في الجزء الأول من مراجعة التسرب لعام 2018 ، درست أهم تسريبات البيانات للنصف الأول من العام والآن حان الوقت للجزء الثاني.
كما ذكرنا سابقًا ، لم يتم تضمين سوى حالات تسرب المعلومات الرئيسية حول العالم في المراجعة ، ولم يتم الإشارة إلى شهر الحادث في وقت حدوثه ، ولكن بحلول وقت الكشف (إعلان عام).
لنرى كيف مر النصف الثاني من العام ...
يوليو
نيكزس الأزياء
تسربت البيانات الشخصية 1.3 مليون مشتر من متاجر الأزياء البريطانية على الإنترنت (علامات تجارية مثل Jaded London و AX Paris و Elle Belle Attire و Perfect Handbags و Dirty Little Style Bitch و Traffic People) ، مقدمة من Fashion Fashion Nexus وفرعتها White Room Solutions .
تأثرت الأسماء وتواريخ الميلاد وأرقام الهواتف وعناوين البريد الإلكتروني وعناوين كلمة المرور MD5 و SHA-1.
ميسي
حذرت Macy's ، تاجر التجزئة الأمريكي ، العملاء الذين لديهم حسابات على موقع متاجر التجزئة من أن الأشخاص غير المعروفين يمكنهم الوصول إلى هذه الحسابات.
بعد دخول الحساب ، تلقى المهاجمون بيانات العميل مثل الاسم الكامل والعنوان ورقم الهاتف وعنوان البريد الإلكتروني وتاريخ الميلاد ورقم بطاقة الدفع وتاريخ انتهاء الصلاحية.
المستوى الأول الروبوتات والضوابط
أدت التكوين غير الصحيح لبرنامج rsync ، المصمم للنسخ الاحتياطي عن بُعد ومزامنة الملفات ، إلى تسرب 157 غيغابايت من المعلومات السرية من شركات صناعة السيارات مثل Toyota و Tesla و GM و Ford و VW وغيرها الكثير.
تم ترك البيانات متاحة للجمهور من قبل شركة تصنيع الروبوتات الكندية Level One Robotics and Controls.
مخططات تدفق خطوط التجميع ، خطط وتخطيط ورش العمل ، تكوين الروبوتات ، استمارات طلب وصول الموظفين ، اتفاقيات عدم الكشف ، البيانات والوثائق الشخصية (رخص القيادة ، جوازات السفر) لبعض موظفي المستوى الأول من الروبوتات والتحكم ، الفواتير ، العقود والمعلومات المصرفية.
سينغ هيلث
في سنغافورة ، اخترق المتسللون إلى قاعدة بيانات للمرضى الذين يزورون شبكة عيادة SingHealth من 1 مايو 2015 إلى 4 يوليو 2018.
الأسماء المسروقة ، العناوين ، الجنس ، العرق ، تاريخ ميلاد أكثر من 1.5 مليون شخص.
بالإضافة إلى ذلك ، سرقت 160 ألف بيانات وصفة الدواء.
Telefonica
استفاد المهاجمون من ضعف شبكة الكمبيوتر لأكبر شركة تشغيل Telefonica الإسبانية وتمكنوا من الحصول على جميع البيانات الشخصية لملايين العملاء. Telefonica هي واحدة من أكبر 10 شركات اتصالات في العالم.
تتضمن البيانات المسربة الأسماء ومعلومات الاتصال وأرقام الاتصال وبيانات الدفع وكل ما يحتوي على فاتورة قياسية لخدمات الاتصالات.
تم تنزيل بيانات عميل Telefonica بسهولة كجدول بيانات غير مشفر (CSV).
Timehop
كشفت خدمة Timehop ، التي تجمع "ذكريات" من الشبكات الاجتماعية ، عن تسرب للبيانات بلغ 21 مليون مستخدم.
أسماء المستخدمين المتسربة وعناوين البريد الإلكتروني وعلامات التفويض على الشبكات الاجتماعية.
تضمن عدد قليل من الإدخالات الاسم ورقم الهاتف وعنوان البريد الإلكتروني ، وعدد أكبر قليلاً يتضمن الاسم ورقم الهاتف ، بالإضافة إلى عدد أكبر يتضمن الاسم وعنوان البريد الإلكتروني.
أصبح هذا التسريب ممكنًا عن طريق تسوية حساب المسؤول للوصول إلى بيئة الحوسبة السحابية.
أغسطس
مجموعة فنادق هواتشو
أثر تسرب البيانات من الفنادق الصينية على حوالي 130 مليون شخص.
تأثر 13 فندقًا مملوكة لشركة الإدارة Huazhu Hotels Group بتسرب البيانات الشخصية للعملاء.
آبي
192 ملف قاعدة بيانات MongoDB غيغابايت التي تنتمي إلى أحد عملاء ABBYY والتي تحتوي على أكثر من 200 ألف وثيقة ممسوحة ضوئيًا كانت متاحة مجانًا.
تحتوي قاعدة البيانات على عقود واتفاقيات بشأن عدم الكشف عن المعلومات السرية والرسائل والمستندات الداخلية والمستندات الأخرى المعترف بها باستخدام OCR ABBYY.
الثقة البيانات
كانت بيانات من 14.8 مليون ناخب تكساس متاحة للجمهور. في المجموع ، تم تسجيل 19.3 مليون ناخب في ولاية تكساس. تم ترك ملف قاعدة بيانات بسعة 16 جيجابايت ببساطة على خادم مفتوح.
تم تجميع قاعدة البيانات في الأصل بواسطة Data Trust ، وهي شركة تحليلية تخدم الحزب الجمهوري.
تي موبايل
تسربت البيانات الشخصية (أسماء وعناوين بريد إلكتروني وعناوين بريدية وما إلى ذلك) من مليوني حساب في شركة الهاتف المحمول الأمريكية تي موبايل.
حدث تسرب للبيانات بسبب خطأ في رمز التفاعل بين متجر Apple عبر الإنترنت وخادم T-Mobile المسؤول عن التحقق من حسابات المستخدمين. سمحت وظيفة التحقق بعدد غير محدود من الفحوصات التي أدخلها مستخدم البيانات ، والتي سمحت للمهاجمين بتعداد رموز PIN والأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي.
سبتمبر
فيسبوك
أكد Facebook رسميًا تسرب بيانات 50 مليون حساب ، بينما قد يتأثر ما يصل إلى 90 مليون حساب.
تمكن المتسللون من الوصول إلى الملفات الشخصية لأصحاب هذه الحسابات بفضل سلسلة من ثغرات على الأقل في كود Facebook.
بالإضافة إلى Facebook نفسه ، عانت أيضًا تلك الخدمات التي استخدمت حسابات هذه الشبكة الاجتماعية للمصادقة (الدخول الموحد).
مجموعة علي بابا
سُرقت أكثر من 10 ملايين سجل تحتوي على أسماء مستخدمين وأرقام هواتف وأرقام بريدية من شركة Cainiao Network ، وهي عضو في مجموعة Alibaba Group القابضة.
اكتشف أن المهاجمين قاموا بتثبيت برامج ضارة تسرق البيانات الشخصية إلى ماسحات الباركود. ثم تم إعادة بيع البيانات المسروقة في السوق السوداء.
Veeam البرمجيات
في الوصول المفتوح في سحابة الأمازون ، تم اكتشاف قاعدة بيانات MongoDB التي تنتمي إلى Veeam.
تحتوي قاعدة البيانات 200 جيجابايت على 445 مليون سجل تحتوي على أسماء وعناوين بريد إلكتروني وعناوين IP في بعض الحالات. تم جمع البيانات للفترة من 2013 إلى 2017.
اكتوبر
جوجل
سمح خطأ في واجهة برمجة تطبيقات الشبكة الاجتماعية في + Google للمطورين بالوصول إلى بيانات 500 ألف مستخدم مثل: تسجيلات الدخول ، عناوين البريد الإلكتروني ، أماكن العمل ، تواريخ الميلاد ، صور الملف الشخصي ، إلخ.
تدعي Google أن أيا من مطوري 438 الذين لديهم إمكانية الوصول إلى واجهة برمجة التطبيقات لم يعلموا بهذا الخطأ ولم يتمكنوا من استخدامه.
سبيربنك
تبين أن الأرشيف المفتوح على الإنترنت هو ملف يحتوي على ملفات سبيربنك تحتوي على مستندات رسمية حول تكامل تطوير البرمجيات وعمليات التشغيل ، ولا سيما البيانات المتعلقة بالتحقق من صحة النظم المصرفية.
بالإضافة إلى ذلك ، أصبح ملف CSV مع تحميل Active Directory ، والذي يحتوي على أسماء وعناوين البريد الإلكتروني لحوالي 420 ألف موظف في سبيربنك ، متاحًا للعامة.
سبيربنك نفسه لا يعتبر هذا الحادث تسربًا. ومع ذلك ، أخطر البنك المفوضية الأوروبية بالحادث ، حيث كان من بين المعلومات المشوهة بيانات مواطني الاتحاد الأوروبي.
نوفمبر
الكورة
أبلغت خدمة تبادل المعرفة الاجتماعية من Quora عن تسرب البيانات من 100 مليون حساب مستخدم.
تم اكتشاف تغلغل خارجي في نظام الخدمة ، ونتيجة لذلك عانى: الأسماء وعناوين البريد الإلكتروني وكلمات المرور المجزأة والبيانات من الشبكات المتصلة (Facebook و Google) ؛ المحتوى العام ، بما في ذلك الأسئلة والإجابات والتعليقات والأصوات الإيجابية ؛ محتوى غير عام ، بما في ذلك طلبات الإجابات والمراسلات بين المستخدمين والأصوات السلبية.
ماريوت
قالت ماريوت إنترناشيونال إن المتسللين تمكنوا من الوصول إلى قاعدة بيانات قسم ماريوت - فنادق ستاروود ، والتي تحتوي على بيانات شخصية للعملاء من عام 2014 إلى اليوم.
في المجموع ، تسربت البيانات إلى 500 مليون ضيف يستخدمون خدمات فنادق ستاروود ، مع 327 مليون مُسرب يحتوي على أرقام جواز السفر وعناوين البريد الإلكتروني والعناوين البريدية وحتى في بعض الحالات تفاصيل البطاقة المصرفية.
أمريكا صريحة الهند
تسرب نظام الدفع أمريكان إكسبريس البيانات الشخصية من 2.3 مليون عميل هندي من خلال قاعدة بيانات MongoDB ، والتي كانت متاحة بحرية.
تحتوي قاعدة البيانات على معرفات Aadhaar (المعرف الفريد لمواطن من الهند) والأسماء وعناوين البريد الإلكتروني والعناوين وأسماء الأقارب وأرقام الحسابات.
ديسمبر
تقنية Nixi
تركت شركة Nixi Technology الصينية ، التي تنتج تطبيق Boomoji للأجهزة المحمولة لإنشاء تجسيدات ثلاثية الأبعاد للرسوم المتحركة ، قاعدتي بيانات من Elasticsearch مفتوحة مع بيانات شخصية لـ 5.3 مليون مستخدم لنظامي iOS و Android من Boomoji حول العالم.
بالإضافة إلى البيانات (اسم المستخدم والعمر والجنس والبلد وطراز الهاتف وحتى اسم المؤسسة التعليمية) مباشرة لمستخدمي التطبيق ، فقد احتوت قواعد البيانات على 125 مليون جهة اتصال من دفاتر عناوينهم (نسخة من الهواتف) ، بالإضافة إلى سجل الموقع لـ 375 ألف. المستخدمين.
وزارة الخارجية الفرنسية
في 5 ديسمبر ، حصل أشخاص مجهولون على قاعدة بيانات تحتوي على جهات اتصال (أسماء وعناوين بريد إلكتروني وأرقام هواتف) في حالة الطوارئ ، وجميع المواطنين (540 ألف) مسجلين في نظام أريان.
Ariane هي خدمة عبر الإنترنت تم إنشاؤها في عام 2010 ، والتي تسمح للمواطنين الفرنسيين المسافرين إلى بلدان "غير آمنة" بإخطار وزارة الخارجية في هذا البلد.
البيانات ويؤدي
تسرب آخر للبيانات الشخصية للناخبين الأمريكيين. تحتوي قاعدة البيانات Elasticsearch المفتوحة على ما يقرب من 60 مليون سجل يحتوي على الأسماء الأولى والأسماء الأخيرة وعناوين البريد الإلكتروني وعناوين المنازل وأرقام الهواتف وعناوين IP. تجاوز إجمالي كمية البيانات 73 غيغابايت.
من المرجح أن يكون صاحب قاعدة البيانات هو الشركة الكندية Data & Leads ، التي تقوم بجمع البيانات ومعالجتها.
السماء البرازيل
تم العثور على أسماء وعناوين وكلمات مرور وهواتف وبيانات شخصية أخرى لـ 32 مليون عميل في قناة براي براي التلفزيونية ومشغل الإنترنت عبر الهاتف المحمول سكاي برازيل في قاعدة بيانات Elasticsearch التي يمكن الوصول إليها بحرية.
تجميد متجر للمحترفين
تسرب متجر Freeze Pro Shop الأسكتلندي لمعدات التزلج على الإنترنت من 4 ملايين سجل ببيانات شخصية (أسماء وعناوين بريد إلكتروني وعناوين بريدية وأرقام هواتف وتفاصيل أوامر) لعملائه ، تاركًا قاعدة بيانات Elasticsearch متاحة للجمهور.
جوجل
ثغرة أخرى في Google+ والتي تسربت البيانات إلى 52.5 مليون مستخدم.
تسمح مشكلة عدم الحصانة للتطبيقات بتلقي معلومات من ملفات تعريف المستخدمين (الاسم ، عنوان البريد الإلكتروني ، الجنس ، تاريخ الميلاد ، العمر ، إلخ) ، حتى لو كانت هذه البيانات خاصة. بالإضافة إلى ذلك ، من خلال ملف تعريف مستخدم واحد كان من الممكن تلقي البيانات من المستخدمين الآخرين.
يتم نشر الأخبار المنتظمة حول حالات تسرب البيانات الفردية على قناة معلومات التسريبات .