oznámení ze strany Yahoo bylo poměrně nešťastné, jelikož zrovna probíhal akviziční proces ze strany společnosti Verzion a díky tomuto faktu se tržní hodnota Yahoo snížila o zhruba 350 milionů USD.
Kdy: Březen 2020
Dopad: 538 milionů účtů
Sina Weibo je čínská varianta Twitteru čítající více než 500 milionu uživatelů. Během března 2020 byly na dark webu k dostání telefonní čísla, reálná jména, uživatelská jména, informace o pohlaví a lokalitě zhruba 172 milionů uživatelů platformy. Jelikož balíček neobsahoval hesla, dal se pořídit za pouhých 1,799 Yenů (cca 370 Kč).
Weibo potvrdilo, že se jedná o pravá data, ale s tvrzením že údaje byly získány porovnáním kontaktů s API adresářem. Tato informace však není úplně pravdivá. Některé z nabízených informací, jako jsou údaje o poloze, nejsou k dispozici prostřednictvím rozhraní API. Společnost následně předala případ k prošetření China Cyber Security Administration spadající pod Ministerstvo průmyslu a IT.
Kdy: 2014-2018
Dopad: 500 milionů zákazníků
Mezinárodni gigant v oblasti ubytování oznámil, že hackeři ukradli data zhruba 500 milionům zákazníků. Únik dat začal v roce 2014, kdy se cílem stal řetězec hotelů Starwood. Útočníci nepozorovaně působili uvnitř systémů i poté, co řetězec odkoupil Mariott (2016). Odhaleni byli až dva roky na to.
Útočníkům se podařilo získat kontaktní informace, čísla pasů, seznam prémiových hostů a další osobní informace. Dalším více než 100 milionům hostům byly odcizeny čísla kreditních karet a datum jejich expirace. New York Times z útoku obvinil skupinu Čínských hackerů zaměřenou na sběr informací o amerických občanech.
Kdy: Říjen 2016
Dopad: 412,2 milionu uživatelských účtů
Síť FriendFinder poskytuje uživatelům možnost nezávazných schůzek a zprostředkování přímého spojení na webové stránky s obsahem pro dospělé, jako např. Adult Friend Finder, Penthouse.com, Cams.com, iCams.com a Stripshow.com, se stala obětí hackerského útoku v průběhu října 2016. Cílem útoku se staly informace z šesti databází obsahující více než 20 let historických záznamů o uživatelích, včetně jejich jmen, emailových adres a hesel. Útočníkům se podařilo prolomit 99 % hesel díky slabému SHA-1 hashovacímu algoritmu.
Kdy: 2013
Dopad: 360 milionů uživatelských účtů
Sociální medium MySpace se dostalo po dlouhé době do povědomí široké veřejnosti během roku 2016, kdy na server LeakedSource a dark webové tržiště The Real Deal bylo nahráno 360 milionů uživatelských účtu. Vyvolávací cena za balíček činila 6 BTC, což se v té době rovnalo částce kolem 3 000 USD.
MySpace uvedl, že balík obsahoval emailové adresy, hesla a uživatelská jména u účtů vytvořených před 11. červnem 2013, ještě na staré platformě.
Kdy: Říjen 2015
Dopad: 235 milionů uživatelských účtů
NetEase je poskytovatel mailboxových služeb prostřednictvím stránek 163.com a 126.com. Emailové adresy a plaintextová hesla 235 milionů uživatelských účtů byly prodány na dark webové tržišti uživatelem DoubleFlag. Tentýž prodejce nabízel zcizené informace od gigantů působících v Číně, jako například QQ.com, Sina Corporation a Sohu, Inc. Vedení NetEasy jakýkoliv únik informací popřelo. Webový portál Have I Been Pwned označil informaci jako neověřenou.
Kdy: Září 2019
Dopad: 218 milionů uživatelských účtů
Zynga je jeden z největších hráčů v oblasti mobilních a webových her. Jejich nejslavnější titul Farmville hrálo prostřednictvím Facebooku miliony lidí po celém světě (včetně většiny čtenářů). V září 2019 hacker z Pákistánu, vystupující pod přezdívkou Gnosticplayers, tvrdil že pronikl do databáze her Draw Something a Words with Friends, kde získal přístup k více než 218 účtům. Zynga později potvrdila krádež emailových adres, SHA-1 hashed hesel, telefonních čísel a ID hráčů v rámci Facebooku a Zynga účtů.
Kdy: 2012 a 2016
Dopad: 165 milionů uživatelských účtů
Společnost během roku 2012 oznámila krádež 6,5 milionů hesel (SHA-1 hash), které byly následně zveřejněny na ruském hackerském fóru. Až o čtyři roky později došlo k úplnému objasnění incidentu. Stejný hacker nabízející kradená data ze sítě MySpace také nabízel emailové adresy a hesle více než 165 milionů uživatelů LinkedIn za 5 bitcoinů (tehdy 2 000 USD). LinkedIn přiznal, že na základě upozornění resetoval všechna hesla u kompromitovaných účtů.
Kdy: Prosinec 2018
Dopad: 162 milionů uživatelských účtů
New Yorská video messagingová služba Dubsmash byla v prosinci 2018 napadena hackery, kterým se podařilo získat přístup k 162 milionům emailových adres, uživatelským jménům, PBKDF2 hash hesel a data narození uživatelů. Celý balíček dat byl nabídnut k prodeji na dare webovém tržiti Dream Market, společně s daty z MyFitnessPal (150 mil. účtů), MyHertiage (92 mil. účtů), ShareThis, Armor Games a CoffeeMeetsBagel.
Dubsmash přiznalo odcizení údajů, ale už nezveřejnilo jakým způsobem se útočníkům podařilo data získat.
Kdy: Říjen 2013
Dopad: 153 mil. uživatelských záznamů
Začátkem října 2013 Adobe ohlásilo krádež téměř 3 milionů zašifrovaných záznamů, týkajících se výpisu z kreditních karet uživatelů, včetně přihlašovacích údajů blíže nespecifikovaného počtu účtů. Ještě tentýž měsíc Adobe navýšilo odhad o ID a hesla 38 milionu aktivních uživatelů. Kerbs však několik dnů před zprávou od Adobe uvedl, že list obsahuje více než 150 milionů přihlašovacích jmen a hashovaných páru hesel uživatelů. Na základě několikatýdenního výzkumu bylo zjištěno, že únik dat odhalil jména zákazníků, jejich ID, hesla a údaje o platebních kartách. Adobe v srpnu 2015 zaplatilo 1,1 milionu dolarů za správní poplatky a blíže nespecifikovanou částku pro vyrovnání s uživateli. Dle informací z listopadu 2016 Adobe svým uživatelům vyplatilo 1 milion dolarů.
Kdy: Leden 2018
Dopad: 150 milionů uživatelských účtů
Aplikace zaměřená na fitness byla napadena začátkem roku 2018. Útočníkům se podařilo získat uživatelská jména, emailové adresy, IP adresy, SHA-1 a bcrypt hash hesla cca 150 milionů uživatelů aplikace, které byly nabídnuty k prodeji společně s daty Dubsmash.
Kdy: 28. července 2017
Dopad: 147,9 milionů zákazníků
Equifax je jedním z největších poskytovatelů úvěrových služeb v USA a stela se cílem útoku, jehož následkem byl únik dat téměř 148 milionů zákazníků. Příčinou byla vysoká zranitelnost aplikace umístěna na jedné z mnoha webových stránek. Únik dat byl objeven 29. července téhož roku, ale útok probíhal již od půlky května téhož roku. Útočníkům se podařilo získat informace zahrnující Social Security Number, data narození, adresy a v některých případech i čísla řidičských průkazů 143 milionů zákazníkům. Informace obsahující data z kreditních karet dalších 209 000 zákazníků byla taktéž zveřejněna. Finální počet postižených zákazníků byl později navýšen na 147,9 milionu.
Příčinou byla řada bezpečnostních a reakčních výpadků. Zranitelnost aplikace, která umožňovala útočníkům přístup, nebyla opravena. Nedostatečná segmentace systému útočníkům usnadnila laterální pohyb.
Kdy: Květen 2014
Dopad: 145 milionů uživatelů
eBay nahlásil útok odhalující kompletní seznamů všech 145 milionů účtů zahrnující jména, adresy, data narození a zašifrovaná hesla. Hackeři získali přístup do databáze využitím přístupových údajů tří zaměstnanců eBaye, což jim umožnilo získat přístup na celkem 229 dní. Finanční data, která byla uložena v oddělené databázi nebyla napadena.
Aukční portál požádal uživatele o změnu hesel a bylo později kritizována za nedostatečnou komunikaci směrem k uživatelům a slabé implementaci procesu obnovy hesel.
Kdy: Květen 2019
Dopad: 137 milionů uživatelských účtů
Australská webová stránka zaměřená na grafické nástroje Canva, byla v květu 2019 cílem kybernetického útoku. Útočníkům se podařilo odhalit emailové adresy, uživatelská jména, jména uživatelů, místo bydliště a částečně rozluštěná hesla s bcrypt šifrování u 137 milionů účtů. Společnost uvedla, že se hackerům podařilo nahlédnout do souborů obsahující neúplná data týkajících se kreditních karet a plateb.
Útokem se na serveru ZDNet chlubil uživatel (nebo skupina uživatelů) známá pod přezdívkou Gnosticplayers. Tvrdil také, že se mu podařilo získat OAuth přístupový token (pozn. umožňuje autorizaci aplikace pro přístup ke konkrétním částem dat uživatele) uživatelů přihlašujících se přes Google účet.
Společnost potvrdila únik dat a doporučila uživatelům změnit hesla a resetovat OAuth tokeny. Zhruba 4 miliony uživatelských účtů s prolomenými hesly byla nasdílena online, což vedlo společnost k deaktivaci účtů jejichž heslo nebylo resetováno.
Kdy: Březen 2008
Dopad: 134 milionů kreditních karet kompromitováno
Únik dat nastal v momentě kdy Hearthland zprocesovával 100 milionů platebních transakcí měsíčně pro 175 000 malých a středních retailů. V lednu 2008 Visa a MasterCard upozornili Heartland na podezřelé transakce z několika jejich účtů. Útočníci použili metodu SQL injection (napadení databáze pomocí SQL kódu přes nehlídaný vstup) díky známe zranitelnosti systému, na kterou řadu let upozorňovalo mnoho bezpečnostních analytiků.
PCI (Payment Card Industry) zařadilo Hearthland na seznam firem nesplňující standard týkající se zabezpečení dat (DSS – Data Security Standard). V důsledku nebyla společnost schopna zpracovat platby od většiny poskytovatelů kreditních karet do května 2009. Společnost byla povinna uhradit odhadem 145 milionů USD jako kompenzaci na zfalšované platby.
Státním institucím se výjimečně dopadnout pachatele Alberta Gonzaleze a dva nejmenované komplice, pocházející z Ruska. Gonzalez byl v březnu 2010 odsouzen na 20 let ve federální věznici.
Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz
Zdroj: CSO
Foto: iStock
Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Užitečné kvantové počítače zatím nejsou realitou. Společnost Apple však v jednom z největších nasazení postkvantového šifrování přináší tuto technologii do iMessage.
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments