Početna Blog 10 incidenata ugrozilo je više od 100 milijuna korisničkih podataka

10 incidenata ugrozilo je više od 100 milijuna korisničkih podataka

Svi članci
25.03.2021.

 

Ne tako davno, data breach bio bi uvijek velika velika vijest koju nisu čitali svi već samo stručnjaci.

Danas je data breach vijest koju čitaju svi kao što većina onih koji su pogođeni incidentom pokušavaju ostvariti svoja prava i naći zaštitu.

Najmanji incident na popisu koji danas obrađujemo obuhvaćao je podatke samo 134 milijuna ljudi.

Primijetit ćete razliku između incidenata kod kojih su podaci ukradeni zbog zlonamjernih radnji hakera  i onih kada je organizacija nehotice ostavila podatke nezaštićenima i izloženima kasnijoj nezakonitoj obradi podataka. Twitter je, na primjer, lozinke svojih 330 milijuna korisnika ostavio nezaštićenima, ali nije bilo dokaza o zlouporabi.

No, idemo redom, danas ćemo obrađivati incidente vezane uz:

  • Adobe 
  • Adult Friend Finder
  • Canva
  • eBay
  • Equifax
  • Dubsmash
  • Heartland Payment Systems 
  • LinkedIn
  • Marriott International
  • My Fitness Pal

 

ADOBE

Učinak: 153 milijuna zahvaćenih korisničkih podataka

Pojedinosti:  Adobe je izvorno izvijestio da su hakeri ukrali gotovo 3 milijuna šifriranih zapisa kreditnih kartica korisnika, plus podatke za prijavu za neodređeni broj korisničkih računa.

Već nakon početka istrage Adobe je povećao procjenu te shvatio da je breach uključivao ID-ove i šifrirane lozinke za 38 milijuna "aktivnih korisnika".

Tjedni istraživanja pokazali su da su otkrivena imena kupaca, osobne iskaznice, lozinke te podaci o debitnim i kreditnim karticama.

Samo jedna od posljedica dana breach-a je bila da je Adobe morao platiti 1,1 milijun američkih dolara i neotkriveni iznos korisnicima za podmirivanje zahtjeva za kršenje važećih propisa (2016. godine iznos za kupce prijavljen je na milijun dolara).

Adult Friend Finder

Učinak: 412,2 milijuna zahvaćenih  računa

Pojedinosti: Ovo kršenje bilo je posebno osjetljivo za vlasnike računa zbog usluga koje web lokacija nudi. Mreža Friend Finder, koja je uključivala web stranice za slučajnu vezu i web stranice sa sadržajem za odrasle poput Adult Friend Finder, Penthouse.com, Cams.com, iCams.com i Stripshow.com, doživjela je data brach sredinom listopada 2016. Otuđeni podaci obuhvaćaju 20 godina čuvanih, šest različitih, baza podataka plus imena, adrese e-pošte i lozinke.

Slabi algoritam raspršivanja SHA-1 zaštitio je većinu tih lozinki. Procjenjuje se 99% provalilo do trenutka kada je LeakedSource.com objavio svoju analizu podataka 14. studenog 2016.

Canva

Učinak:  137 milijuna zahvaćenih korisničkih računa

Detalji:  U svibnju 2019. Canva  je pretrpjela napad koji je razotkrio adrese e-pošte, korisnička imena, imena, gradove prebivališta te lozinke  (za korisnike koji ne koriste društvene mreže kako bi se prijavili - oko 61 milijun lozinki) od 137 milijuna korisnika. Canva kaže da su hakeri uspjeli pregledati, ali ne i ukrasti i datoteke s djelomičnim podacima o kreditnoj kartici i plaćanju.

Tvrtka je potvrdila incident i naknadno obavijestila korisnike, ponukala ih da promijene lozinke i resetiraju OAuth tokene. Međutim, prema kasnijoj objavi tvrtke Canva , popis od približno 4 milijuna računa Canva koji sadrži ukradene korisničke lozinke kasnije je dešifriran i podijeljen na mreži, što je dovelo do toga da je tvrtka poništila nepromijenjene lozinke i obavijestila korisnike s nešifriranim lozinkama na popisu.

eBay

Učinak: 145 milijuna zahvaćenih korisnika

Pojedinosti: eBay je izvijestio da je dana breach razotkrio čitav njegov popis računa od 145 milijuna korisnika u svibnju 2014., uključujući imena, adrese, datume rođenja i šifrirane lozinke.  eBay je potvrdio da su hakeri imali potpun pristup podacima 229 dana - više nego dovoljno vremena za kompromitiranje cijele korisničke baze podataka.

Tvrtka je tražila od kupaca da promijene lozinke. Financijski podaci, poput brojeva kreditnih kartica, pohranjeni su odvojeno i nisu bili ugroženi.  Ono što je posebno bilo u medijima je da je tada tvrtka kritizirana zbog nedostatka komunikacije sa svojim korisnicima i loše provedbe postupka obnove lozinke.

Equifax

Učinak: 147,9 milijuna zahvaćenih potrošača

Pojedinosti:  Equifax, jedan od najvećih kreditnih ureda u SAD-u, izjavio je 7. rujna 2017. da je ranjivost aplikacije na jednom od njihovih web mjesta dovela do kršenja podataka koji su otkrili oko 147,9 milijuna podataka njihovih potrošača. Kršenje je otkriveno 29. srpnja, ali tvrtka je sumnjala da je vjerojatno sve započelo sredinom svibnja. Kršenje je ugrozilo osobne podatke (uključujući brojeve socijalnog osiguranja, datume rođenja, adrese i, u nekim slučajevima, brojeve vozačkih dozvola) 143 milijuna potrošača. Taj je broj u listopadu 2017. povećan na 147,9 milijuna.

Equifax je kažnjen zbog brojnih propusta u sigurnosti, ali i zbog nepoštivanja propisanih procedura.. Equifax nije na vrijeme prijavio data breach što je uzeto kao ˝otegotna˝ okolnost.

Dubsmash

Učinak:  162 milijuna zahvaćenih korisničkih računa

Pojedinosti:  U prosincu 2018. usluga za razmjenu video poruka sa sjedištem u New Yorku imala je 162 milijuna adresa e-pošte, korisničkih imena, raspršenih lozinki PBKDF2 i drugih osobnih podataka kao što su ukradeni datumi rođenja, od kojih su svi ukradeni je zatim stavljen na prodaju na tamnom web tržištu Dream Market sljedećeg prosinca. Informacije su se prodavale kao dio prikupljenog smetlišta, uključujući i MyFitnessPal (više o tome u nastavku), MyHeritage (92 milijuna), ShareThis, Armor Games i aplikaciju za sastanke CoffeeMeetsBagel.

Dubsmash je priznao da je došlo do kršenja i prodaje informacija - i pružio savjete o promjeni lozinke - ali nije uspio reći kako su napadači ušli ili potvrdio koliko je korisnika pogođeno.

Heartland Payment Systems

Učinak:  Izloženo 134 milijuna korisnika kreditnih kartica

Pojedinosti: U trenutku kršenja, Heartland je obrađivao 100 milijuna transakcija platnih kartica mjesečno za 175 000 trgovaca - uglavnom malih i srednjih trgovaca. Kršenje je otkriveno u siječnju 2009. Sigurnosni analitičari upozoravali su prodavače na ranjivost nekoliko godina.

Tvrtka je platila oko 145 milijuna američkih dolara kao naknadu za lažne isplate. Kršenje Heartlanda bio je rijedak primjer kada su vlasti uhvatile hakera. Osuđen je u ožujku 2010. na 20 godina zatvora.

LinkedIn

Učinak:  165 milijuna zahvaćenih  korisničkih računa

Pojedinosti:  Kao glavna društvena mreža za poslovne profesionalce, LinkedIn je postao atraktivan za hakere.

U 2012. godini tvrtka je objavila da su napadači ukrali 6,5 milijuna nepovezanih lozinki i postavili ih na ruski hakerski forum. Međutim, tek 2016. godine otkriven je puni opseg incidenta. Utvrđeno je da isti haker nudio adrese e-pošte i lozinke oko 165 milijuna korisnika LinkedIna za samo 5 bitcoina (oko 2000 dolara u to vrijeme). LinkedIn je priznao da je upoznat s kršenjem i rekao da je resetirao lozinke pogođenih računa.

Marriott International

Učinak: 500 milijuna zahvaćenih kupaca

Pojedinosti: Marriott International objavio je u studenom 2018. da su napadači ukrali podatke o približno 500 milijuna korisnika njihovih usluga.

Vjerovalo se da su ukradeni brojevi kreditnih kartica i datumi isteka više od 100 milijuna kupaca, ali Marriott nije siguran jesu li hakeri uspjeli dešifrirati brojeve kreditnih kartica. Kršenje je na kraju pripisano kineskoj obavještajnoj grupi koja je nastojala prikupiti podatke o američkim građanima.

My Fitness Pal

Učinak:  150 milijuna zahvaćenih korisničkih računa

Pojedinosti: Fitness aplikacija MyFitnessPal bila je pod hakerskim napadom kojim je bilo zahvaćeno 617 milijuna korisničkih računa te su isti bili ponuđeni na prodaju.

U veljači 2018. ukradena su korisnička imena, adrese e-pošte, IP adrese i lozinke s raspršenim šifriranjem oko 150 milijuna kupaca, a zatim su stavljene na prodaju godinu dana kasnije u isto vrijeme kada i Dubsmash. MyFitnessPal je prepoznao kršenje i zahtijevao od kurisnika da promijene lozinke, ali nisu podijelili koliko je računa zahvaćeno niti kako su hakeri supjeli doći do podataka.

Na osnovi samo navedenih par incidenata možete vidjeti do kakvih posljedica mogu dovesti. Nismo obrađivali u ovom blogu iznose kazni i naknade štete koje su morali namiriti ispitanicima koji su bili zahvaćeni incidentima. No to ćemo napraviti u sljedećem blogu.

Kao voditelji obrade odgovorni ste za primjenu važećih propisa, pa i onog dijela GDPR-a koji se odnosi na procedure oko incidenta, no i na osiguravanje tehničkih i organizacijskih mjera. 

Stupanj provedbe možete provjeriti nakon popunjavanja upitnika koji smo za vas pripremili na poveznici: https://docs.google.com/forms/d/e/1FAIpQLSeirCSBBEKNCBXPLvtVI58wcXYWzsaXQ0u8WU45QVqzsGwQvA/viewform 

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.