Im ersten Teil der Leckageüberprüfung 2018 habe ich die wichtigsten Datenlecks für das erste Halbjahr untersucht, und jetzt ist die Zeit für den zweiten Teil gekommen.
Wie bereits erwähnt, wurden nur größere Fälle von Informationslecks auf der ganzen Welt in die Überprüfung einbezogen, und der Monat des Vorfalls wird nicht durch den Zeitpunkt seines Auftretens, sondern durch den Zeitpunkt der Offenlegung (öffentliche Bekanntmachung) angegeben.
Mal sehen, wie die zweite Jahreshälfte vergangen ist ...
Juli
Mode-Nexus
Aus den persönlichen Daten gingen 1,3 Millionen Käufer britischer Online-Modegeschäfte (Marken wie Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch und Traffic People) hervor, die von Fashion Nexus und seiner Tochtergesellschaft White Room Solutions bedient wurden .
Betroffen waren Namen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, MD5- und SHA-1-Passwort-Hashes.
Macys
Macy's, der US-Einzelhändler, hat Kunden mit Konten auf der Website des Einzelhändlers gewarnt, dass unbekannte Personen Zugriff auf diese Konten haben.
Nach Eingabe des Kontos erhielten die Angreifer Kundendaten wie den vollständigen Namen, die Adresse, die Telefonnummer, die E-Mail-Adresse, das Geburtsdatum, die Zahlungskartennummer und das Ablaufdatum.
Level 1 Robotik und Steuerung
Eine falsche Konfiguration des rsync-Programms, das für die Remote-Sicherung und Dateisynchronisierung entwickelt wurde, führte zum Verlust von 157 Gigabyte vertraulicher Informationen von Autoherstellern wie Toyota, Tesla, GM, Ford, VW und vielen anderen.
Die Daten wurden vom kanadischen Roboterhersteller Level One Robotics and Controls öffentlich zugänglich gemacht.
Flussdiagramme von Montagelinien, Pläne und Layouts von Werkstätten, Konfiguration von Robotern, Antragsformulare für den Zugang des Personals, Geheimhaltungsvereinbarungen, personenbezogene Daten und Dokumente (Führerscheine, Pässe) einiger Mitarbeiter von Level One Robotics and Controls, Rechnungen, Verträge und Bankinformationen.
Singhealth
In Singapur haben sich Hacker vom 1. Mai 2015 bis 4. Juli 2018 in eine Datenbank von Patienten gehackt, die das Netzwerk der SingHealth-Klinik besucht haben.
Gestohlene Namen, Adressen, Geschlecht, Rasse, Geburtsdatum von mehr als 1,5 Millionen Menschen.
Darüber hinaus wurden 160.000 Verschreibungsdaten gestohlen.
Telefonica
Angreifer nutzten die Verwundbarkeit des Computernetzwerks des größten spanischen Betreibers Telefonica und konnten alle personenbezogenen Daten von Millionen von Kunden abrufen. Telefonica ist eines der 10 größten Telekommunikationsunternehmen der Welt.
Zu den durchgesickerten Daten gehören Namen, Kontaktinformationen, Kontaktnummern, Zahlungsdaten und alles, was eine Standardrechnung für Kommunikationsdienste enthält.
Telefonica-Kundendaten konnten problemlos als unverschlüsselte Tabelle (CSV) heruntergeladen werden.
Timehop
Der Timehop-Dienst, der „Erinnerungen“ aus sozialen Netzwerken sammelt, hat ein Datenleck von 21 Millionen Benutzern festgestellt.
Durchgesickerte Benutzernamen, E-Mail-Adressen und Autorisierungstoken in sozialen Netzwerken.
Eine kleine Anzahl von Einträgen enthielt den Namen, die Telefonnummer und die E-Mail-Adresse, und eine etwas größere Zahl enthielt den Namen und die Telefonnummer, und eine noch größere Anzahl enthielt den Namen und die E-Mail-Adresse.
Dieses Leck wurde durch die Gefährdung des Administratorkontos für den Zugriff auf die Cloud-Computing-Umgebung ermöglicht.
August
Huazhu Hotels Group
Ein Datenleck in chinesischen Hotels hat etwa 130 Millionen Menschen betroffen.
13 Hotels der Verwaltungsgesellschaft Huazhu Hotels Group waren vom Verlust personenbezogener Daten von Kunden betroffen.
Abbyy
Eine 192-Gigabyte-MongoDB-Datenbankdatei, die einem der Kunden von ABBYY gehört und mehr als 200.000 gescannte Dokumente enthält, war frei verfügbar.
Die Datenbank enthielt Verträge, Vereinbarungen zur Geheimhaltung vertraulicher Informationen, Briefe, interne Dokumente und andere Dokumente, die mit OCR ABBYY anerkannt wurden.
Datenvertrauen
Daten von 14,8 Millionen texanischen Wählern waren öffentlich verfügbar. Insgesamt sind in Texas 19,3 Millionen Wähler registriert. Eine Datenbankdatei von ungefähr 16 GB wurde einfach auf einem offenen Server belassen.
Die Datenbank wurde ursprünglich von Data Trust zusammengestellt, einem Analyseunternehmen, das der Republikanischen Partei dient.
T-Mobile
Aus 2 Millionen Konten des amerikanischen Mobilfunkbetreibers T-Mobile gingen personenbezogene Daten (Namen, E-Mail-Adressen, Postanschriften usw.) verloren.
Ein Datenleck wurde durch einen Fehler im Interaktionscode zwischen dem Apple Online Store und dem T-Mobile-Server verursacht, der für die Überprüfung der Benutzerkonten verantwortlich ist. Die Überprüfungsfunktion ermöglichte eine unbegrenzte Anzahl von vom Benutzer eingegebenen Schecks, wodurch Angreifer PIN-Codes und die letzten 4 Ziffern der Sozialversicherungsnummer aufzählen konnten.
September
Facebook
Facebook bestätigte offiziell den Datenverlust von 50 Millionen Konten, während bis zu 90 Millionen Konten möglicherweise betroffen waren.
Hacker konnten dank einer Kette von mindestens drei Schwachstellen im Facebook-Code auf die Profile der Eigentümer dieser Konten zugreifen.
Neben Facebook selbst litten auch die Dienste, die die Konten dieses sozialen Netzwerks zur Authentifizierung verwendeten (Single Sign-On).
Alibaba Gruppe
Mehr als 10 Millionen Datensätze mit Benutzernamen, Telefonnummern und Postnummern wurden von Cainiao Network, einem Mitglied der Alibaba Group, gestohlen.
Es wurde festgestellt, dass die Angreifer Malware installiert haben, die persönliche Daten in Barcode-Scannern stiehlt. Dann wurden die gestohlenen Daten auf dem Schwarzmarkt weiterverkauft.
Veeam Software
Beim Open Access in der Amazon Cloud wurde eine MongoDB-Datenbank von Veeam entdeckt.
Die 200-GB-Datenbank enthielt 445 Millionen Datensätze mit Namen, E-Mail-Adressen und in einigen Fällen IP-Adressen. Die Daten wurden für den Zeitraum von 2013 bis 2017 gesammelt.
Oktober
Google
Ein Fehler in der API des sozialen Netzwerks Google+ ermöglichte Entwicklern den Zugriff auf Daten von 500.000 Nutzern wie: Anmeldungen, E-Mail-Adressen, Arbeitsorte, Geburtsdaten, Profilfotos usw.
Google behauptet, dass keiner der 438 Entwickler, die Zugriff auf die API hatten, von diesem Fehler wusste und ihn nicht verwenden konnte.
Sberbank
Ein offenes Archiv im Internet stellte sich als Datei mit Sberbank-Dateien heraus, die offizielle Dokumente zur Integration von Softwareentwicklungs- und Betriebsprozessen enthielten, insbesondere Daten zu Gesundheitsprüfungen von Bankensystemen.
Darüber hinaus wurde eine CSV-Datei mit Active Directory-Upload mit den Namen und E-Mail-Adressen von ca. 420.000 Sberbank-Mitarbeitern öffentlich verfügbar.
Die Sberbank selbst betrachtet diesen Vorfall nicht als Leck. Die Bank teilte der Europäischen Kommission den Vorfall jedoch mit, da unter den kompromittierten Informationen die Daten der EU-Bürger waren.
November
Quora
Der Quora Social Knowledge Sharing Service meldete Datenlecks von 100 Millionen Benutzerkonten.
Es wurde ein externes Eindringen in das Dienstsystem entdeckt, unter dem es litt: Namen, E-Mail-Adressen, Hash-Passwörter, Daten aus verbundenen Netzwerken (Facebook, Google); öffentliche Inhalte, einschließlich Fragen, Antworten, Kommentare, positive Stimmen; Nicht öffentliche Inhalte, einschließlich Anfragen nach Antworten, Korrespondenz zwischen Benutzern, negative Stimmen.
Marriott
Laut Marriott International haben Hacker Zugriff auf die Datenbank der Marriott Division - Starwood Hotels - erhalten, die personenbezogene Daten von Kunden von 2014 bis heute enthält.
Insgesamt gingen die Daten an 500 Millionen Gäste über die Dienste von Starwood Hotels weiter. 327 Millionen Einträge enthielten Passnummern, E-Mail-Adressen, Postanschriften und in einigen Fällen sogar Bankkartendaten.
American Express Indien
Das Zahlungssystem von American Express hat die persönlichen Daten von 2,3 Millionen indischen Kunden über die frei verfügbare MongoDB-Datenbank weitergegeben.
Die Datenbank enthielt die Kennungen Aadhaar (eindeutige Kennung eines indischen Bürgers), Namen, E-Mail-Adressen, Adressen, Namen von Verwandten und Kontonummern.
Dezember
Nixi-Technologie
Das chinesische Unternehmen Nixi Technology, das die mobile Anwendung Boomoji zur Erstellung animierter 3D-Avatare herstellt, hat zwei Elasticsearch-Datenbanken mit persönlichen Daten für 5,3 Millionen Benutzer von iOS- und Android-Versionen von Boomoji auf der ganzen Welt geöffnet.
Zusätzlich zu den Daten (Benutzername, Alter, Geschlecht, Land, Telefonmodell und sogar Name der Bildungseinrichtung) direkt an die Benutzer der Anwendung enthielten die Datenbanken 125 Millionen Kontakte ihrer Adressbücher (Kopie von Telefonen) sowie die Geschichte des Standorts für 375.000. Benutzer.
Französisches Außenministerium
Am 5. Dezember erhielten unbekannte Personen Zugang zu einer Datenbank mit Kontakten (Namen, E-Mail-Adressen und Telefonnummern) für Notfälle aller (540.000) im Ariane-System registrierten Bürger.
Ariane ist ein 2010 eingerichteter Onlinedienst, mit dem französische Staatsbürger, die in „unsichere“ Länder reisen, das Außenministerium über dieses Land informieren können.
Daten & Leads
Ein weiteres Leck an personenbezogenen Daten von US-Wählern. Die offene Datenbank von Elasticsearch enthielt fast 60 Millionen Datensätze mit Vor- und Nachnamen, E-Mail-Adressen, Privatadressen, Telefonnummern und IP-Adressen. Die Gesamtdatenmenge überschritt 73 GB.
Eigentümer der Datenbank ist höchstwahrscheinlich das kanadische Unternehmen Data & Leads, das Daten sammelt und verarbeitet.
Himmel brasil
Die Namen, Adressen, Passwörter, Telefone und sonstigen personenbezogenen Daten von 32 Millionen Kunden des brasilianischen Pay-TV- und mobilen Internetbetreibers Sky Brasil wurden in der frei zugänglichen Elasticsearch-Datenbank gefunden.
Pro Shop einfrieren
Der schottische Online-Skiausrüstungsladen Freeze Pro Shop hat 4 Millionen Datensätze mit persönlichen Daten (Namen, E-Mail-Adressen, Postanschriften, Telefonnummern und Bestelldaten) seiner Kunden veröffentlicht und die Elasticsearch-Datenbank öffentlich zugänglich gemacht.
Google
Eine weitere Sicherheitslücke bei Google+, durch die Daten an 52,5 Millionen Nutzer weitergegeben wurden.
Die Sicherheitsanfälligkeit ermöglichte es Anwendungen, Informationen aus Benutzerprofilen (Name, E-Mail-Adresse, Geschlecht, Geburtsdatum, Alter usw.) zu erhalten, selbst wenn diese Daten privat waren. Darüber hinaus war es über das Profil eines Benutzers möglich, Daten von anderen Benutzern zu empfangen.
Regelmäßige Nachrichten über einzelne Fälle von Datenlecks werden schnell auf dem Kanal Informationslecks veröffentlicht .