Gabriel Brooks
0 
4660
980
Kršenja podataka dio su namještaja naših digitalnih života. Jedva prođe dan, a da druga tvrtka ne procuri iz vaših podataka. I dok ti događaji postaju sve uobičajeniji, u 2018. se promijenilo i nešto drugo.
Primjena EU-ove Opće uredbe o zaštiti podataka (GDPR) znači da se tvrtke sada obvezuju otkriti bilo kakva kršenja u roku od 72 sata. Može biti teško pratiti sve najnovije hakove pa smo zaokružili neke od najznačajnijih kršenja u godini.
1. Pod oklopom
Korisnici na koje to utječe: 150 milijuna
Izloženi podaci: Korisnička imena, adrese e-pošte i šifrirane lozinke
Za mnoge ljude širom svijeta aplikacija za praćenje prehrane i vježbanja MyFitnessPal (MFP) svakodnevni je pratitelj na njihovom fitness putu. Pa je to bilo malo iznenađenje kad je sportska tvrtka Under Armor kupila MFP kao dio njihove digitalne ponude. U ožujku 2018. Under Armour (UA) je objavio izjavu da je MyFitnessPal ugrožen, uz izložena korisnička imena, adrese e-pošte i šifrirane lozinke za 150 milijuna korisnika aplikacije.
Tvrtka je djelovala brzo. U roku od četiri dana nakon saznanja o kršenju, MyFitnessPal je poslao ažuriranje e-pošte svim korisnicima i sastavio web stranicu s FAQ-om. Preporučili su da svi korisnici odmah promijene lozinku i da to nastave, pomalo nejasno, “poboljšati [njihove] sustave kako bi otkrili i spriječili neovlašteni pristup korisničkim informacijama.”
Na površini, čini se kao da je Under Armor od strane svojih korisnika ispravno postupio. Međutim, dok su se neke lozinke raspršile pomoću bcrypt-procesa za pretvorbu vaše lozinke u nečitljiv niz znakova. Svaka sigurna web-lokacija to učini sa svojom lozinkom, Svaka sigurna web-lokacija čini li to vašom lozinkom Jeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od podataka povreda? -svi drugi nisu imali toliko sreće. Iako nisu otkrili brojeve, dio značajne korisničke baze MFP-a zaštićen je samo SHA-1, što se u širokoj javnosti smatra najslabijim oblikom raspršivanja.
Iako se curenje dogodilo početkom godine, od rujna 2018. nije bilo daljnjih ažuriranja o uzroku kršenja niti o tome kako se UA nada da će spriječiti buduće napade. Tvrtka također nije detaljno objasnila hoće li nastaviti koristiti SHA-1 hashing.
2. British Airways
Korisnici na koje to utječe: Nepoznata
Izloženi podaci: Osobni i financijski podaci kupca
Kako se ljeto bližilo kraju rujna, najveća britanska aviokompanija British Airways (BA) rekla je da pod hitno istražuju krađu podataka o kupcima. Na njihovoj internetskoj stranici za informacije o incidentima kompanija je navela da je krađa utjecala “kupci koji su izvršili rezervacije ili promijenili rezervacije […] između 22:58 BST, 21. kolovoza 2018. do 21:45, BST, 5. rujna 2018..” Ukradeni podaci uključuju imena, adresu e-pošte, adresu za naplatu i podatke o bankovnoj kartici.
Ako ste bili među nesretnim žrtvama napada, BA je obećao da vam neće biti iz džepa kao izravni rezultat krađe. Ipak, vrijedno je napomenuti da nisu rekli ono što smatraju “izravni rezultat.” U danima nakon objavljivanja, Registar je izvijestio da je za napad možda kriva vanjska skripta plaćanja. Sigurnosna tvrtka RiskIQ rekla je da je napad vjerojatno povukla grupa poznata kao Magecart, koja je odgovorna za vrlo sličan napad na Ticketmaster ranije 2018. godine.
Nešto više od godinu dana prije napada, BA je također bio u središtu velikog gubitka napajanja računala. Neuspjeh je doveo do toga da se informatički sustavi tvrtke zaustavljaju, uzemljuju svi avioni i utječu na tisuće putnika. Iako je napravio svjetske naslove, BA je malo rekla o uzroku neviđenih kvarova.
3. TypeForm
Korisnici na koje to utječe: Nepoznata
Izloženi podaci: Anketni podaci, uključujući podatke koji se mogu osobno identificirati
Ako ste ispunili internetsku anketu u posljednjih nekoliko godina, vjerojatno ste koristili web lokaciju za prikupljanje podataka Typeform. Njihove su ankete popularne kod tvrtki jer su jednostavne za postavljanje i prilagođene korisnicima. Kupci Typeforma su tvrtke, a ne krajnji korisnici. Pa kada je tvrtka otkrila kršenje u lipnju 2018., upozorili su svoje kupce.
Na stranicama za odgovor na nezgode Typeforma nedostaje detalja i usredotočuje se na to kako bi tvrtke trebale obavijestiti kupce o objavljivanju. Sve što znamo o kršenju vrste Typeform jest da je bio rezultat neovlaštenog pristupa djelomičnoj sigurnosnoj kopiji od 3. svibnja 2018. Iako nije jasno koliko su se ti podaci protezali. Kako je Typeform izabran da ne daje detaljnu podjelu, ukupan broj pogođenih također nije jasan.
Međutim, popis organizacija koje su zatekle zbog kršenja zakona prilično je opsežan. Britanski trgovci Fortnum & Mason i John Lewis bili su među oboljelima, zajedno s australijskim lancem pekara Bakers Delight. Ostale poznate žrtve uključuju Airtasker, Rencore, PostShift, Revolut, Studentski savez sveučilišta Middlesex, Monzo, Tasmanijsku izbornu komisiju, Travelodge i britanske liberalne demokrate.
4. egzaktis
Korisnici na koje to utječe: 340 milijuna
Izloženi podaci: Sve zamislivo, minus broj socijalnog osiguranja i kreditnih kartica
U našem modernom gospodarstvu trgujemo našim podacima zauzvrat za besplatne proizvode i internetske usluge. Međutim, raste pokret protiv ove vrste prikupljanja podataka. Oni tu odvažnu praksu nazivaju nadzornim kapitalizmom. Ova osećanja postala su još popularnija nakon hakiranja Equifax 2017. godine Equihax: Jedna od najatraktivnijih kršenja svih vremena Equihaxa: Jedna od najatraktivnijih kršenja svih vremena Ekvifaks je kršenje sigurnosti najopasnije i sramotno cijelo vrijeme. Ali znate li sve činjenice? Jeste li bili pogođeni? Što možete učiniti u vezi s tim? Saznajte ovdje. i Facebookov skandal Cambridge Analytica Facebook se obraća kameru Cambridge Analytica Facebook obraća se skandalu Cambridge Analytica Facebook je utjelovljen u ono što je postalo poznato kao skandal Cambridge Analytica. Nakon što je nekoliko dana šutio, Mark Zuckerberg sada se bavio postavljenim pitanjima. , Vjerojatno ste bili iznenađeni što je Equifax skupljao detaljne podatke o vama iza leđa. Nažalost, nećete biti previše šokirani kada saznate da nisu jedini.
U lipnju je istraživač sigurnosti Vinny Troia upotrijebio računalni pretraživač Shodan za otkrivanje baze podataka koja sadrži 340 milijuna zapisa. Marketinška tvrtka Exactis ovu je bazu podataka neosigurala na javno dostupnom poslužitelju. Dok je 145,5 milijuna zapisa haka Equifax dobilo široku pokrivenost, baza podataka Exactis pomračila je to sa 340 milijuna zapisa. Međutim, za razliku od agregiranih podataka Equifaxa, bazu podataka Exactis pronašao je sigurnosni istraživač. Trenutno nema dokaza da je njemu pristupilo zlonamjerno.
Exatis je posrednik podataka, koji trguje našim osobnim podacima - tako je došlo do posjeda gotovo 214 milijuna pojedinaca i 110 milijuna podataka tvrtke. Prema WIRED-u uključuju se i zapisi “više od 400 varijabli na širokom rasponu specifičnih karakteristika: da li osoba puši, svoju religiju, ima li pse ili mačke, a različiti su interesi poput ronjenja i odjeće plus size.”
Ipak, ovdje je srebrna obloga. Unatoč fenomenalnoj količini podataka, za razliku od Equifaxa, nisu posjedovali financijske podatke. Međutim, ako se pokaže da je zlonamjerena strana pristupila bazi podataka, postoji mnogo mogućnosti za socijalni inženjering Kako se zaštititi od ovih 8 napada socijalnog inženjeringa kako se zaštititi od ovih 8 napada socijalnog inženjeringa Koje će tehnike socijalnog inženjeringa haker koristiti i kako biste se zaštitili od njih? Pogledajmo neke od najčešćih metoda napada. .
5. Timehop
Korisnici na koje to utječe: 21 milijun
Izloženi podaci: Imena, adrese e-pošte, datum rođenja, spol, kodovi zemalja i telefonski brojevi
Naša kolektivna nostalgija već godinama prolazi postala je veliki posao. Nijedna tvrtka više od Timehopa nije uspjela iskoristiti tu ljubav prošlosti. Aplikacija Timehop povezuje se s vašim društvenim mrežama i ponovno otkriva stare postove kako bi vas podsjetila na ono što ste radili danas u prošlosti. U srpnju 2018. godine Timehop je objavio da je prekinuo upad u mrežu na Dan neovisnosti.
Unatoč zaustavljanju napada za nešto više od dva sata, uljez je uspio uzeti puno podataka. Nažalost, to je uključivalo imena, adrese e-pošte, datume rođenja, spol, a u nekim slučajevima i telefonske brojeve 21 milijuna korisnika aplikacije. Međutim, bili su u mogućnosti spriječiti napadača da dobije pristup društvenim medijima i privatnim porukama.
Napadač je uspio doći do pohranjenih OAuth2 ključeva koji omogućavaju pristup društvenim mrežama povezanim s korisnicima. Prije otkrivanja kršenja, Timehop je radio na društvenim mrežama kako bi deaktivirao ove ključeve, prisiljavajući korisnike da ponovno potvrde povezane račune.
Za razliku od mnogih njihovih suvremenika, njihova je web stranica o incidentima bila jasno predstavljena. Napad je objašnjen i tehničkim i izravnim crtama. Oni su čak pružili lako probavljivu tablicu kombinacija pristupa podacima i koliko je ljudi pogođeno. Naravno, ovo će doći kao mala utjeha za 21 milijuna žrtava nostalgične aplikacije.
Zaštitite se od sljedeće povrede podataka
Usluge za koje smo nekada mislili da su sigurne, brzo se otkopavaju zahvaljujući dijelom njihovim lošim sigurnosnim praksama. Možda se čak počnete pitati je li negdje na internetu sigurno. Pogotovo s obzirom na to koliko je puta prikupljanje podataka otkrilo vaše osobne podatke. Ako ste zabrinuti da nešto nije u redu, provjerite jesu li vaši internetski računi hakirani.
Odgovornost da vas zaštitimo pada na noge pogođenih tvrtki. Međutim, postoje načini kako poboljšati svoju cyber higijenu Poboljšajte svoju cyber higijenu u 5 jednostavnih koraka Poboljšajte svoju cyber higijenu u 5 jednostavnih koraka U digitalnom svijetu "cyber higijena" je važna koliko i stvarna osobna higijena. Potrebne su redovne provjere sustava, zajedno s novim, sigurnijim mrežnim navikama. Ali kako možete izvršiti te promjene? koji će ojačati vašu obranu. Lozinke su jedna od naših najvećih glavobolja, ali postoje i dobre vijesti. Možda nećete morati previše čekati prije nego što počnemo vidjeti uzbudljive alternative zaporke. Nema više propuštanja? 3 uzbudljive alternative za lozinku koje dolaze uskoro Nema više propuštanja? 3 Uzbudljive alternative za lozinku koje dolaze uskoro Sigurnost lozinke može se osjećati kao neprestana bitka. Srećom, postoje neki koji rade na sigurnosnim metodama koje mogu zamijeniti lozinke. udari u glavni tok.