5 Nylige databrudd som kan ha satt dataene dine i fare
Data brudd er en del av møblene i våre digitale liv. Knapt en dag går uten at et annet selskap lekker dataene dine. Og mens disse hendelsene blir mer vanlige, endret noe annet i 2018.
Gjennomføringen av EUs generelle databeskyttelsesforordning (GDPR) betyr at bedrifter nå forplikter seg til å avsløre eventuelle brudd innen 72 timer. Det kan være vanskelig å holde tritt med alle de nyeste hackene, så vi har avrundet noen av årets mest bemerkelsesverdige brudd.
1. Under Armor
Brukere berørt: 150 millioner
Data eksponert: Brukernavn, e-postadresser og hashed passord
For mange mennesker over hele verden er kostholds- og treningssporingsprogrammet MyFitnessPal (MFP) en daglig følgesvenn på deres treningsreise. Så det kom så liten overraskelse da sportsklærselskapet Under Armor kjøpte MFP som en del av sitt digitale tilbud. I mars 2018 utgav Under Armor (UA) en erklæring om at MyFitnessPal hadde blitt kompromittert, med brukernavn, e-postadresser og hashed-passord for appens 150 millioner brukere utsatt.
Selskapet handlet raskt. Innen fire dager etter å ha lest om bruddet, sendte MyFitnessPal en e-postoppdatering til alle brukere og satt sammen et FAQ-nettsted. De anbefalte at alle brukere umiddelbart endrede passordene sine og at de ville fortsette å, noe svakt, “gjøre forbedringer til [deres] systemer for å oppdage og forhindre uautorisert tilgang til brukerinformasjon.”
På overflaten ser det ut som om Under Armor gjorde riktig av brukerne. Men mens noen passord ble hashed ved hjelp av bcrypt-en prosess for å forvandle passordet til en ulestelig streng av tegn. Hver sikker nettside gjør dette med passordet ditt Hver sikker nettside gjør dette med passordet Har du noen gang lurt på hvordan nettsteder holder passordet ditt trygt fra data brudd? Les mer - folk var ikke så heldige. Selv om de ikke avslørte tallene, ble en del av MFPs store brukerbas bare beskyttet med SHA-1, allment betraktet som den svakeste formen for hashing.
Selv om lekkasjen skjedde tidlig på året, var det i september 2018 ingen videre oppdateringer om årsaken til bruddet, eller hvordan UA håper å forhindre fremtidige angrep. Selskapet har heller ikke detaljert om de vil fortsette å bruke SHA-1 hashing.
2. British Airways
Brukere berørt: Ukjent
Data eksponert: Kundens personlige og økonomiske data
Som sommeren gikk til slutt tidlig i september, sa Storbritannias største flyselskap, British Airways (BA), at de raskt undersøkte tyveri av kundeinformasjon. På deres hendelsesinformasjon nettsted, sa selskapet tyveriet berørt “kunder som har gjort bestillinger eller endringer i sine bestillinger [...] mellom 22:58 BST 21. august 2018 og 21:45 BST 5. september 2018.” De stjålne dataene inneholder navn, e-postadresse, faktureringsadresse og bankkortdetaljer.
Hvis du var blant de uheldige ofrene for angrepet, har BA lovet at du ikke vil være ute av lommen som et direkte resultat av tyveri. Det er imidlertid verdt å merke seg at de ikke har sagt hva de anser en “direkte resultat.” I dagene etter offentliggjøring rapporterte The Register at et eksternt betalingsskript kunne ha vært skyld i angrepet. Sikkerhetsfirmaet RiskIQ sa at angrepet sannsynligvis ble trukket av en gruppe kjent som Magecart, som var ansvarlig for et meget lignende angrep på Ticketmaster tidligere i 2018.
Bare over et år før angrepet var BA også i sentrum av en massiv datautstyrfeil. Feilen brakte selskapets IT-systemer til en skremmende stopp, jorde alle fly og påvirke tusenvis av passasjerer. Til tross for å ha overskrifter rundt om i verden, har BA sagt lite om årsaken til det hidtil usete utbrudd.
3. TypeForm
Brukere berørt: Ukjent
Data eksponert: Survey data inkludert personlig identifiserbar informasjon
Hvis du har fylt ut en nettbasert undersøkelse de siste årene, brukte du sannsynligvis datasamlingsstedet Typeform. Deres undersøkelser er populære blant bedrifter som de er enkle å sette opp og brukervennlige. Typeforms kunder er bedrifter, ikke sluttbrukere. Så da selskapet oppdaget et brudd i juni 2018, varslet de sine kunder.
Typeforms hendelsesresponssted mangler detaljer og fokuserer på hvordan bedrifter skal fortelle kundene om opplysningen. Alt vi vet om Typeforms brudd er at det var resultatet av uautorisert tilgang til en delvis backup datert 3. mai 2018. Selv om det ikke er klart hvor langt tilbake dataene strekker seg. Som Typeform valgt ikke å gi en detaljert sammenstilling, er det totale antallet som er berørt også uklart.
Men listen over organisasjoner som er opptatt i bruddet er ganske omfattende. Britiske forhandlere Fortnum & Mason og John Lewis var blant de berørte, sammen med den australske bakerikjeden Bakers Delight. Andre kjente ofre inkluderer Airtasker, Rencore, PostShift, Revolut, Middlesex University Student Union, Monzo, Tasmanske valgkommisjonen, Travelodge, og Storbritannias liberale demokrater.
4. Exactis
Brukere berørt: 340 millioner
Data eksponert: Alt tenkelig, minus sosial sikkerhet og kredittkortnummer
I vår moderne økonomi handler vi våre data til gjengjeld for gratis produkter og online-tjenester. Det er imidlertid en voksende bevegelse mot denne typen datainnsamling. De refererer disparagingly til praksis som Surveillance Capitalism. Denne følelsen har blitt enda mer populær i kjølvannet av 2017s Equifax-hack Equihax: En av de mest kalamitøse bruddene av all tid Equihax: En av de mest beroligende bruddene på all tid Equifax-brudd er den farligste og pinligste, sikkerhetsbrudd på hele tiden. Men vet du alle fakta? Har du blitt påvirket? Hva kan du gjøre med det? Finn ut her. Les mer og Facebooks Cambridge Analytica Scandal Facebook Adresser til Cambridge Analytica Scandal Facebook Adresser Cambridge Analytica Scandal Facebook har blitt involvert i det som har blitt kjent som Cambridge Analytica-skandalen. Etter å ha vært stille i noen dager, har Mark Zuckerberg nå tatt opp spørsmålene som er reist. Les mer . Du var sannsynligvis overrasket over at Equifax hadde samlet inn detaljert informasjon om deg bak ryggen din. Dessverre da vil du ikke være for sjokkert for å lære at de ikke var de eneste.
I juni brukte sikkerhetsforsker Vinny Troia datasøkemotoren Shodan til å avdekke en database med 340 millioner poster. Databasen ble etterlatt usikret på en offentlig tilgjengelig server av markedsføringsfirmaet Exactis. Mens 145,5 millioner poster av Equifax-hacken mottok omfattende dekning, forklarte Exactis-databasen den på 340 millioner poster. I motsetning til de aggregerte Equifax-dataene ble Exactis-databasen funnet av en sikkerhetsforsker. Det er for øyeblikket ikke noe bevis på at det ble åpnet skadelig.
Exatis er en datahandel, som handler i vår personlige informasjon, slik at de kom til å være i besittelse av nesten 214 millioner individer og 110 millioner virksomhetsdata. Ifølge WIRED inkluderte postene “mer enn 400 variabler på et stort utvalg av spesifikke egenskaper: om personen røyker, deres religion, om de har hunder eller katter, og interesser så variert som dykking og pluss-størrelse klær.”
Det er imidlertid en sølvfôr her. Til tross for den fenomenale mengden identifiserbare data, i motsetning til Equifax, holdt de ingen finansiell informasjon. Men hvis det viser seg at en ondsinnet parti har tilgang til databasen, er det mange muligheter for sosialteknikk. Slik beskytter du deg selv mot disse 8 samfunnsmessige tiltak angrep. Slik beskytter du deg selv mot disse 8 samfunnsmessige tekniske anfallene. Hvilke sosialteknikk teknikker ville hackere bruker og hvordan ville du beskytte deg mot dem? La oss ta en titt på noen av de vanligste angrepsmåtene. Les mer .
5. Timehop
Brukere berørt: 21 millioner
Data eksponert: Navn, e-postadresser, fødselsdato, kjønn, landskoder og telefonnumre
Vår kollektive nostalgi i flere år har blitt stor virksomhet. Ingen selskap har vært i stand til å kapitalisere på denne kjærligheten fra fortiden mer enn Timehop. Timehop-appen kobles til dine sosiale nettverk og gjenoppretter dine gamle innlegg for å minne deg om hva du gjorde på denne dagen i det siste. I juli 2018 annonserte Timehop at den hadde avbrutt et nettverksinnbrudd på uavhengighetsdagen.
Til tross for å stoppe angrepet på bare over to timer, var inntrengeren i stand til å ta mye data. Dessverre inkluderte dette navn, e-postadresser, fødselsdato, kjønn, og i noen tilfeller telefonnumre til appens 21 millioner brukere. De kunne imidlertid hindre at angriperen fikk tilgang til sosiale medier og private meldinger.
Angriperen klarte å komme til lagrede OAuth2-nøkler, som gir tilgang til brukerens tilkoblede sosiale nettverk. Før du avslørte bruddet, jobbet Timehop med de sosiale nettverkene for å deaktivere disse nøklene, og tvinger brukerne til å godkjenne tilkoblede kontoer på nytt.
I motsetning til mange av deres samtidige ble deres hendelsesnettsted klart presentert. Angrepet ble forklart både i tekniske og enkle forhold. De ga selv en lett fordøyelig tabell av kombinasjonene av tilgangsdata og hvor mange personer som var påvirket. Selvfølgelig vil dette komme så lite trøst til den nostalgiske appens 21 millioner ofre.
Beskytt deg selv fra neste datautbrudd
Tjenester som vi en gang tenkte på som sikre, blir raskt unraveled, takk delvis til deres dårlige sikkerhetspraksis. Du kan også begynne å lure på om hvor som helst på internett er trygt. Spesielt gitt hvor mange ganger datainhøsting har utsatt din personlige informasjon. Hvis du er bekymret for at noe er galt, bør du sjekke om dine elektroniske kontoer er blitt hacket.
Ansvaret for å beskytte deg faller under føttene til de berørte selskapene. Det er imidlertid måter å forbedre cyberhygienen. Forbedre Cyber Hygiene i 5 enkle trinn. Forbedre Cyber Hygiene i 5 enkle trinn. I den digitale verden er "cyberhygiene" like viktig som den virkelige personlige hygiene. Regelmessige systemkontroller er nødvendig, sammen med nye, sikrere nettvaner. Men hvordan kan du gjøre disse endringene? Les mer som vil styrke dine forsvar. Passord er en av våre største hodepine, men det er gode nyheter. Du må kanskje ikke vente for mye lenger før vi begynner å se spennende passordalternativer Ingen flere lekkasjer? 3 spennende passordalternativer som kommer snart Ingen flere lekkasjer? 3 spennende passordalternativer som kommer snart Snakkordssikkerhet kan føles som en uendelig kamp. Heldigvis er det noen som jobber med sikkerhetsmetoder som kan erstatte passord. Les mer slo på det vanlige.
Bildekreditt: stevanovicigor / DepositPhotos
Utforsk mer om: Sikkerhetsbrudd.