En la primera parte de la revisión de fugas de 2018, examiné las fugas de datos más importantes para la primera mitad del año y ahora es el momento de la segunda parte.
Como se mencionó anteriormente, solo se incluyeron en la revisión grandes casos de filtraciones de información en todo el mundo y el mes del incidente se indica no por el momento de su ocurrencia, sino por el momento de la divulgación (anuncio público).
Veamos cómo pasó la segunda mitad del año ...
Julio
Nexo de la moda
Los datos personales se filtraron a 1.3 millones de compradores de tiendas de moda en línea británicas (marcas como Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch y Traffic People), atendidas por Fashion Nexus y su subsidiaria White Room Solutions. .
Los nombres, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, hash de contraseñas MD5 y SHA-1 se vieron afectados.
Macy's
Macy's, el minorista de EE. UU., Advirtió a los clientes que tienen cuentas en el sitio del minorista que personas desconocidas tienen acceso a estas cuentas.
Después de ingresar a la cuenta, los atacantes recibieron datos del cliente como el nombre completo, dirección, número de teléfono, dirección de correo electrónico, fecha de nacimiento, número de tarjeta de pago y fecha de vencimiento.
Nivel uno robótica y controles
La configuración incorrecta del programa rsync, diseñado para la copia de seguridad remota y la sincronización de archivos, condujo a la filtración de 157 gigabytes de información confidencial de fabricantes de automóviles como Toyota, Tesla, GM, Ford, VW y muchos otros.
Los datos fueron dejados a disposición del público por la empresa canadiense de fabricación de robots Level One Robotics and Controls.
Diagramas de flujo de líneas de montaje, planos y diseño de talleres, configuración de robots, formularios de solicitud de acceso de personal, acuerdos de confidencialidad, datos personales y documentos (licencias de conducir, pasaportes) de algunos empleados de Level One Robotics and Controls, facturas, contratos e información bancaria.
Singhealth
En Singapur, los piratas informáticos piratearon una base de datos de pacientes que visitaron la red de clínicas SingHealth del 1 de mayo de 2015 al 4 de julio de 2018.
Nombres robados, direcciones, género, raza, fecha de nacimiento de más de 1.5 millones de personas.
Además, se robaron 160 mil datos de prescripción de medicamentos.
Telefonica
Los atacantes aprovecharon la vulnerabilidad de la red informática del mayor operador español Telefónica y lograron obtener todos los datos personales de millones de clientes. Telefónica es una de las 10 compañías de telecomunicaciones más grandes del mundo.
Los datos filtrados incluyen nombres, información de contacto, números de contacto, datos de pago y todo lo que contiene una factura estándar por servicios de comunicación.
Los datos del cliente de Telefónica se descargaron fácilmente como una hoja de cálculo sin cifrar (CSV).
Timehop
El servicio Timehop, que recopila "recuerdos" de las redes sociales, reveló una fuga de datos de 21 millones de usuarios.
Nombres de usuario, direcciones de correo electrónico y tokens de autorización filtrados en las redes sociales.
Un pequeño número de entradas incluía el nombre, el número de teléfono y la dirección de correo electrónico, y un número ligeramente mayor incluía el nombre y el número de teléfono, y un número aún mayor incluía el nombre y la dirección de correo electrónico.
Esta fuga fue posible al comprometer la cuenta del administrador para acceder al entorno de computación en la nube.
Agosto
Grupo de Hoteles Huazhu
Una fuga de datos de hoteles chinos ha afectado a unos 130 millones de personas.
13 hoteles propiedad de la empresa administradora Huazhu Hotels Group se vieron afectados por la filtración de datos personales de los clientes.
Abbyy
El archivo de base de datos de 192 gigabytes MongoDB perteneciente a uno de los clientes de ABBYY y que contenía más de 200 mil documentos escaneados estaba disponible gratuitamente.
La base de datos contenía contratos, acuerdos sobre la no divulgación de información confidencial, cartas, documentos internos y otros documentos reconocidos utilizando OCR ABBYY.
Confianza de datos
Los datos de 14.8 millones de votantes de Texas estaban disponibles públicamente. En total, 19.3 millones de votantes están registrados en Texas. Simplemente se dejó un archivo de base de datos de aproximadamente 16 GB en un servidor abierto.
La base de datos fue compilada originalmente por Data Trust, una compañía analítica que sirve al Partido Republicano.
T-mobile
Datos personales filtrados (nombres, direcciones de correo electrónico, direcciones postales, etc.) de 2 millones de cuentas del operador móvil estadounidense T-Mobile.
Una fuga de datos fue causada por un error en el código de interacción entre la tienda en línea de Apple y el servidor de T-Mobile responsable de verificar las cuentas de los usuarios. La función de verificación permitió un número ilimitado de verificaciones ingresadas por el usuario de datos, lo que permitió a los atacantes enumerar los códigos PIN y los últimos 4 dígitos del número de seguro social.
Septiembre
Facebook
Facebook confirmó oficialmente la filtración de datos de 50 millones de cuentas, mientras que hasta 90 millones de cuentas se vieron potencialmente afectadas.
Los piratas informáticos pudieron acceder a los perfiles de los propietarios de estas cuentas gracias a una cadena de al menos tres vulnerabilidades en el código de Facebook.
Además del propio Facebook, los servicios que usaban las cuentas de esta red social para la autenticación (Single Sign-On) también sufrieron.
Grupo Alibaba
Más de 10 millones de registros que contienen nombres de usuario, números de teléfono y números de correo fueron robados de Cainiao Network, un miembro del grupo Alibaba Group.
Se descubrió que los atacantes instalaron malware que roba datos personales en escáneres de códigos de barras. Luego, los datos robados fueron revendidos en el mercado negro.
Software Veeam
En el acceso abierto en la nube de Amazon, se descubrió una base de datos MongoDB perteneciente a Veeam.
La base de datos de 200 GB contenía 445 millones de registros que contenían nombres, direcciones de correo electrónico y, en algunos casos, direcciones IP. Se recopilaron datos para el período de 2013 a 2017.
Octubre
Google
Un error en la API de la red social de Google+ permitió a los desarrolladores acceder a datos de 500 mil usuarios como: inicios de sesión, direcciones de correo electrónico, lugares de trabajo, fechas de nacimiento, fotos de perfil, etc.
Google afirma que ninguno de los 438 desarrolladores que tenían acceso a la API conocía este error y no podía usarlo.
Sberbank
Un archivo abierto en Internet resultó ser un archivo con archivos Sberbank que contenía documentos oficiales sobre la integración de procesos de desarrollo y operación de software, en particular, datos sobre controles de salud de los sistemas bancarios.
Además, un archivo CSV con carga de Active Directory, que contiene los nombres y direcciones de correo electrónico de aproximadamente 420 mil empleados de Sberbank, se hizo público.
Sberbank en sí mismo no considera este incidente una fuga. Sin embargo, el banco notificó el incidente a la Comisión Europea, ya que entre la información comprometida se encontraban los datos de ciudadanos de la UE.
Noviembre
Quora
El servicio de intercambio de conocimientos sociales de Quora informó la fuga de datos de 100 millones de cuentas de usuario.
Se descubrió una penetración externa en el sistema de servicio, como resultado de lo cual sufrió: nombres, direcciones de correo electrónico, contraseñas hash, datos de redes conectadas (Facebook, Google); contenido público, incluidas preguntas, respuestas, comentarios, voces positivas; contenido no público, incluidas solicitudes de respuestas, correspondencia entre usuarios, votos negativos.
Marriott
Marriott International dijo que los piratas informáticos obtuvieron acceso a la base de datos de la división Marriott, Starwood Hotels, que contiene datos personales de los clientes desde 2014 hasta hoy.
En total, los datos se filtraron a 500 millones de huéspedes que utilizan los servicios de Starwood Hotels, con 327 millones de entradas filtradas que contienen números de pasaporte, direcciones de correo electrónico, direcciones postales y, en algunos casos, incluso detalles de tarjetas bancarias.
American express india
El sistema de pago American Express filtró los datos personales de 2,3 millones de clientes indios a través de la base de datos MongoDB, que estaba disponible gratuitamente.
La base de datos contenía los identificadores Aadhaar (identificador único de un ciudadano de la India), nombres, direcciones de correo electrónico, direcciones, nombres de familiares, números de cuenta.
Diciembre
Tecnología Nixi
La compañía china Nixi Technology, que produce la aplicación móvil Boomoji para crear avatares 3D animados, ha dejado abiertas dos bases de datos Elasticsearch con datos personales para 5.3 millones de usuarios de versiones iOS y Android de Boomoji en todo el mundo.
Además de los datos (nombre de usuario, edad, sexo, país, modelo de teléfono e incluso el nombre de la institución educativa) directamente a los usuarios de la aplicación, las bases de datos contenían 125 millones de contactos de sus libretas de direcciones (copia de teléfonos), así como el historial de la ubicación por 375 mil. usuarios.
Cancillería francesa
El 5 de diciembre, personas desconocidas obtuvieron acceso a una base de datos con contactos (nombres, direcciones de correo electrónico y números de teléfono) en caso de emergencias, de todos (540,000) ciudadanos registrados en el sistema Ariane.
Ariane es un servicio en línea creado en 2010, que permite a los ciudadanos franceses que viajan a países "inseguros" notificar al MFA de este país.
Datos y leads
Otra filtración de datos personales de votantes estadounidenses. La base de datos abierta Elasticsearch contenía casi 60 millones de registros que contenían nombres, apellidos, direcciones de correo electrónico, domicilios, números de teléfono y direcciones IP. La cantidad total de datos superó los 73 GB.
El propietario de la base de datos es probablemente la empresa canadiense Data & Leads, que recopila y procesa datos.
Cielo brasil
Los nombres, direcciones, contraseñas, teléfonos y otros datos personales de 32 millones de clientes del operador brasileño de TV paga e Internet móvil Sky Brasil se encontraron en la base de datos de Elasticsearch de libre acceso.
Congelar tienda profesional
La tienda escocesa de equipos de esquí en línea Freeze Pro Shop ha filtrado 4 millones de registros con datos personales (nombres, direcciones de correo electrónico, direcciones postales, números de teléfono y detalles de pedidos) de sus clientes, dejando la base de datos Elasticsearch a disposición del público.
Google
Otra vulnerabilidad de Google+ que filtró datos a 52.5 millones de usuarios.
La vulnerabilidad permitió que las aplicaciones recibieran información de los perfiles de los usuarios (nombre, dirección de correo electrónico, sexo, fecha de nacimiento, edad, etc.), incluso si estos datos eran privados. Además, a través del perfil de un usuario, fue posible recibir datos de otros usuarios.
Las noticias periódicas sobre casos individuales de fugas de datos se publican rápidamente en el canal Fugas de información .