El año 2018 está llegando a su fin, lo que significa que es hora de hacer un balance y enumerar las filtraciones de datos más importantes.
Esta revisión incluye solo casos realmente grandes de filtraciones de información en todo el mundo. Sin embargo, incluso a pesar del alto umbral de corte, hay tantas fugas que la revisión tuvo que dividirse en dos partes, por medio año.
Veamos qué y cómo se filtró este año de enero a junio. Inmediatamente haré una reserva de que el mes del incidente no se indica en el momento de su ocurrencia, sino en el momento de la divulgación (anuncio público).
Entonces vamos ...
Enero
Partido conservador progresivo de Canadá
El Sistema de Gestión de Información Constituyente (CIMS) del Partido Conservador Progresivo de Canadá (Rama de Ontario) fue pirateado.
La base de datos robada contenía los nombres, números de teléfono y otra información personal de más de 1 millón de votantes, Ontario, así como los simpatizantes, patrocinadores y voluntarios del partido.
Rosobrnadzor
Fugas de información sobre diplomas y otros datos personales relacionados que los acompañan desde el sitio web del Servicio Federal de Supervisión en Educación y Ciencia.
Un total de aproximadamente 14 millones de registros con datos sobre ex alumnos. Tamaño base 5 GB.
Filtrado: serie y número de diploma, año de inscripción, año de graduación, SNILS, TIN, serie y número de pasaporte, fecha de nacimiento, nacionalidad, organización educativa que emitió el documento.
Autoridad regional de salud de Noruega
Los atacantes piratearon el sistema de la Administración Regional de Salud del Sur y Este de Noruega (Helse Sør-Øst RHF) y obtuvieron acceso a datos personales y registros médicos de aproximadamente 2.9 millones de noruegos (más de la mitad de todos los residentes del país).
Los datos médicos robados contenían información sobre empleados del gobierno, servicio secreto, militares, políticos y otras figuras públicas.
Febrero
- Swisscom
El operador móvil suizo Swisscom admitió que los datos personales de aproximadamente 800 mil de sus clientes se vieron comprometidos.
Los nombres, direcciones, números de teléfono y fechas de nacimiento de los clientes se vieron afectados.
Marzo
Debajo de la armadura
MyFitnessPal, la popular aplicación de fitness y nutrición de Under Armour, ha provocado una fuga masiva de datos. Según la compañía, cerca de 150 millones de usuarios están afectados.
Los atacantes se dieron cuenta de los nombres de usuario, las direcciones de correo electrónico y las contraseñas hash.
Orbitz
Expedia Inc. (propiedad de Orbitz) dijo que descubrió una fuga de datos en uno de sus sitios antiguos que afectaba a miles de clientes.
Según las estimaciones, la fuga afectó a unas 880 mil tarjetas bancarias.
Un atacante obtuvo acceso a datos sobre compras realizadas entre enero de 2016 y diciembre de 2017. La información robada incluye fechas de nacimiento, direcciones, nombres completos e información de la tarjeta de pago.
MBM Company Inc
En el dominio público, se descubrió que el almacenamiento público de Amazon S3 (AWS) contenía una copia de seguridad de la base de datos MS SQL con información personal de 1.3 millones de personas que viven en los Estados Unidos y Canadá.
La base de datos era propiedad de MBM Company Inc, una empresa de joyería con sede en Chicago que opera bajo la marca Limoges Jewelry.
La base de datos contenía nombres, direcciones, códigos postales, números de teléfono, direcciones de correo electrónico, direcciones IP y contraseñas de texto. Además, había listas de correo internas de MBM Company Inc, información encriptada de la tarjeta de crédito, datos de pago, códigos de promoción y pedidos de artículos básicos.
Abril
Delta Air Lines, Best Buy y Sears Holding Corp.
Ataque dirigido de malware especial en la aplicación de chat en línea de la empresa [24] 7.ai (una empresa con sede en California en San José está desarrollando aplicaciones para el servicio al cliente en línea).
Los detalles completos de las tarjetas bancarias filtradas: números de tarjeta, códigos CVV, fechas de vencimiento, nombres y direcciones de los propietarios.
Solo se conoce una cantidad aproximada de datos filtrados. Para Sears Holding Corp. esto es un poco menos de 100 mil tarjetas bancarias, para Delta Air Lines son cientos de miles de tarjetas (más precisamente, la aerolínea no informa). Se desconoce el número de tarjetas comprometidas para Best Buy. Todas las tarjetas se filtraron del 26 de septiembre al 12 de octubre de 2017.
Le tomó a la compañía [24] 7.ai más de 5 meses desde el momento de detectar un ataque en su servicio para notificar a los clientes (Delta, Best Buy y Sears) del incidente.
Pan de panera
El archivo con datos personales de más de 37 millones de clientes simplemente se encuentra en forma abierta en el sitio web de una red de cafeterías y panaderías populares.
Los datos filtrados contenían nombres de clientes, direcciones de correo electrónico, fechas de nacimiento, direcciones postales y los últimos cuatro dígitos de números de tarjetas de crédito.
Saks, Lord y Taylor
Se robaron más de 5 millones de tarjetas bancarias de Saks Fifth Avenue (incluida Saks Fifth Avenue OFF 5TH) y Lord & Taylor de cadenas minoristas.
Los hackers utilizaron software especial en cajas registradoras y terminales PoS para robar datos de tarjetas.
Careem
Los piratas informáticos robaron los datos personales de aproximadamente 14 millones de personas en el Medio Oriente, África del Norte, Pakistán y Turquía durante un ataque cibernético en los servidores de Careem (el mayor competidor de Uber en el Medio Oriente).
La compañía encontró una violación en un sistema informático que almacena credenciales de clientes y conductores de 13 países.
Se robaron nombres, direcciones de correo electrónico, números de teléfono y datos de viaje.
Mayo
- Sudáfrica
Se descubrió una base de datos de código abierto de aproximadamente 1 millón de sudafricanos en un servidor web de propiedad pública propiedad de una empresa que procesa pagos electrónicos por multas viales.
La base de datos contenía nombres, números de identificación, direcciones de correo electrónico y contraseñas en forma de texto.
Junio
Exactis
La empresa de marketing Exactis de Florida, EE. UU., Mantuvo abiertos alrededor de 2 terabytes de la base de datos Elasticsearch que contiene más de 340 millones de registros.
Cerca de 230 millones de datos personales de individuos (adultos) y cerca de 110 millones de contactos de varias organizaciones se encontraron en la base de datos.
Vale la pena señalar que en total unos 249.5 millones de adultos viven en los Estados Unidos, es decir, podemos decir que la base de datos contiene información sobre cada adulto estadounidense.
Abeja de Sacramento
Hackers desconocidos robaron dos bases de datos pertenecientes al periódico The Sacramento Bee, con sede en California.
En la primera base de datos había 19.4 millones de registros con datos personales de votantes del estado de California.
En la segunda base había 53 mil registros con información sobre los suscriptores del periódico.
Ticketfly
El servicio de venta de entradas Ticketfly de Eventbrite informó un ataque de piratas informáticos en su base de datos.
La base de clientes del servicio fue robada por el pirata informático IsHaKdZ, que exigió $ 7502 en bitcoins para su no distribución.
La base de datos contenía los nombres, direcciones postales, números de teléfono y direcciones de correo electrónico de los clientes de Ticketfly e incluso algunos empleados de servicio, en total más de 27 millones de registros.
Myheritage
Se filtraron 92 millones de cuentas (inicios de sesión, hashes de contraseñas) del servicio de genealogía israelí MyHeritage. El servicio almacena la información de ADN de los usuarios y construye sus árboles genealógicos.
Dixons carphone
Dixons Carphone, una cadena de productos electrónicos con tiendas minoristas en el Reino Unido y Chipre, dijo que el acceso no autorizado a la infraestructura de TI de la compañía provocó la fuga de 1,2 millones de datos personales de clientes, incluidos nombres, direcciones y direcciones de correo electrónico.
Además, se filtraron 105 mil tarjetas bancarias sin un chip integrado.
Continuará ...
Las noticias periódicas sobre casos individuales de fugas de datos se publican rápidamente en el canal Fugas de información .