8 istoriniai duomenų pažeidimai, sukrėtę pasaulį

Nors kiekviena organizacija stengiasi ištaisyti visas galimas savo programinės įrangos spragas, įsilaužėliai nenustos naudoti pažeidžiamumų, kad atskleistų naujus. Kadangi pastaruoju metu gausėja pranešimų apie duomenų pažeidimus, atrodo, kad grėsmė netrukus nesibaigs.

Tai yra vieni iš labiausiai šokiruojančių duomenų pažeidimų istorijoje, kurie yra nepamirštami, įskaitant su vyriausybe susijusius.

1. JAV federalinės vyriausybės serijinių duomenų pažeidimas (2020 m.)

2020 metų gruodį JAV vyriausybė aptiko šokiruojantį didelį duomenų pažeidimą, kuris, kaip manoma, turėjo įtakos kelioms organizacijoms.

Netrukus po atradimo paaiškėjo, kad iki 200 žinomų organizacijų, net nepriklausančių JAV jurisdikcijai, įskaitant NATO ir Europos Parlamentą, buvo perforuota tiekimo grandinės ataka, kuri veikia slepiant kenkėjišką kodą programinė įranga.

Svarstydami šio precedento neturinčio duomenų įsilaužimo priežastį ir šaltinį, netrukus atsitiko, kad užpuolikai turėjo omenyje susitarimą ir daugiau nei aštuonis mėnesius koordinavo nepastebėtą ataką, vadinamą pažangiąja nuolatine grėsme (APT).

Užpuolikai pasinaudojo „Microsoft“ debesų infrastruktūros, „VMware“ programinės įrangos spragomis ir „SolarWind Corps“ išleistu vyriausybės ir karinės stebėsenos programinės įrangos atnaujinimu. Šaltiniai teigė, kad pažeidimas buvo šalies remiama tikslinė ataka, kurios tikslas buvo nutekinti jautrią informaciją, priklausančią įvairiems JAV parastatalams, įskaitant kariuomenę.

Iki šiol tai vis dar yra viena iš rimčiausiai koordinuotų kibernetinių atakų prieš JAV ir kai kurias didžiausias tarptautines korporacijas pasaulyje.

2. „MyFitnessPal“ (2018 m.)

Įsilaužėliai nieko nesustabdys, kad ant kelių pakeltų populiarias programas. 2018 metais užpuolikai gavo neteisėtą prieigą prie „MyFitnessPal“ duomenų bazės ir proceso metu gavo milijonus vartotojų informacijos.

„Under Amour“ duomenimis, precedento neturintis pažeidimas paveikė maždaug 150 mln. Atsargumo sumetimais bendrovės saugumo ekspertai pranešė vartotojams apie pažeidimą ir paprašė pakeisti savo slaptažodžius.

Nors bendrovė akimirksniu iš naujo nustatė visų paveiktų vartotojų slaptažodžius, deja, nutekėjo ir vartotojų el. Taigi jie patiria galimų sukčiavimo atakų ir tapatybės vagysčių.

Šio duomenų pažeidimo pasekmės vėliau darys labiau nerimą keliančias po metų, kai gauta informacija, įskaitant el. Laiškus, vartotojo vardus ir užšifruotus slaptažodžius, pasirodė tamsiame internete. Ir šį kartą jie buvo parduodami už numatomą 20 000 USD kainą.

3. Švedijos transporto agentūros duomenų pažeidimas (2017 m.)

Nors dauguma duomenų pažeidimų yra susiję su sąmoningu įsilaužimu į aukos programinę įrangą, Švedijos transporto agentūros duomenų pažeidimo atveju taip nebuvo. Dėl neatsargaus duomenų tvarkymo šalies transporto agentūra 2017 metais smarkiai nukentėjo nuo duomenų nutekėjimo, kai IT infrastruktūrą ir duomenų bazių valdymą perdavė IBM.

Sunkumas būtų minimalus, jei būtų apsiribota tūkstančiais informacijos apie vairuotojo pažymėjimą. Tačiau vyriausybė teigė, kad ne tik nutekėjo informacija apie nacionalinius kelius ir tiltus, bet ir buvo atskleista slaptųjų agentų, dirbančių su žvalgybos padaliniu ir kariuomene, tapatybė.

Tačiau dėl šio įvykio buvo atleista tuometinė agentūros generalinė direktorė Maria Ågren. Galiausiai tai aprašė saugumo reikalai kaip blogiausias žinomas vyriausybės duomenų nutekėjimas, kuris kada nors paveikė Švedijos vyriausybę.

4. Yahoo! (2013 ir 2014 m.)

2016 m. „Yahoo!“ Pranešimas, kad įsilaužėliai gavo neteisėtą prieigą prie jos duomenų bazės ir 2014 m. Pavogė daugiau nei 500 milijonų jos platformos vartotojų asmeninę informaciją, sukrėtė.

Vėliau tais pačiais metais interneto erdvė gavo bombą, kai bendrovė atskleidė, kad 2013 m. Buvo padarytas atskiras jos duomenų bazės pažeidimas, paveikęs daugiau nei milijardą vartotojų.

Buvo akivaizdu, kad „Yahoo!“ Saugumo siena buvo smarkiai pažeista, kai bendrovė vėliau 2017 m. Patvirtino, kad 2013 m. Duomenų pažeidimas paveikė visus tris milijardus vartotojų.

Abiem atvejais įsilaužėliai suklastojo ir naudojo kenkėjiškus naršyklės slapukus, kurie apgavo „Yahoo!“ apsaugos sistema, kad bet kuriuo metu gautumėte neteisėtą prieigą prie bet kurio vartotojo paskyros, nenaudodami Slaptažodis.

Taigi per šį reidą nutekėjo nešifruoti saugos klausimai, telefono numeriai ir el.

Todėl vėliau, 2017 m. Pradžioje, „Verizon“, anksčiau pasiūliusi pirkti „Yahoo! 4,8 milijardo JAV dolerių - platforma sumažinta iki 350 milijonų dolerių mažesnė nei sutarta kaina. Yahoo! buvo priverstas parduoti už šią naują kainą, o Mayeris pasitraukė iš generalinio direktoriaus pareigų.

5. „Facebook“ (2019 m.)

„Facebook“ sulaukė daug kritikos dėl nesaugumo, o kritikai ragino savo vartotojus ištrinti programą. Be to, platforma buvo įtraukta į daugybę duomenų pažeidimų.

2019 m. Socialinės žiniasklaidos platforma patyrė didelį saugumo pažeidimą, dėl kurio buvo atskleista daugiau nei 500 milijonų vartotojų asmeninės informacijos. Tais pačiais metais internete pasirodė dar viena duomenų bazė, kurioje yra 267 milijonų vartotojų asmeninė informacija. Spėliojama, kad duomenų bazė „Dark Web“ buvo laisvai prieinama beveik dvi savaites.

Šie pažeidimai įvyko tik praėjus metams po to, kai „Facebook“ patyrė atskirą duomenų pažeidimą, kuris paveikė maždaug 50 milijonų vartotojų.

Susijęs: Teisėtos priežastys neištrinti „Facebook“

Abiem atvejais pavogta informacija buvo „Facebook“ ID, vartotojo vardai ir telefono numeriai. Pasak „Facebook“, pažeidimai atsirado dėl saugumo spragos, kurią ji taisė tais metais.

6. Suaugusiųjų draugų ieškotojas (2016)

„AdultFriendFinder“, viena didžiausių pasaulyje pažinčių svetainių, netrukus po 2015 m. Įvykdyto saugumo pažeidimo, 2016 m. Šį kartą ekspertai tai apibūdino kaip blogiausią įsilaužimą į duomenų bazę 2016 m.

Per 2015 metų saugumo pažeidimą buvo pavogta daugiau nei 3,5 milijono vartotojų informacija ir paskelbta „Dark Web“ keliuose CSV failuose. Tačiau 2016 m. Saugumo pažeidimas paveikė daugiau nei 400 milijonų vartotojų, įskaitant ankstesnius vartotojus. Jie visi pavogė savo informaciją, įskaitant vartotojo vardus, slaptažodžius ir el.

„AdultFriendFinder“ pažeidžiamumas nustebino, nes nutekėjusiuose duomenyse rasti slaptažodžiai buvo arba paprastuose tekstuose, arba prastai užšifruoti. Vėliau tais pačiais metais baltos skrybėlės įsilaužėlis svetainėje atskleidė dar vieną vietos failų įtraukimo spragą.

7. „Sony PlayStation Massive Data Breach“ (2011 m.)

2011 m. „Sony PlayStation Network“ saga yra bene blogiausias duomenų pažeidimas žaidimų pramonės istorijoje. Įsilaužėliai gavo prieigą prie jos duomenų bazės, gavę įvairios informacijos, priklausančios 77 milijonams vartotojų.

Nors „Sony“ iš karto neatskleidė šio nelaimingo įvykio, ji akimirksniu išjungė savo tinklą, neleisdama žmonėms pasiekti internetinių žaidimų platformos. Gauti duomenys, be kita ko, buvo vardai, gimimo datos, vartotojo vardai ir slaptažodžiai.

Nebuvo aišku, kaip įsilaužėliai pasiekė įmonės serverį, tačiau buvo spėliojama, kad jie gavo prieigą sukčiaujant vienam iš „Sony“ sistemos administratorių. Dėl neišvengiamo tinklo uždarymo „Sony“ dėl pažeidimo vėliau praras iki 171 mln.

8. Nacionalinės archyvų ir įrašų administracijos (NARA) pažeidimas (2009 m.)

Jei mėgstate atsikratyti standžiųjų diskų, prieš tai jų nesuformatuodami, dramatiškas įvykis, dėl kurio buvo pažeisti Nacionalinio archyvo duomenys, privers jus sekti savo veiksmus.

2009 m. Agentūra nukentėjo nuo duomenų pažeidimo, kuris paveikė milijonus informacijos apie JAV kariuomenę ir Baltųjų rūmų darbuotojus.

Duomenų pažeidimas galėjo būti neskausmingas, jei jis būtų staigus ir neišvengiamas. Tačiau Nacionalinio archyvo informacijos nutekėjimas atsirado dėl sugedusio standžiojo disko, atsiųsto jų remonto partneriui.

Po trikčių šalinimo ir pamatęs, kad kietasis diskas sugedęs, remonto įmonė išsiuntė jį perdirbti, nesikreipdama į NARA. Jie manė, kad prieš siųsdami ją taisyti, diske esančios informacijos atsarginę kopiją sukūrė ir anksčiau suformatuodavo NARA.

Taigi tai buvo daugiau duomenų praradimas nei pažeidimas. Tai tapo dar labiau painu, kai NARA pateikė pranešimą apie dingusį standųjį diską, kuriame buvo keletas karinių pareigūnų veteranų informacijos. Klaidingai jie nebuvo suformatavę sugadinto disko ir prieš atsiųsdami jį taisyti, sukūrė atsarginę jo kopiją. Deja, jų duomenų saugojimo pareiga buvo ne remonto įmonėje.

Nors agentūra nebuvo tikra, ar duomenys buvo naudojami piktavališkai, suinteresuoti asmenys turėjo pradėti saugotis artėjančios tapatybės vagystės. Iš tikrųjų tai buvo viena baisiausių duomenų saugumo nesėkmių, atsiradusių dėl JAV viešosios agentūros neatsargumo.

Visada yra spraga

Nors daugelis programinės įrangos kūrimo sistemų atitinka interneto saugumo standartus, kad išlaikytų interneto saugumą, vis dar atsiranda naujų pažeidžiamumų.

Kaip matėte, interneto milžinai patyrė vieną ar kitą duomenų pažeidimą ir net vyriausybei priklausančios įstaigos turėjo savo dalį. Taigi, nė vienas technologinis produktas nėra apsaugotas nuo pažeidimų, jei jis yra prieinamas internetu.

8 labiausiai žinomos visų laikų kenkėjiškų programų atakos

Žinios yra pirmoji jūsų gynybos linija, todėl čia yra keletas blogiausių virusų, apie kuriuos turite žinoti, įskaitant Trojos arklius, kirminus ir išpirkos programas.

Skaityti toliau

Apie autorių