Пока одни наслаждались летними отпусками, другие наслаждались уловом конфиденциальных данных. Cloud4Y подготовил краткий обзор нашумевших утечек данных за это лето.
Июнь
1.
Более 400 тысяч адресов электронной почты и 160 тысяч телефонных номеров, а также 1200 пар логин-пароль для доступа в личные кабинеты клиентов крупнейшей транспортной компании Fesco оказались в открытом доступе. Реальных данных наверняка меньше, т.к. записи могут повторяться.
Логины и пароли действующие, они позволяют получить полные сведения о перевозках, выполненных компанией для конкретного заказчика, включая акты выполненных работ и сканы товарных накладных с печатями.
Данные попали в открытый доступ через журналы, оставленные программным обеспечением CyberLines, который используют в Fesco. Помимо логинов и паролей в логах также содержатся персональные данные представителей компаний–клиентов Fesco: имена, номера паспортов, телефоны.
2.
9 июня 2019 года стало известно об утечке данных 900 тыс. клиентов российских банков. В открытом доступе оказались паспортные данные, номера телефонов, места проживания и работы граждан РФ. Пострадали клиенты Альфа-банка, ОТП-банка и ХКФ-банка, а также около 500 сотрудников МВД и 40 человек из ФСБ.
Эксперты обнаружили две базы данных клиентов Альфа-банка: в одной содержатся данные о более чем 55 тыс. клиентов от 2014–2015 годов, во второй — 504 записи от 2018–2019 годов. Во второй базе также есть данные об остатке на счёте, ограниченным диапазоном 130–160 тыс. руб.
Июль
Похоже, что в июле большинство людей отдыхало, поэтому за весь месяц произошла только одна заметная утечка. Но зато какая!
3.
В конце месяца стало известно о крупнейшей утечке данных клиентов банка. Пострадал финансовый холдинг Capital One, который оценивает ущерб в $100-150 млн. В результате взлома злоумышленники получили доступ к данным 100 млн клиентов Capital One в США и 6 млн в Канаде. Была скомпрометирована информация из заявок на получение кредитных карт и данные действующих держателей таких карт.
В холдинге утверждают, что данные самих кредиток (номера, CCV-коды и т. п.) остались в безопасности, однако украдены 140 тыс. номеров социального страхования и 80 тыс. банковских счетов. Кроме того, мошенники заполучили кредитные истории, выписки, адреса, даты рождения и зарплаты клиентов финансовой организации.
В Канаде скомпрометированы оказались примерно миллион номеров соцстрахования. Также к хакерам попали данные о транзакциях по картам, разбросанные по 23 дням за 2016-й, 2017-й и 2018-й годы.
В Capital One провели внутреннее расследование, по итогам которого компания заявила, что украденная информация вряд ли использовалась в мошеннических целях. Интересно, а в каких тогда использовалась?
Август
Отдохнув в июле, в август вернулись с новыми силами. Итак.
Уже сколько было сказано о хранении биометрии и вот опять…
4.
В середине августа 2019 года была обнаружена утечка более миллиона отпечатков пальцев и других конфиденциальных данных. Сотрудники фирмы утверждают, что получили доступ к биометрическим данным из программного обеспечения Biostar 2.
Biostar 2 используется тысячами компаний по всему миру, включая полицию Лондона, для контроля доступа к охраняемым объектам. Компания Suprema, разработчик Biostar 2, утверждает, что уже занимается решением этой проблемы. Исследователи отмечают, что наряду с записями отпечатков пальцев они нашли фотографии людей, данные по распознаванию лиц, имена, адреса, пароли, историю трудоустройства и записи о посещениях охраняемых объектов. Многие пострадавшие обеспокоены тем, что Suprema не сообщила о возможной утечке данных, чтобы ее клиенты смогли предпринять меры на местах.
В общей сложности в сети было обнаружено 23 гигабайта данных, содержащих почти 30 миллионов записей. Исследователи отмечают, что биометрическая информация уже никогда не может стать конфиденциальной после такой утечки. Среди компаний, чьи данные оказались в сети, были Power World Gyms, спортзал в Индии и Шри-Ланке (113 796 записей пользователей, включая отпечатки пальцев), Global Village, ежегодный фестиваль в ОАЭ (15 000 отпечатков пальцев), Adecco Staffing, бельгийская компания по подбору персонала (2000 отпечатков пальцев). Больше всего утечка коснулась британских пользователей и компаний — миллионы персональных записей оказались в свободном доступе.
Платёжная система Mastercard официально уведомила бельгийского и немецкого регуляторов о том, что 19 августа компания зафиксировала утечку данных «большого количества» клиентов, «значительная часть из которых» — немецкие граждане. В компании указали, что предприняли необходимые шаги и удалили все попавшие в интернет персональные данные клиентов. По утверждению Mastercard, инцидент связан с программой лояльности сторонней немецкой компании.
5.
Тем временем наши соотечественники тоже не дремлют. Как говорится: «Спасибо РЖД, но нет».
Утечка данных сотрудников «Российских железных дорог», о которой рассказал ashotog, стала второй по масштабу в России в 2019 году. В открытый доступ попали номера СНИЛС, адреса, телефоны, фото, ФИО и должности 703 тысяч сотрудников РЖД из 730 тысяч.
РЖД проверяет публикацию и готовит обращение в правоохранительные органы. Персональные данные пассажиров похищены не были, уверяет компания.
6.
А буквально вчера компания Imperva сообщила об утечке конфиденциальной информации ряда своих клиентов. Инцидент затронул пользователей CDN-сервиса Imperva Cloud Web Application Firewall, ранее известного как Incapsula. Согласно публикации на сайте Imperva, компании стало известно об инциденте 20 августа нынешнего года после сообщения об утечке данных ряда клиентов, имевших аккаунты в сервисе до 15 сентября 2017 года.
Скомпрометированная информация включала адреса электронной почты и хеши паролей пользователей, зарегистрировавшихся до 15 сентября 2017 года, а также ключи API и SSL-сертификаты некоторых клиентов. В компании не раскрыли подробности о том, как именно произошла утечка данных. Пользователям сервиса Cloud WAF рекомендовано сменить пароли для учетных записей, включить двухфакторную аутентификацию и реализовать механизм единого входа (Single Sign-On), а также загрузить новые SSL-сертификаты и сбросить ключи API.
При сборе информации для этой подборки невольно всплыла мысль: а сколько нам утечек чудных принесёт осень?
Что ещё полезного можно почитать в блоге Cloud4Y
→ vGPU — использовать нельзя игнорировать
→ AI помогает изучать животных Африки
→ 4 способа сэкономить на бэкапах в облаке
→ 5 лучших дистрибутивов Kubernetes
→ Роботы и клубничка: как AI повышает урожайность полей
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.