L'année 2018 touche à sa fin, ce qui signifie qu'il est temps d'en faire le bilan et de répertorier les fuites de données les plus importantes.
Cette revue ne comprend que de très gros cas de fuites d'informations dans le monde. Cependant, même en dépit du seuil de coupure élevé, il y a tellement de fuites que l'examen a dû être divisé en deux parties - par semestre.
Voyons quoi et comment il a fui cette année de janvier à juin. Je réserve immédiatement que le mois de l’incident est indiqué non pas au moment de son occurrence, mais au moment de la divulgation (annonce publique).
Alors allons-y ...
Janvier
Parti progressiste-conservateur du Canada
Le Système de gestion de l'information des électeurs (SGIC) du Parti progressiste-conservateur du Canada (section de l'Ontario) a été piraté.
La base de données volée contenait les noms, numéros de téléphone et autres informations personnelles de plus d'un million d'électeurs, en Ontario, ainsi que des partisans, des commanditaires et des bénévoles du parti.
Rosobrnadzor
Fuite d'informations sur les diplômes et autres données personnelles qui les accompagnent sur le site Internet du Service fédéral de surveillance de l'éducation et des sciences.
Un total d'environ 14 millions d'enregistrements contenant des données sur les anciens élèves. Taille de base 5 Go.
Fuite: série et numéro de diplôme, année d'inscription, année d'obtention du diplôme, SNILS, TIN, série et numéro de passeport, date de naissance, nationalité, organisme d'enseignement qui a délivré le document.
Autorité régionale de santé norvégienne
Les attaquants ont piraté le système de l'administration régionale de la santé du sud et de l'est de la Norvège (Helse Sør-Øst RHF) et ont eu accès aux données personnelles et aux dossiers médicaux d'environ 2,9 millions de Norvégiens (plus de la moitié de tous les résidents du pays).
Les données médicales volées contenaient des informations sur des employés du gouvernement, des services secrets, des militaires, des politiciens et d'autres personnalités publiques.
Fevrier
- Swisscom
L'opérateur de téléphonie mobile suisse Swisscom a reconnu que les données personnelles d'environ 800 000 de ses clients se sont avérées être compromises.
Les noms, adresses, numéros de téléphone et dates de naissance des clients ont été affectés.
Mars
Sous l'armure
L'application de fitness et de nutrition populaire d'Armour, MyFitnessPal, a provoqué une fuite massive de données. Selon l'entreprise, environ 150 millions d'utilisateurs sont concernés.
Les attaquants ont pris connaissance des noms d'utilisateur, des adresses e-mail et des mots de passe hachés.
Orbitz
Expedia Inc. (appartenant à Orbitz) a déclaré avoir découvert une fuite de données sur l'un de ses anciens sites affectant des milliers de clients.
Selon les estimations, la fuite a touché environ 880 000 cartes bancaires.
Un attaquant a eu accès aux données sur les achats effectués entre janvier 2016 et décembre 2017. Les informations volées comprennent les dates de naissance, les adresses, les noms complets et les informations de carte de paiement.
MBM Company Inc
Dans le domaine public, le stockage public Amazon S3 (AWS) a été découvert contenant une copie de sauvegarde de la base de données MS SQL avec des informations personnelles de 1,3 million de personnes vivant aux États-Unis et au Canada.
La base de données appartenait à MBM Company Inc, une société de bijoux basée à Chicago opérant sous la marque Limoges Jewelry.
La base de données contenait des noms, adresses, codes postaux, numéros de téléphone, adresses e-mail, adresses IP et mots de passe texte. De plus, il y avait des listes de diffusion internes à MBM Company Inc, des informations cryptées sur les cartes de crédit, des données de paiement, des codes promotionnels et des commandes d'articles de base.
Avril
Delta Air Lines, Best Buy et Sears Holding Corp.
Attaque ciblée de logiciels malveillants spéciaux sur l'application du chat en ligne de la société [24] 7.ai (une société californienne de San Jose développe des applications pour le service client en ligne).
Les détails complets des cartes bancaires divulguées - numéros de carte, codes CVV, dates d'expiration, noms et adresses des propriétaires.
Seule une quantité approximative de données divulguées est connue. Pour Sears Holding Corp. c'est un peu moins de 100 mille cartes bancaires, pour Delta Air Lines c'est des centaines de milliers de cartes (plus précisément, la compagnie aérienne n'informe pas). Le nombre de cartes compromises pour Best Buy est inconnu. Toutes les cartes ont fui du 26 septembre au 12 octobre 2017.
Il a fallu à l'entreprise [24] 7.ai plus de 5 mois à partir du moment de la détection d'une attaque sur son service pour informer les clients (Delta, Best Buy et Sears) de l'incident.
Pain Panera
Le fichier contenant des données personnelles de plus de 37 millions de clients se trouve simplement sous une forme ouverte sur le site Web d'un réseau de cafés-boulangeries populaires.
Les données divulguées contenaient les noms des clients, les adresses électroniques, les dates de naissance, les adresses postales et les quatre derniers chiffres des numéros de carte de crédit.
Saks, Lord & Taylor
Plus de 5 millions de cartes bancaires ont été volées à Saks Fifth Avenue (y compris Saks Fifth Avenue OFF 5TH) et Lord & Taylor à des chaînes de magasins.
Les pirates ont utilisé un logiciel spécial dans les caisses enregistreuses et les terminaux PoS pour voler les données des cartes.
Careem
Les données personnelles d'environ 14 millions de personnes au Moyen-Orient, en Afrique du Nord, au Pakistan et en Turquie ont été volées par des pirates informatiques lors d'une cyberattaque sur les serveurs Careem (le plus grand concurrent d'Uber au Moyen-Orient).
La société a découvert une violation dans un système informatique qui stocke les informations d'identification des clients et des chauffeurs de 13 pays.
Des noms, adresses e-mail, numéros de téléphone et données de voyage ont été volés.
Mai
- Afrique du sud
Une base de données open source d'environ 1 million de Sud-Africains a été découverte sur un serveur Web public appartenant à une entreprise qui traite les paiements électroniques pour les amendes routières.
La base de données contenait des noms, des numéros d'identification, des adresses électroniques et des mots de passe sous forme de texte.
Juin
Exactis
La société de marketing Exactis de Floride, aux États-Unis, a ouvert environ 2 téraoctets de base de données Elasticsearch contenant plus de 340 millions d'enregistrements.
Environ 230 millions de données personnelles d'individus (adultes) et environ 110 millions de contacts de diverses organisations ont été trouvés dans la base de données.
Il convient de noter qu'au total, environ 249,5 millions d'adultes vivent aux États-Unis - c'est-à-dire que nous pouvons dire que la base de données contient des informations sur chaque adulte américain.
Abeille de Sacramento
Des pirates inconnus ont volé deux bases de données appartenant au journal californien The Sacramento Bee.
Dans la première base de données se trouvaient 19,4 millions d'enregistrements contenant des données personnelles d'électeurs de l'État de Californie.
Dans la deuxième base, il y avait 53 000 enregistrements contenant des informations sur les abonnés du journal.
Ticketfly
Le service de billetterie des concerts Ticketfly d'Eventbrite a signalé une attaque de pirates informatiques sur sa base de données.
La base de clients du service a été volée par le pirate IsHaKdZ, qui a exigé 7502 $ en bitcoins pour sa non-distribution.
La base de données contenait les noms, adresses postales, numéros de téléphone et adresses e-mail des clients Ticketfly et même certains employés de service, au total plus de 27 millions d'enregistrements.
Myheritage
92 millions de comptes divulgués (identifiants, hachage de mot de passe) du service de généalogie israélien MyHeritage. Le service stocke les informations ADN des utilisateurs et construit leurs arbres généalogiques.
Dixons carphone
Dixons Carphone, une chaîne d'électronique avec des magasins de détail au Royaume-Uni et à Chypre, a déclaré que l'accès non autorisé à l'infrastructure informatique de l'entreprise avait entraîné la fuite de 1,2 million de données personnelles des clients, y compris les noms, adresses et adresses e-mail.
En outre, 105 000 cartes bancaires sans puce intégrée ont été divulguées.
À suivre ...
Des nouvelles régulières sur des cas individuels de fuites de données sont rapidement publiées sur le canal Fuites d'informations .