Dans la première partie de l'examen des fuites de 2018, j'ai examiné les fuites de données les plus importantes pour le premier semestre et maintenant le moment est venu pour la deuxième partie.
Comme mentionné précédemment, seuls des cas importants de fuites d'informations dans le monde ont été inclus dans l'examen, et le mois de l'incident est indiqué non pas au moment de son occurrence, mais au moment de la divulgation (annonce publique).
Voyons comment s'est passé le second semestre ...
Juillet
Nexus de la mode
Les données personnelles ont divulgué 1,3 million d'acheteurs de magasins de mode en ligne britanniques (des marques telles que Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch et Traffic People), servis par Fashion Nexus et sa filiale White Room Solutions .
Les noms, dates de naissance, numéros de téléphone, adresses e-mail, hachages de mot de passe MD5 et SHA-1 ont été affectés.
Macy's
Macy's, le détaillant américain, a averti les clients qui ont des comptes sur le site du détaillant que des inconnus ont accès à ces comptes.
Après avoir entré le compte, les attaquants ont reçu des données client telles que le nom complet, l'adresse, le numéro de téléphone, l'adresse e-mail, la date de naissance, le numéro de carte de paiement et la date d'expiration.
Robotique et commandes de niveau 1
Une configuration incorrecte du programme rsync, conçu pour la sauvegarde à distance et la synchronisation des fichiers, a entraîné la fuite de 157 gigaoctets d'informations confidentielles de constructeurs automobiles tels que Toyota, Tesla, GM, Ford, VW et bien d'autres.
Les données ont été rendues publiques par la société canadienne de fabrication de robots Level One Robotics and Controls.
Organigrammes des chaînes de montage, plans et aménagement des ateliers, configuration des robots, formulaires de demande d'accès pour le personnel, accords de non-divulgation, données et documents personnels (permis de conduire, passeports) de certains employés de Level One Robotics and Controls, factures, contrats et informations bancaires.
Singhealth
À Singapour, des pirates informatiques ont piraté une base de données de patients visitant le réseau de cliniques SingHealth du 1er mai 2015 au 4 juillet 2018.
Noms, adresses, sexe, race, date de naissance volés de plus de 1,5 million de personnes.
En outre, 160 000 données de prescription de médicaments ont été volées.
Telefonica
Les attaquants ont profité de la vulnérabilité du réseau informatique du plus grand opérateur espagnol Telefonica et ont réussi à obtenir toutes les données personnelles de millions de clients. Telefonica est l'une des 10 plus grandes sociétés de télécommunications au monde.
Les données divulguées comprennent les noms, les informations de contact, les numéros de contact, les données de paiement et tout ce qui contient une facture standard pour les services de communication.
Les données clients de Telefonica ont été facilement téléchargées sous forme de tableur non chiffré (CSV).
Timehop
Le service Timehop, qui collecte des «souvenirs» sur les réseaux sociaux, a révélé une fuite de données de 21 millions d'utilisateurs.
Noms d'utilisateur, adresses e-mail et jetons d'autorisation divulgués sur les réseaux sociaux.
Un petit nombre d'entrées comprenait le nom, le numéro de téléphone et l'adresse e-mail, et un nombre légèrement plus grand comprenait le nom et le numéro de téléphone, et un nombre encore plus grand comprenait le nom et l'adresse e-mail.
Cette fuite a été rendue possible en compromettant le compte administrateur pour accéder à l'environnement de cloud computing.
Août
Huazhu Hotels Group
Une fuite de données dans les hôtels chinois a touché environ 130 millions de personnes.
13 hôtels appartenant à la société de gestion Huazhu Hotels Group ont été affectés par la fuite des données personnelles des clients.
Abbyy
Un fichier de base de données de 192 gigaoctets MongoDB appartenant à l'un des clients d'ABBYY et contenant plus de 200 000 documents numérisés était disponible gratuitement.
La base de données contenait des contrats, des accords sur la non-divulgation d'informations confidentielles, des lettres, des documents internes et d'autres documents reconnus à l'aide d'OCR ABBYY.
Confiance des données
Les données de 14,8 millions d'électeurs texans étaient accessibles au public. Au total, 19,3 millions d'électeurs sont enregistrés au Texas. Un fichier de base de données d'environ 16 Go a simplement été laissé sur un serveur ouvert.
La base de données a été initialement compilée par Data Trust, une société analytique au service du Parti républicain.
T-mobile
Des données personnelles ont été divulguées (noms, adresses e-mail, adresses postales, etc.) à partir de 2 millions de comptes de l'opérateur mobile américain T-Mobile.
Une fuite de données a été provoquée par une erreur dans le code d'interaction entre la boutique en ligne Apple et le serveur T-Mobile responsable de la vérification des comptes d'utilisateurs. La fonction de vérification a permis un nombre illimité de contrôles saisis par l'utilisateur des données, ce qui a permis aux attaquants d'énumérer les codes PIN et les 4 derniers chiffres du numéro de sécurité sociale.
Septembre
Facebook
Facebook a officiellement confirmé la fuite de données de 50 millions de comptes, alors que jusqu'à 90 millions de comptes étaient potentiellement affectés.
Les pirates ont pu accéder aux profils des propriétaires de ces comptes grâce à une chaîne d'au moins trois vulnérabilités dans le code Facebook.
En plus de Facebook lui-même, les services qui utilisaient les comptes de ce réseau social pour l'authentification (Single Sign-On) ont également souffert.
Groupe Alibaba
Plus de 10 millions d'enregistrements contenant des noms d'utilisateur, des numéros de téléphone et des numéros de courrier ont été volés à Cainiao Network, membre du groupe Alibaba.
Il a été découvert que les attaquants ont installé des logiciels malveillants qui volent des données personnelles dans des scanners de codes-barres. Ensuite, les données volées ont été revendues sur le marché noir.
Logiciel Veeam
Dans l'accès libre dans le cloud Amazon, une base de données MongoDB appartenant à Veeam a été découverte.
La base de données de 200 Go contenait 445 millions d'enregistrements contenant des noms, des adresses e-mail et, dans certains cas, des adresses IP. Les données ont été collectées pour la période de 2013 à 2017.
Octobre
Google
Une erreur dans l'API du réseau social Google+ a permis aux développeurs d'accéder à des données de 500 000 utilisateurs telles que: identifiants, adresses e-mail, lieux de travail, dates de naissance, photos de profil, etc.
Google affirme qu'aucun des 438 développeurs qui avaient accès à l'API n'était au courant de cette erreur et ne pouvait pas l'utiliser.
Sberbank
Une archive ouverte sur Internet s'est avérée être un fichier contenant des fichiers Sberbank contenant des documents officiels sur l'intégration des processus de développement et d'exploitation de logiciels, en particulier des données sur les contrôles de santé des systèmes bancaires.
En outre, un fichier CSV avec téléchargement Active Directory, contenant les noms et adresses e-mail d'environ 420 000 employés de Sberbank, est devenu accessible au public.
La Sberbank elle-même ne considère pas cet incident comme une fuite. Cependant, la banque a informé la Commission européenne de l'incident, car parmi les informations compromises figuraient les données des citoyens de l'UE.
Novembre
Quora
Le service de partage des connaissances sociales de Quora a signalé une fuite de données de 100 millions de comptes d'utilisateurs.
Une pénétration externe dans le système de service a été découverte, à la suite de laquelle elle a souffert: noms, adresses e-mail, mots de passe hachés, données provenant de réseaux connectés (Facebook, Google); contenu public, y compris les questions, réponses, commentaires, voix positives; contenu non public, y compris les demandes de réponses, la correspondance entre les utilisateurs, les votes négatifs.
Marriott
Marriott International a déclaré que les pirates ont eu accès à la base de données de la division Marriott - Starwood Hotels, qui contient des données personnelles des clients de 2014 à aujourd'hui.
Au total, les données ont été divulguées à 500 millions de clients utilisant les services Starwood Hotels, avec 327 millions d'entrées divulguées contenant des numéros de passeport, des adresses e-mail, des adresses postales et, dans certains cas, même des détails de carte bancaire.
American express india
Le système de paiement American Express a divulgué les données personnelles de 2,3 millions de clients indiens via la base de données MongoDB, qui était disponible gratuitement.
La base de données contenait les identifiants Aadhaar (identifiant unique d'un citoyen indien), les noms, les adresses e-mail, les adresses, les noms des proches, les numéros de compte.
Décembre
Technologie Nixi
La société chinoise Nixi Technology, qui produit l'application mobile Boomoji pour créer des avatars 3D animés, a laissé ouvertes deux bases de données Elasticsearch contenant des données personnelles de 5,3 millions d'utilisateurs des versions iOS et Android de Boomoji dans le monde.
En plus des données (nom d'utilisateur, âge, sexe, pays, modèle de téléphone et même le nom de l'établissement d'enseignement) directement aux utilisateurs de l'application, les bases de données contenaient 125 millions de contacts de leurs carnets d'adresses (copie à partir des téléphones), ainsi que l'historique de l'emplacement pour 375 mille utilisateurs.
Ministère français des Affaires étrangères
Le 5 décembre, des inconnus ont eu accès à une base de données avec des contacts (noms, adresses e-mail et numéros de téléphone) en cas d'urgence, de tous les (540 000) citoyens enregistrés dans le système Ariane.
Ariane est un service en ligne créé en 2010, qui permet aux citoyens français voyageant dans des pays «dangereux» de notifier l'AMF de ce pays.
Données et prospects
Nouvelle fuite de données personnelles d'électeurs américains. La base de données ouverte Elasticsearch contenait près de 60 millions d'enregistrements contenant des prénoms, noms de famille, adresses e-mail, adresses personnelles, numéros de téléphone et adresses IP. La quantité totale de données a dépassé 73 Go.
Le propriétaire de la base de données est probablement l'entreprise canadienne Data & Leads, qui recueille et traite les données.
Ciel brasil
Les noms, adresses, mots de passe, téléphones et autres données personnelles de 32 millions de clients de l'opérateur brésilien de télévision payante et d'Internet mobile Sky Brasil ont été trouvés dans la base de données Elasticsearch accessible gratuitement.
Freeze pro shop
Le magasin écossais de matériel de ski en ligne Freeze Pro Shop a divulgué 4 millions d'enregistrements avec des données personnelles (noms, adresses e-mail, adresses postales, numéros de téléphone et détails de commande) de ses clients, laissant la base de données Elasticsearch ouverte.
Google
Une autre vulnérabilité de Google+ qui a divulgué des données à 52,5 millions d'utilisateurs.
La vulnérabilité permettait aux applications de recevoir des informations des profils d'utilisateurs (nom, adresse e-mail, sexe, date de naissance, âge, etc.), même si ces données étaient privées. De plus, grâce au profil d'un utilisateur, il était possible de recevoir des données d'autres utilisateurs.
Des nouvelles régulières sur des cas individuels de fuites de données sont rapidement publiées sur le canal Fuites d'informations .