Na primeira parte da revisão de vazamento de 2018, examinei os vazamentos de dados mais significativos da primeira metade do ano e agora é hora da segunda parte.
Como mencionado anteriormente, apenas os principais casos de vazamento de informações em todo o mundo foram incluídos na revisão, e o mês do incidente é indicado não no momento da sua ocorrência, mas no momento da divulgação (anúncio público).
Vamos ver como a segunda metade do ano passou ...
Julho
Nexo da moda
Os dados pessoais vazaram 1,3 milhão de compradores de lojas de moda online britânicas (marcas como Jaded London, AX Paris, Elle Belle Attire, Perfect Handbags, Dirty Little Style Bitch e Traffic People), servidas pela Fashion Nexus e sua subsidiária White Room Solutions .
Nomes, datas de nascimento, números de telefone, endereços de email, hashes de senha MD5 e SHA-1 foram afetados.
Macy
A Macy's, varejista dos EUA, alertou os clientes que possuem contas no site do varejista que pessoas desconhecidas têm acesso a essas contas.
Após entrar na conta, os atacantes receberam dados do cliente como nome completo, endereço, número de telefone, endereço de e-mail, data de nascimento, número do cartão de pagamento e data de validade.
Robótica e controles de nível um
A configuração incorreta do programa rsync, projetada para backup remoto e sincronização de arquivos, levou ao vazamento de 157 gigabytes de informações confidenciais de montadoras como Toyota, Tesla, GM, Ford, VW e muitas outras.
Os dados foram disponibilizados ao público pela empresa canadense de fabricação de robôs Level One Robotics and Controls.
Diagramas de fluxo de linhas de montagem, planos e layout de oficinas, configuração de robôs, formulários de solicitação de acesso para pessoal, acordos de não divulgação, dados e documentos pessoais (carteiras de motorista, passaportes) de alguns funcionários, faturas, contratos e informações bancárias da Level One Robotics and Controls.
Singhealth
Em Cingapura, hackers invadiram um banco de dados de pacientes que visitam a rede de clínicas SingHealth de 1 de maio de 2015 a 4 de julho de 2018.
Nomes, endereços, sexo, raça, data de nascimento roubados de mais de 1,5 milhão de pessoas.
Além disso, 160 mil dados de prescrição de medicamentos foram roubados.
Telefonica
Os invasores aproveitaram a vulnerabilidade da rede de computadores da maior operadora espanhola Telefonica e conseguiram obter todos os dados pessoais de milhões de clientes. A Telefonica é uma das 10 maiores empresas de telecomunicações do mundo.
Os dados vazados incluem nomes, informações de contato, números de contato, dados de pagamento e tudo o que contém uma fatura padrão para serviços de comunicação.
Os dados dos clientes da Telefonica foram facilmente baixados como uma planilha não criptografada (CSV).
Timehop
O serviço Timehop, que coleta “memórias” das redes sociais, revelou um vazamento de dados de 21 milhões de usuários.
Nomes de usuário vazados, endereços de e-mail e tokens de autorização nas redes sociais.
Um pequeno número de entradas incluía o nome, número de telefone e endereço de email, e um número um pouco maior incluía o nome e o número de telefone, e um número ainda maior incluía o nome e o endereço de email.
Esse vazamento foi possível comprometendo a conta do administrador para acessar o ambiente de computação em nuvem.
Agosto
Huazhu Hotels Group
Um vazamento de dados de hotéis chineses afetou cerca de 130 milhões de pessoas.
13 hotéis pertencentes à empresa de administração Huazhu Hotels Group foram afetados pelo vazamento de dados pessoais dos clientes.
Abbyy
O arquivo de banco de dados MongoDB de 192 gigabytes pertencente a um dos clientes da ABBYY e contendo mais de 200 mil documentos digitalizados estava disponível gratuitamente.
O banco de dados continha contratos, acordos sobre a não divulgação de informações confidenciais, cartas, documentos internos e outros documentos reconhecidos usando o OCR ABBYY.
Confiança nos dados
Dados de 14,8 milhões de eleitores do Texas estavam disponíveis ao público. No total, 19,3 milhões de eleitores estão registrados no Texas. Um arquivo de banco de dados de aproximadamente 16 GB foi simplesmente deixado em um servidor aberto.
O banco de dados foi originalmente compilado pela Data Trust, uma empresa de análise que atende ao Partido Republicano.
T-mobile
Dados pessoais vazaram (nomes, endereços de email, endereços postais etc.) de 2 milhões de contas da operadora de telefonia móvel americana T-Mobile.
Um vazamento de dados foi causado por um erro no código de interação entre a loja online da Apple e o servidor T-Mobile responsável pela verificação de contas de usuário. A função de verificação permitiu um número ilimitado de verificações inseridas pelo usuário dos dados, o que permitiu que os atacantes enumerassem códigos PIN e os últimos 4 dígitos do número da previdência social.
Setembro
Facebook
O Facebook confirmou oficialmente o vazamento de dados de 50 milhões de contas, enquanto até 90 milhões de contas foram potencialmente afetadas.
Os hackers conseguiram acessar os perfis dos proprietários dessas contas, graças a uma cadeia de pelo menos três vulnerabilidades no código do Facebook.
Além do próprio Facebook, os serviços que utilizavam as contas dessa rede social para autenticação (Logon Único) também sofreram.
Grupo Alibaba
Mais de 10 milhões de registros contendo nomes de usuário, números de telefone e números de correspondência foram roubados da Cainiao Network, um membro da holding Alibaba Group.
Foi descoberto que os atacantes instalaram malware que rouba dados pessoais em scanners de código de barras. Em seguida, os dados roubados foram revendidos no mercado negro.
Veeam Software
No acesso aberto na nuvem da Amazon, um banco de dados MongoDB pertencente à Veeam foi descoberto.
O banco de dados de 200 GB continha 445 milhões de registros contendo nomes, endereços de email e, em alguns casos, endereços IP. Os dados foram coletados para o período de 2013 a 2017.
Outubro
Google
Um erro na API da rede social do Google+ permitiu aos desenvolvedores acessar dados de 500 mil usuários como: logins, endereços de email, locais de trabalho, datas de nascimento, fotos de perfil etc.
O Google alega que nenhum dos 438 desenvolvedores que tiveram acesso à API conhecia esse erro e não podia usá-lo.
Sberbank
Um arquivo aberto na Internet acabou sendo um arquivo com arquivos Sberbank contendo documentos oficiais sobre a integração de processos de desenvolvimento e operação de software, em particular dados sobre exames de saúde de sistemas bancários.
Além disso, um arquivo CSV com upload do Active Directory, contendo os nomes e endereços de email de aproximadamente 420 mil funcionários do Sberbank, ficou disponível ao público.
O próprio Sberbank não considera esse incidente um vazamento. No entanto, o banco notificou a Comissão Europeia do incidente, pois entre as informações comprometidas estavam os dados dos cidadãos da UE.
Novembro
Quora
O serviço de compartilhamento de conhecimento social Quora relatou vazamento de dados de 100 milhões de contas de usuário.
Foi descoberta uma penetração externa no sistema de serviço, como resultado: nomes, endereços de email, senhas com hash, dados de redes conectadas (Facebook, Google); conteúdo público, incluindo perguntas, respostas, comentários, vozes positivas; conteúdo não público, incluindo solicitações de respostas, correspondência entre usuários, votos negativos.
Marriott
A Marriott International disse que os hackers obtiveram acesso ao banco de dados da divisão Marriott - Starwood Hotels, que contém dados pessoais de clientes de 2014 a hoje.
No total, os dados vazaram para 500 milhões de hóspedes usando os serviços da Starwood Hotels, com 327 milhões de entradas vazadas contendo números de passaporte, endereços de email, endereços postais e, em alguns casos, até detalhes de cartões bancários.
American Express Índia
O sistema de pagamento da American Express vazou os dados pessoais de 2,3 milhões de clientes indianos através do banco de dados MongoDB, que estava disponível gratuitamente.
O banco de dados continha os identificadores Aadhaar (identificador único de um cidadão da Índia), nomes, endereços de email, endereços, nomes de parentes, números de contas.
Dezembro
Tecnologia Nixi
A empresa chinesa Nixi Technology, que produz o aplicativo móvel Boomoji para criar avatares animados em 3D, deixou em aberto dois bancos de dados Elasticsearch com dados pessoais de 5,3 milhões de usuários de versões iOS e Android do Boomoji em todo o mundo.
Além dos dados (nome de usuário, idade, sexo, país, modelo de telefone e até mesmo o nome da instituição de ensino) diretamente aos usuários do aplicativo, os bancos de dados continham 125 milhões de contatos de seus catálogos de endereços (cópia dos telefones), além do histórico da localização de 375 mil. usuários.
Ministério das Relações Exteriores da França
Em 5 de dezembro, pessoas desconhecidas obtiveram acesso a um banco de dados com contatos (nomes, endereços de e-mail e números de telefone) em caso de emergência, de todos (540.000) cidadãos registrados no sistema Ariane.
O Ariane é um serviço online criado em 2010, que permite que cidadãos franceses que viajam para países "inseguros" notifiquem a AMF desse país.
Dados e leads
Outro vazamento de dados pessoais dos eleitores americanos. O banco de dados aberto do Elasticsearch continha quase 60 milhões de registros contendo nomes, sobrenomes, endereços de email, endereços residenciais, números de telefone e endereços IP. A quantidade total de dados excedeu 73 GB.
O proprietário do banco de dados provavelmente é a empresa canadense Data & Leads, que coleta e processa dados.
Sky brasil
Os nomes, endereços, senhas, telefones e outros dados pessoais de 32 milhões de clientes da operadora brasileira de TV por assinatura e Internet móvel Sky Brasil foram encontrados no banco de dados Elasticsearch, de acesso livre.
Congelar loja profissional
A loja escocesa de equipamentos de esqui on-line Freeze Pro Shop vazou 4 milhões de registros com dados pessoais (nomes, endereços de email, endereços postais, números de telefone e detalhes de pedidos) de seus clientes, deixando o banco de dados Elasticsearch disponível publicamente.
Google
Outra vulnerabilidade do Google+ que vazou dados para 52,5 milhões de usuários.
A vulnerabilidade permitia que os aplicativos recebessem informações de perfis de usuário (nome, endereço de email, sexo, data de nascimento, idade etc.), mesmo que esses dados fossem privados. Além disso, através do perfil de um usuário, foi possível receber dados de outros usuários.
Notícias regulares sobre casos individuais de vazamento de dados são rapidamente publicadas no canal Vazamentos de informações .