Самые значительные утечки данных в 2018 году.

В данный обзор попали только действительно крупные случаи утечек информации по всему миру. Однако, даже несмотря на высокий порог отсечения, случаев утечек так много, что статья вышла большой. Давайте посмотрим, что и как утекало в этом году. Сразу оговорюсь, что месяц инцидента указан не по времени его происшествия, а по времени раскрытия (публичного анонса).

Итак, поехали…

Январь

Прогрессивно-консервативная партия Канады
Была взломана система управления информацией (Constituent Information Management System — CIMS) Прогрессивно-консервативной партии Канады (отделение в Онтарио).
Похищенная база данных содержала имена, номера телефонов и другую персональную информацию более 1 млн. избирателей, Онтарио, а также сторонников, спонсоров и волонтеров партии.

Рособрнадзор
Утечка информации о дипломах и сопутствующих им прочих персональных данных с вебсайта Федеральной службы по надзору в сфере образования и науки.
Всего около 14 млн. записей с данными о бывших студентах. Размер базы 5 Гб.
Утекли: cерия и номер диплома, год поступления, год окончания, СНИЛС, ИНН, серия и номер паспорта, дата рождения, национальность, учебная организация, выдавшая документ.

Региональное управление здравоохранения Норвегии
Злоумышленники взломали систему Регионального управления здравоохранения Южной и Восточной Норвегии (Helse Sør-Øst RHF) и получили доступ к персональным данным и медицинским записям около 2.9 млн. норвежцев (более половины всех жителей страны).
Похищенные медицинские данные содержали информацию о сотрудниках правительства, секретной службы, военных, политиках и других общественных лицах.

Февраль

Swisscom
Швейцарский оператор сотовой связи Swisscom признал, что скомпрометированными оказались персональные данные около 800 тыс. его клиентов.
Пострадали имена, адреса, номера телефонов и даты рождения клиентов.

Март

Under Armour
Популярное приложение для фитнеса и учета питания MyFitnessPal, принадлежащее Under Armor, стало причиной серьезнейшей утечки данных. По заявлению компании, затронуто около 150 млн. пользователей.
Злоумышленникам стали известны имена пользователей, адреса электронной почты и хешированные пароли.

Orbitz
Expedia Inc. (владеет Orbitz) сообщила, что обнаружила на одном из своих старых сайтов утечку данных, затрагивающую тысячи клиентов.
По оценкам, утечка затронула около 880 тыс. банковских карт.
Злоумышленник получил доступ к данным о покупках, сделанных в период с января 2016 года по декабрь 2017 года. Похищенная информация включает даты рождения, адреса, полные имена и данные о платежных картах.

MBM Company Inc
В открытом доступе было обнаружено общедоступное хранилище Amazon S3 (AWS), содержащее резервную копию базы данных MS SQL с персональной информацией 1.3 млн. человек, проживающих в США и Канаде.
База данных принадлежала MBM Company Inc — ювелирной компании, базирующейся в Чикаго и работающей под торговой маркой Limoges Jewelry.
База содержала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, IP-адреса и текстовые пароли. Кроме того, там находились внутренние списки рассылки MBM Company Inc, зашифрованные данные кредитных карт, данные оплаты, промо-коды и заказы на товарные позиции.

Апрель

Delta Air Lines, Best Buy и Sears Holding Corp.
Целевая атака специального вредоносного ПО на приложение для онлайн-чата компании [24]7.ai (калифорнийская компания из Сан-Хосе, разрабатывает приложения для онлайн обслуживания клиентов).
Утекли полные данные банковских карт – номера карт, CVV-коды, даты истечения, имена и адреса владельцев.
Известно только примерное количество утекших данных. Для Sears Holding Corp. это чуть менее 100 тыс. банковских карт, для Delta Air Lines это сотни тысяч карт (точнее авиакомпания не сообщает). Количество скомпрометированных карт для Best Buy – неизвестно. Все карты утекли в период с 26 сентября по 12 октября 2017 года.
Компании [24]7.ai потребовалось более 5 месяцев с момента обнаружения атаки на свой сервис, чтобы уведомить клиентов (Delta, Best Buy и Sears) об инциденте.

Panera Bread
Файл с персональными данными более чем 37 млн. клиентов просто лежал в открытом виде на сайте сети популярных кафе-пекарен.
Утекшие данные содержали имена клиентов, адреса электронной почты, даты рождения, почтовые адреса и последние четыре цифры номеров кредитных карт.

Saks, Lord & Taylor
Из торговых сетей Saks Fifth Avenue (включая сеть Saks Fifth Avenue OFF 5TH) и Lord & Taylor похитили более 5 млн. банковских карт.
Хакеры использовали специальное программное обеспечение в кассовых аппаратах и PoS-терминалах, чтобы красть данные карт.

Careem
Персональные данные примерно 14 млн. человек на Ближнем Востоке, в Северной Африке, Пакистане и Турции были украдены хакерами в ходе кибер-атаки на серверы Careem (крупнейший конкурент Uber на Ближнем Востоке).
Компания обнаружила нарушение в компьютерной системе, в которой хранятся учетные данные клиентов и водителей из 13 стран.
Были украдены имена, адреса электронной почты, номера телефонов, а также данные поездок.

Май

ЮАР
В открытом доступе на общедоступном веб-сервере, принадлежащем компании, которая обрабатывает электронные платежи за дорожные штрафы, была обнаружена база данных, со��ержащая персональные данные примерно 1 млн. южноафриканцев.
В базе содержались имена, идентификационные номера, адреса электронной почты и пароли в текстовом виде.

Июнь

Exactis
Маркетинговая компания Exactis из Флориды, США, держала в открытом доступе базу данных Elasticsearch размером около 2 терабайт, содержащую более 340 млн. записей.
В базе было обнаружено около 230 млн. персональных данных физических лиц (совершеннолетних) и около 110 млн. контактов различных организаций.
Стоит отметить, что всего в США проживает около 249.5 млн совершеннолетних – то есть можно говорить о том, что база данных содержит информацию о каждом взрослом американце.

Sacramento Bee
Неизвестные хакеры похитили две базы данных, принадлежащих калифорнийской газете «The Sacramento Bee».
В первой базе находилось 19.4 млн. записей с персональными данными избирателей штата Калифорния.
Во второй базе было 53 тыс. записей с информацией о подписчиках газеты.

Ticketfly
Сервис по продаже концертных билетов Ticketfly, принадлежащий компании Eventbrite, сообщил о хакерской атаке на свою базу данных.
Клиентская база сервиса была похищена хакером IsHaKdZ, который требовал за ее нераспространение $7502 в биткоинах.
База данных содержала имена, почтовые адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса, всего более 27 млн. записей.

MyHeritage
Утекли 92 млн. аккаунтов (логины, хеши паролей) израильского генеалогического сервиса MyHeritage. Сервис хранит ДНК информацию пользователей и строит их генеалогические деревья.

Dixons Carphone
Сеть электроники Dixons Carphone, имеющая розничные магазины в Великобритании и на Кипре, сообщила, что в результате неавторизованного доступа в ИТ-инфраструктуру компании произошла утечка 1.2 млн. персональных данных покупателей, включая имена, адреса и адреса электронной почты.
Кроме того, утечке подверглись номера 105 тыс. банковских карт без встроенного чипа.

Посмотрим как протекало второе полугодие…

Июль

Fashion Nexus
Утекли персональных данных 1.3 млн. покупателей британских онлайн магазинов модной одежды (таких брендов, как Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch и Traffic People), обслуживаемых компанией Fashion Nexus и ее дочерней структурой White Room Solutions.
Пострадали имена, даты рождения, телефонные номера, адреса электронной почты, MD5 и SHA-1 хеши паролей.

Macy’s
Американская торговая сеть Macy’s предупредила клиентов, имеющих аккаунты на сайте ритейлера, о том, что неизвестные получили доступ к этим аккаунтам.
После входа в аккаунт злоумышленники получили такие данные клиента, как полное имя, адрес, номер телефона, адрес электронной почты, дату рождения, номер платежной карты и дату ее истечения.

Level One Robotics and Controls
Неверная настройка программы rsync, предназначенной для удаленного резервного копирования и синхронизации файлов, привела к утечке 157 гигабайт конфиденциальной информации таких автопроизводителей, как Тойота, Тесла, GM, Форд, VW и многих других.
Данные оставила в открытом доступе канадская компания-производитель роботов Level One Robotics and Controls.
Утекли схемы сборочных конвейеров, планы и компоновка цехов, конфигурация роботов, формы запроса доступа для персонала, договора о неразглашении, персональные данные и документы (водительские удостоверения, паспорта) некоторых сотрудников Level One Robotics and Controls, инвойсы, контракты и банковская информация.

SingHealth
В Сингапуре хакеры взломали базу данных пациентов, посещавших сеть клиник SingHealth в период с 1 мая 2015 по 4 июля 2018.
Похищены имена, адреса, пол, раса, дата рождения более 1.5 млн. человек.
Кроме того, украдены данные по лекарственным рецептам 160 тыс. человек.
Telefonica
Злоумышленники воспользовались уязвимостью компьютерной сети крупнейшего испанского оператора Telefonica и сумели получить все персональные данные миллионов клиентов компании. Telefonica является одной из 10 крупнейших в мире телекоммуникационных компаний.
Утекшие данные включают имена, контактную информацию, контактные номера, данные платежей, и все, что содержит стандартный счет за услуги связи.
Данные клиентов Telefonica легко загружались в виде незашифрованной электронной таблицы (CSV).

Timehop
Сервис Timehop, который собирает «воспоминания» из соцсетей, выявил утечку данных 21 млн. пользователей.
Утекли имена пользователей, адреса электронной почты и токены авторизации в социальных сетях.
Небольшое количество записей включало имя, номер телефона и адрес электронной почты, а несколько большее число — имя и номер телефона, еще большее число — имя и адрес электронной почты.
Эта утечка стала возможной следствие компрометации учетной записи администратора для доступа к облачной вычислительной среде.

Август

Huazhu Hotels Group
Утечка данных из китайских отелей затронула около 130 млн. человек.
13 отелей, принадлежащих управляющей компании Huazhu Hotels Group, пострадали от утечки персональных данных клиентов.

ABBYY
В свободном доступе оказался 192 гигабайтный файл базы данных MongoDB, принадлежащий одному из клиентов компании ABBYY и содержащий более 200 тыс. отсканированных документов,.
В базе содержались договора, соглашения о неразглашении конфиденциальной информации, письма, внутренняя документация и другие документы, распознанные с применением OCR ABBYY.

Data Trust
Данные 14.8 млн. избирателей штата Техас оказались в открытом доступе. Всего в Техасе зарегистрировано 19.3 млн. избирателей. Файл базы данных размером около 16 Гб просто оставили на открытом сервере.
База данных изначально собиралась аналитической компанией Data Trust, обслуживающей Республиканскую партию.

T-Mobile
Утекли персональные данные (имена, адреса электронной почты, почтовые адреса и т.п.) из 2 млн. счетов американского сотового оператора T-Mobile.
К утечке данных привела ошибка в коде взаимодействия между онлайн магазином Apple и сервером T-Mobile, отвечающим за проверку пользовательских счетов. Функция проверки допускала неограниченное количество проверок, введенных пользователем данных, что позволило злоумышленникам осуществить перебор ПИН-кодов и последних 4-х цифр номера социального страхования.

Сентябрь

Facebook
Фейсбук официально подтвердил утечку данных 50 млн. аккаунтов, при этом потенциально было затронуто до 90 млн. аккаунтов.
Хакеры смогли получить доступ к профилям владельцев этих аккаунтов благодаря цепочке из как минимум трех уязвимостей в коде Фейсбука.
Помимо самого Фейсбука пострадали и те сервисы, которые использовали аккаунты этой социальной сети для аутентификации (Single Sign-On).

Alibaba Group
Более 10 млн. записей, содержащих имена пользователей, телефоны и номера почтовых отправлений были украдены из компании Cainiao Network, входящей в холдинг Alibaba Group.
Было обнаружено, что злоумышленники установили вредоносное ПО, похищающее персональные данные, в сканеры штрих кодов. Затем похищенные данные перепродавались на черном рынке.

Veeam Software
В открытом доступе в облаке Amazon была обнаружена база данных MongoDB, принадлежащая компании Veeam.
В базе размером 200 Гб содержалось 445 млн. записей, содержащих имена, адреса электронной почты и в некоторых случаях IP-адреса. Данные были собраны за период с 2013 по 2017 год.

Октябрь

Google
Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к таким данным 500 тыс. пользователей как: логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т.п.
Google утверждают, что никто из тех 438 разработчиков, кто имел доступ к API, не знал об этой ошибке и не мог ей воспользоваться.

Сбербанк
В интернете в открытом доступе оказался архив с файлами Сбербанка, содержащими служебные документы об интеграции процессов разработки и эксплуатации программного обеспечения, в частности, данные о проверках работоспособности систем банка.
Кроме того, в открытый доступ попал CSV-файл с выгрузкой Active Directory, содержащий имена и адреса электронной почты примерно 420 тыс. сотрудников Сбербанка.
Сам Сбербанк не считает данный инцидент утечкой. Однако, банк уведомил Еврокомиссию об инциденте, так как среди скомпрометированной информации были данные граждан ЕС.

Ноябрь

Quora
Социальный сервис обмена знаниями Quora сообщил об утечке данных из 100 млн. пользовательских учетных записей.
Было обнаружено внешнее проникновение в систему сервиса, в результате которого пострадали: имена, адреса электронной почты, хешированные пароли, данные из подключенных сетей (Facebook, Google); публичный контент, включая вопросы, ответы, комментарии, положительные голоса; непубличный контент, включая запросы на ответы, переписка между пользователями, отрицательные голоса.

Marriott
Компания Marriott International заявила, что хакеры получили доступ к базе данных подразделения Marriott — Starwood Hotels, содержащей персональные данные клиентов начиная с 2014 года и по сегодняшний день.
Всего утекли данные 500 млн. гостей, пользовавшихся услугами Starwood Hotels, при этом 327 млн. утекших записей содержат номера паспортов, адреса электронной почты, почтовые адреса, а в некоторых случаях и даже реквизиты банковских карт.

American Express India
Платежная система American Express допустила утечку персональных данных 2.3 млн. индийских клиентов через оставленную в свободном доступе базу данных MongoDB.
В базе содержались идентификаторы Aadhaar (уникальный идентификатор гражданина Индии), имена, адреса электронной почты, адреса, имена родственников, номера счетов.

Декабрь

Nixi Technology
Китайская компания Nixi Technology, производящая мобильное приложение Boomoji для создания анимированных 3D-аватаров, оставила в открытом доступе две базы данных Elasticsearch с персональными данными 5.3 млн. пользователей iOS и Android версий Boomoji по всему миру.
Помимо данных (имя пользователя, возраст, пол, страна, модель телефона и даже название учебного заведения) непосредственно самих пользователей приложения, в базах данных лежало 125 млн. контактов их адресных книг (копия с телефонов), а также история геопозиционирования для 375 тыс. пользователей.

МИД Франции
5 декабря неизвестные получили доступ к базе данных с контактами (имена, адреса электронной почты и телефоны) на случай чрезвычайных происшествий, всех (540 тыс.) зарегистрированных в системе Ariane граждан.
Ariane это онлайн сервис, созданный в 2010 году, который позволяет гражданам Франции, отправляющимся в «небезопасные» страны, оповестить об этом МИД страны.

Data & Leads
Очередная утечка персональных данных избирателей США. В открытой базе данных Elasticsearch находилось почти 60 млн. записей, содержащих имена, фамилии, адреса электронной почты, домашние адреса, телефонные номера и IP-адреса. Общий объем данных превышал 73 Гб.
Владельцем базы данных скорее всего является канадская компания Data & Leads, занимающаяся сбором и обработкой данных.

Sky Brasil
Имена, адреса, пароли, телефоны и прочие персональные данные 32 млн. клиентов бразильского оператора платного телевидения и мобильного интернета Sky Brasil были обнаружены в свободно доступной базе данных Elasticsearch.
Freeze Pro Shop
Шотландский онлайн магазин горнолыжного снаряжения Freeze Pro Shop допустил утечку 4 млн. записей с персональными данными (имена, адреса электронной почты, почтовые адреса, телефонные номера и детали заказов) своих клиентов, оставив в открытом доступе базу данных Elasticsearch.

Google
Еще одна уязвимость в Google+, которая привела к утечке данных 52,5 млн. пользователей.
Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т.п.), даже если эти данные были приватными. Кроме того, через профиль одного пользователя можно было получать данные других пользователей.