Хакерски атаки и изтичане на данни – големите информационни кражби

От началото на широкомащабното разпространение на данни в началото на 21 век вече има информация за хиляди пробиви с висок профил на данни след сериозни хакерски атаки. Кражбата на данни е засегнала вече милиарди хора.

Публикацията е обновена на 21.12.2024.

Размер на паричните щети, причинени от докладвани киберпрестъпления на IC3 от 2001 г. до 2022 г. (в милиони щатски долари)

Източник Statista

Изтичане на данни от вътрешни сътрудници

С развитието на информационните системи, опасностите от кражби на данни от сътрудници на организациите (инсайдери), отдавна не са редки, напротив – много са сериозни. Упълномощени потребители умишлено саботират собствената си компания и предават информация на конкурентите. Загубите от такъв вид вътрешни атаки се изчисляват на десетки милиарди долари.

С промяната на бизнес средата много компании прибягват до аутсорсинг, използване на технологични платформи на трети страни. По този начин ценна бизнес информация е достъпна на повече хора. В подобни случаи, на инсайдерските кражби на чувствителна информация, повечето защити на периметъра и контрол на достъпа не могат да помогнат, вредителят вече се намира в периметъра.

Финансови загуби от изтичане на данни

Нарушаването на данни е опасно, защото не само засяга поверителността на потребителите, но и носи загуби – финансови и имиджови – на различни компании. Финансовите загуби от пробиви на данни причиняват значителни щети на бизнеса на компанията и дори могат да я унищожат. Престъпниците в повечето случаи опитват да получат откуп от компанията. Когато не могат да го получат, те пускат данните за продажба, което незабавно става известно и започва отлив от компанията и искове за съдебни дела на огромни суми.

През ноември 2020 г. стана известно, че кибер инцидентите – хакерски атаки и злонамерен софтуер и др. с кражба на данни през последните 5 години са стрували на компании над 10 млрд. долара.

• Атаките, свързани с кражба на пълномощия, представляват 46% от всички инциденти и водят до огромна загуба от $ 10 млрд.
• Кибер атаките, използващи злонамерен софтуер за отдалечен достъп, представляват 31% от всички случаи и струват на корпорациите $ 9,2 млрд.
• Кибер атаките от хакерски групи, свързани с чужди правителства, формират 43% от финансовите загуби.
• Измамите, рансъмуерът, изтичането на данни и кражбата на криптовалута са най-скъпите и най-често срещаните видове „екстремни“ кибер инциденти.
• Всяко изтичане на данни струва на компаниите средно $ 3,86 млн.
• Анализът на изтичането на информация показа, че личните данни на клиентите се разкриват в 80% от случаите.

Снижаване на производителността, разходите за отговор и санкциите са най-често срещаните форми на загуба.

Вероятността да станат жертви на хакерски атаки и други кибер инциденти варира за различните отрасли.  Най-изложени на риск са държавните агенции, финансовите фирми, административната подкрепа и информационните услуги.

Някои от най-големите изтичания на данни в следствие на хакерски атаки

2010

*Грандиозни изтичания на тайни данни в САЩ (WikiLeaks)
*Изтичане на 7,4 милиона документа на Държавната служба за приходите на Латвия.
*Изтичане на данни от клиенти на Google и Facebook.

2014

*Течове в McDonalds, HTC, Barclays, Microsoft.

*Най-големият теч в историята: 1 милиард акаунта откраднати от Yahoo. Доколкото се знае хакерите са използвали „подправени“ бисквитки, за да получат достъп. Открадната информация от потребителските акаунти вероятно е включвала имена, имейл адреси, телефонни номера, дати на раждане,  пароли, въпроси и отговори от подсигурителната информация на потребителите.

2015

*През февруари имаше съобщение за най-голямото изтичане в областта на медицината. Хакването компрометира личните данни на 80 милиона клиенти на здравноосигурителната компания Anthem.

*През юни в медиите се появиха ужасни съобщения – откраднати са пароли от услуга, в която потребителите съхраняват пароли, за да не бъдат откраднати – Lastpass.

*Най-резонансното изтичане на годината с право може да се счита за хакването на Ашли Медисън. 33 милиона потребители на сайт, който се позиционира като услуга за запознанства за изневяра, са намерили своите адреси и история на транзакциите в публичното пространство.

2016

*През юни 2016 г. стана известно за голямо изтичане на поверителни данни на клиенти на Acer, засегнати бяха посетителите на онлайн магазина на тайванския производител.

*InfoWatch визуализира архива на кореспонденцията на Хилари Клинтън.

2017

*Южна Африка има най-голямото изтичане на данни в историята на страната.
*Изтичане на данни на почти половината от населението на САЩ.
*Данните за 1,8 милиона жители на Чикаго изтичат в мрежата.
*Най-голямо изтичане на данни на шведските граждани.
*Съединените щати имат най-голямото нарушаване на данните за избирателите в историята.
*Тайните документи на ВВС на САЩ са открити в публичното пространство.

*В началото на декември 2017 г. анализаторите на 4iQ откриха огромна интерактивна база данни в тъмната мрежа, която обединява 252 различни изтичания на данни.

Базата данни с общ обем над 41 GB се актуализира редовно и предлага на потребителите повече от 1,4 милиарда идентификационни данни в обикновен текстов формат. Кой е компилаторът на този дъмп не е известен, авторът е посочил само биткойн и доджкойн портфейли за дарения.

Изследователите на 4iQ посочиха, че всички пароли са представени в базата данни в чист текст и според тестовете, проведени от специалисти, много от тях са валидни. Освен това около 14% от откритите в базата данни пароли не са публикувани никъде. Датата на актуализация на базата данни е 29 ноември 2017 г., търсенето, импортирането на течове и други функции са налични в нея.

Тази база данни включва обобщен списък с Exploit[.]in, друга база данни с обобщена информация за Anti Public, 133 допълнителни основни изтичания, като LinkedIn, Netflix, Last.FM и YouPorn.

*На 7 декември 2017 г. стана известно как и на кого Uber Technologies е платила откуп за изтриване на данни за 57 милиона клиенти на услугата.

*Както стана известно през октомври 2017 г., неизвестно лице намерило флашка на земята, която разкрила подробна информация за системите за сигурност на най-голямото летище във Великобритания Хийтроу.

*На 26 юли 2017 г. стана известно за хакерска атака срещу банка UniCredit, в резултат на която изтекоха данни на стотици хиляди клиенти на компанията. Съответна информация се съдържа в съобщението на финансовата институция.

*През юли 2017 г. една от водещите световни агенции за финансова информация Dow Jones & Company, поради грешка в настройките на облачната база данни за съхранение, публикува публично данните на няколко милиона свои клиенти, включително имена, вътрешни идентификатори, адреси, данни за плащане и данни за банкова карта.

*През юли 2017 г. стана известно за голямо изтичане на лични данни на 14 милиона клиенти на телекомуникационната корпорация Verizon.

2018

*Данъчните данни за половината от населението на Бразилия бяха публично достояние поради грешка в Apache.
*Изтичане на данни на 1 милиард души в Индия.
*Зукърбърг се призна за виновен за нарушаване на данни на 50 милиона потребители на Facebook.
*Marriott International: Хакнати сървъри. Изтичането на лична информация на близо 500 милиона клиенти включва имена, адреси, номера на кредитни карти, телефонни номера, номера на паспорти, места на пътуване и лични дати на пътуване за клиентите.

*Пощенската служба на Съединените щати (USPS) поправи уязвимост, която позволи на нападателите да получат лична информация от приблизително 60 милиона души, предимно граждани на САЩ, през годината.

*В началото на септември 2018 г. стана известно за мащабно нарушение на данните на клиенти на British Airways.

*Хакер, за когото се смята, че е от китайски произход, продава данни на 200 милиона души в Япония на форум за киберпрестъпления.

2019

*Пробив в данните на по-голяма част от жителите на Еквадор.
*Великобритания има гигантски изтичания на биометрични данни на милиони хора.
*Данни от хиляди полицаи в Лос Анджелис.
*Арестуван в България специалист по информационна сигурност, обвинен в кражба на лични и финансови данни на 5 милиона граждани.
*Информацията за сметките на клиенти на Държавната банка на Индия беше публично достояние.
*Данни на 267 милиона потребители на Facebook са открити в публичното достояние.
*База данни от 20 милиона потребители на Instagram, бе пусната за продажба.
*Изтичане на данните на 419 милиона потребители на Facebook.
*Изтичането на вътрешни документи разкрива, че Facebook изнудва политици по целия свят.
*First American: достъпни данни. При това изтичане на данни, причинено от вратичка за удостоверяване, са изтекли общо около 885 милиона финансови записи.

*На 12 декември 2019 г. стана известно, че неизвестни хора са публикували некриптирани имейл адреси и потребителски пароли в публичното пространство. Базата данни съдържаше 2,7 милиарда имейл адреса и повече от 1 милиард некриптирани пароли за тях. Както показа анализът на базата данни, повечето от данните са изтичане, обявено за продажба от кибер престъпник под псевдонима DoubleFlag в началото на 2017 г.

*На 11 декември 2019 г. стана известно, че данните за 15 милиона дебитни карти, издадени от ирански банки, са публикувани в една от социалните мрежи. Според съобщения в иранските медии инцидентът е най-голямото изтичане на банкова информация в историята на Иран.

*В края на септември 2019 г. около 20 000 въведени платежни карти от осем града в САЩ се озоваха на черния пазар в резултат на атака срещу Click2Gov, популярната в страната система за плащане на държавни и общински услуги.

*На 23 август 2019 г. Mastercard докладва на регулаторите в Германия и Белгия за масивно нарушение на данните.

*Данните на 200 милиона китайци бяха изложени на обществеността поради неправилна конфигурация на MongoDB.

2020

*Базата данни на избирателите в САЩ се е появила в общ достъп.
*Личните данни на 74% от населението на Израел са публично достояние.
*Паспортните данни на 1,1 милиона души, гласували по електронен път за изменения в Конституцията на Русия, бяха пуснати в продажба.
*267 милиона акаунта във Facebook се продават в Даркнет за 540 долара.

*В началото на април 2020 г. стана известно за появата в тъмната мрежа на данни за повече от 500 хиляди Zoom акаунта, които бяха обявени за продажба. Тези данни включват имейл адреси, пароли, URL адреси на частни срещи и идентификатори на лични конференции (цифров код, който се използва в определени случаи).

*През февруари 2020 г. изследователи по сигурността във VPNmentor откриха, че данните на над 123 милиона клиенти на Decathlon са били изложени на обществеността поради несигурен сървър на ElasticSearch.

*На 22 януари 2020 г. стана известно, че данните на милиони клиенти на Microsoft са в отворен достъп. Това се случи поради неправилна конфигурация на базата данни Elasticsearch.

2021

*В мрежата се продават или изнесени на общ достъп телефонните номера на половин милиард потребители на Facebook.

*В началото на ноември 2021 г. база данни с 45,5 милиона потребители на безплатни VPN услуги FreeVPN.org и DashVPN.io, собственост на ActMobile Networks, беше пусната за продажба в тъмната мрежа.

*През октомври 2021 г. Facebook заведе дело срещу украинеца Александър Солонченко, обвинявайки го в кражба на данните на 178 милиона потребители на социалната мрежа. Съответният иск е заведен от съда на Северния окръг на Калифорния.

*В началото на юли 2021 г. British Airways постигна споразумение за разрешаване на колективен иск за нарушение на данните от 2018 г., включващо лични и финансови данни на стотици хиляди клиенти.

*През юни 2021 г. стана известно, че хакери са откраднали данните на 3,3 милиона клиенти от Volkswagen и са ги обявили за продажба.

*В средата на юни 2021 г. Alibaba обяви, че е била жертва на продължила месеци кибер атака, при която служител на консултантска компания на Alibaba е откраднал 1,1 милиарда потребителски записи, включително техните имена, телефонни номера и други данни, използвайки софтуер за уеб сканиране.

*В началото на април 2021 г. в един от хакерските форуми се появи база данни с 1,3 милиона потребители на социалната мрежа Clubhouse.

*В началото на април 2021 г. хакери пуснаха за продажба данните на 500 милиона потребители на социалната мрежа LinkedIn. Откраднатата информация включва пълни потребителски имена, телефонни номера, имейл адреси и данни за работа.

2022

*На 31 декември 2022 г. корпоративният месинджър Slack съобщи за хакерска атака, в резултат на която нападателите получиха достъп до някои от частните хранилища на услугата в GitHub.

*На 25 декември 2022 г. стана известно, че хакер, който се крие под псевдонима Ryushi, е пуснал за продажба на форума Breach обширна база данни с подробна информация за потребителите на Twitter.

*На 22 декември 2022 г. екипът на LastPass, един от най-популярните мениджъри на пароли в света, обяви, че услугата е била хакната: нападателите са успели да откраднат данните на милиони потребители.

*В началото на декември 2022 г. Федералната полиция на Австралия обвини руски хакери от групата REvil в кражба на лични данни на клиенти на Medibank, най-голямата здравноосигурителна компания в страната. Компанията потвърди кражбата на данни, като оцени щетите на 20 милиона долара и разпозна жертвите.

*В средата на ноември 2022 г. в един от известните хакерски форуми се появи съобщение за продажбата на обширна база данни, съдържаща актуална информация за почти 0,5 милиарда потребители на популярния месинджър WhatsApp.

*На 27 октомври 2022 г. стана известно, че компанията Thomson Reuters е изтекла голямо количество поверителни данни, включително корпоративна и клиентска информация.

*На 1 октомври 2022 г. стана известно, че кибер престъпниците са хакнали сървъра за електронна поща на една от компаниите, които са част от Организацията за атомна енергия на Иран (AEOI), държавното монополно предприятие, което контролира дейността на съоръженията за ядрена енергия в страната.

*На 19 октомври 2022 г. Microsoft разкри подробности за грешна конфигурация на сървъра, която доведе до изтичане на някои данни за потенциални клиенти. Данните на 548 хиляди потребители, включително тяхната поверителна информация, се оказаха публично достъпни.

*На 3 октомври 2022 г. стана известно за хакерска атака срещу Ferrari. В резултат на кибер атаката вътрешни документи, техническа документация, ръководства за ремонт и много други документи бяха откраднати от автомобилния производител.

*В средата на септември 2022 г. основаната от Русия финтех платформа Revolut претърпя кибер атака, която доведе до неоторизирана трета страна, която получи достъп до личната информация на десетки хиляди клиенти.

*Популярният мениджър на пароли LastPass, който се използва от 33 милиона души, потвърди, че услугата е била хакната. Изходните кодове и поверителна техническа информация са откраднати от платформата, съобщи компанията в края на август 2022 г.

*Хакерската група Killnet публикува доказателства за пробив във вътрешната авторизационна система на служители на Lockheed Martin.

*В началото на юли 2022 г. неизвестни лица обявиха за продажба база данни в тъмната мрежа, за която се твърди, че съдържа информация за милиард китайски граждани срещу 10 биткойна.

2023

*В средата на март 2023 г. неизвестен кибер престъпник (или група нападатели) под псевдонима Alliswell пусна за продажба в интернет обширен масив от данни, за които се твърди, че са откраднати от германския финансов конгломерат Deutsche Bank.

*На 9 март 2023 г. стана известно за хакване на ИТ системи на Acronis. Киберпрестъпникът пусна на обществеността повече от 12 GB от всички видове данни, включително файлове със сертификати и скриптове на Python.

*В началото на март 2023 г. стана известно за изтичане на данни на Acer. „Изтеклата“ база включва поверителна документация за модели на продукти, двоични файлове, файлове на вътрешната инфраструктура на производителя и друга секретна информация.

*Mediconglomerate News Corp Рупърт Мърдок в края на февруари 2023 г. заяви, че хакери са крали корпоративните данни на компанията в продължение на 2 години без да спират.

*На 20 февруари 2023 г. Министерството на отбраната на САЩ блокира публичен сървър, който съхранява вътрешни имейли от американската армия.

*Холандски хакер, арестуван през ноември 2022 г., получи и обяви за продажба пълното име, адрес и дата на раждане на почти всеки жител на Австрия.

*В средата на януари 2023 г. швейцарски изследовател на киберсигурността откри несигурен сървър, който беше оставен в публичното пространство в интернет. Той разкри огромно количество клиентски данни от американската национална авиокомпания CommuteAir, включително лична информация за близо 1000 служители.

*На 19 януари 2023 г. стана известно, че данните на около 37 милиона абонати на американския мобилен оператор T-Mobile са били откраднати от хакери.

2024

1. В началото на 2024 г. изследователите наблюдаваха масовото използване на критични уязвимости от нулев ден, съдържащи се в продуктите на Ivanti.

2. През февруари се появиха съобщения, че американският доставчик на здравни плащания, Change Healthcare, е бил засегнат от атака на рансъмуер.

Кибератаката доведе до забавяне на рецептите и други здравни услуги на пациентите в цялата страна.

Беше потвърдено, че компанията майка на Change Healthcare, UnitedHealth Group, е платила откуп от 22 милиона долара на извършителите, бандата ALPHV/BlackCat, за да възстанови системите си.

Впоследствие изглежда, че BlackCat е извършила „измама при излизане“, като се разпуска при получаване на плащане, без да плаща на своите филиали.

Главният изпълнителен директор на UnitedHealth Андрю Уити разкри, че нападателите са проникнали в системите на компанията чрез откраднати идентификационни данни, признавайки, че не е имало многофакторно удостоверяване (MFA), за да се предотврати проникването.

3. Рансъмуер атака срещу критичен доставчик на патологични услуги за болниците на NHS в Обединеното кралство, Synnovis, доведе до отмяна на хиляди операции и срещи през летните месеци.

Атаката е поета от рансъмуер бандата Qilin, която според съобщенията е публикувала 400 GB данни, откраднати от Synnovis на 20 юни.

4. На 8 януари един от най-големите ипотечни кредитори на дребно в Америка, LoanDepot, разкри, че е бил засегнат от значителна атака на рансъмуер, което го принуди да изключи някои от системите си.

Това доведе до това, че редица клиенти временно не можеха да плащат ипотеки.

В актуализация на 22 януари LoanDepot потвърди, че около 16,6 милиона от клиентите му са били откраднати при инцидента, включително номера на социални осигуровки и номера на финансови сметки.

5. През юни 2024 г. изследователите на Mandiant предупредиха, че заплаха е откраднал значителен обем клиентски данни от платформата за съхранение на данни в множество облаци Snowflake.

6. Кибератака през август срещу пристанището на Сиатъл, местна правителствена агенция, наблюдаваща морското пристанище на Сиатъл и международното летище Сиатъл-Такома (SEA), сериозно наруши пътуването до и от щата преди празника на Деня на труда в САЩ.

Потенциални канали за изтичане на данни

Методи на работа на кибер нападателите

Чрез закупуване на вътрешни служители:

• Разпитване на неспарведливо отхвърлени и обидени служещи.
• Купуване на инсайдери.
• Дигитализация на хартиени носители.

Чрез отдалечен мобилен достъп:

• Създаване на зловреден софтуер
• Прихващане на полезен трафик.
• Използване на стандартни инструменти за отдалечен достъп.

Чрез рециклиране на отпадъци:

• Възстановяване на данни.
• Събиране и препродажба на случайни, неформатирани, неактуални данни.

Чрез снимки без разрешение:

• Разпознаване на изображения.
• Отдалечен достъп до мобилни устройства.
• Хакване на социални мрежи.

Класически хакерски атаки:

Търсене на нови и използване на известни уязвимости в софтуера.

Виж още: Какво представлява файлът xmlrpc.php в WordPress и какво трябва да знаеш за сигурността на уебсайта?

2020: Метод за кражба на данни от изолирани компютри

На 6 февруари 2020 г. стана известно, че специалисти от университета „Бен Гурион“ в Израел са изобретили метод за кражба на данни от заразени, но физически изолирани компютри, който не изисква мрежова връзка или физически достъп до устройството. Техниката, обясниха изследователите, се основава на проследяване на малки промени в яркостта на LCD екран, които са невидими за окото.

Какво трябва да знаеш, за да се предпазиш от кражба на база данни

Най-ценната информация в корпоративната база данни е от най-висок приоритет.

Ето накратко някои технологии за сигурност, за да се намали вероятността от кражба на база данни:

1. Мониторинг на активността на базата данни. Автоматизирани инструменти за одит за достъп до база данни, използване и изпълнение на заявки. Те са особено ефективни при откриване на вътрешни заплахи за достъп до поверителни данни.

2. Технологии за предотвратяване на изтичане на данни. Добре настроеното DLP (Data loss prevention software) устройство може да предотврати някои случаи на пробиви в данните.

3. Управление на идентификациите на привилегиите. Контролиране чрез специални автоматизиращи софтуери на споделени административни акаунти и пароли, ненужни административни привилегии, разделяне на задълженията и промени на паролата.

4. Шлюзове за уеб сигурност. Междинните продукти (и услуги) за защита на достъпа до интернет се използват добре за защита на потребителите на интранет от злонамерен софтуер и вируси. Но тези технологии могат да се използват и като обратни прокси за проверка на съдържанието, изпратено до външно достъпен уеб сървър. Заедно с нарастването на XSS и SQL Injection атаките, тези устройства са спешна нужда като инструмент за отблъскване на заплахи от външни източници.

5. Многофакторно удостоверяване. То е предназначено предимно за предотвратяване на достъп на нарушители. Двуфакторното удостоверяване няма да попречи на хакер, който вече има достъп. Но налагането на двуфакторно удостоверяване на ниво уеб достъп може да предотврати измамно използване на идентификационни данни, дори ако потребителският идентификатор и паролата са станали известни.

Как да се предпазиш от излагане на опасност на чувствителни данни

Както разбираш паролите са все по-голям проблем. Броят на сайтове, онлайн услуги и инструменти, които използваме е огромен и за всеки от тях се иска парола, за да влезем.
Повечето хора използват много слаби пароли, и сякаш това не е достатъчно, ги употребяват в множество сайтове.

• Първо правило за сигурността на данните е да използваш силни, достатъчно дълги, състоящи се от цифри, малки и големи букви и знаци и винаги различни пароли; .
• Премахни некриптираните въпроси за сигурност и не използвай еднакви в различните сайтове;
• Не се доверявай на имейли, в които ти се подава някаква част от твоите данни и се искат допълнителни данни;
• Използвай многофакторно удостоверяване. В това направление има голям напредък в създаването на приложения за сигурно удостоверяване на личността (като например Microsoft Authenticator или Google Authenticator).

Как да провериш дали си жертва на кражба на данни?

Да знаеш дали твоите данни са част от откраднатите или не, няма особено практическо значение. Това е просто въпрос на желанието ти да знаеш или на начин за успокояване. Но ако например през последните няколко месеца си получавал няколко спам обаждания от чуждестранни номера с опит да ти продадат финансови инвестиции или др., много вероятно е телефонният ти номер да е вече в базите данни на спамерите. И за това не е необходима проверка.

За проверка дали твоят имейл адрес или телефон е в хакнати бази данни:  Have I been pwned?

Откраднати данни: как да се предпазиш

По отношение на вече откраднати данни, както в случаите с Facebook, се очаква те да бъдат използвани за фишинг измами. Очаквай, че най-вероятно ще получиш имейли, които са много подобни на истинските или с много надеждни текстови съобщения, приканващи да кликнеш върху връзка или да изтеглиш прикачен файл. В този случай си припомни практическите съвети за защита срещу фишинг: избягвай да кликваш върху съмнителни връзки, които пристигат по имейл или sms, WhatsApp и подобни, дори ако изглежда, че идват от твоята банка или от познати.

Избягвай да използваш телефонния номер, откраднат от Facebook като потвърждение при двуфакторна защита; по-добре да предпочетеш специални приложения за удостоверяване, като например Microsoft Authenticator или Google Authenticator.

Препоръчана проверка във Facebook

Отвори менюто горе вдясно с Настройки и поверителност–>Настройки–>Защита и вход (в лявата лента).

Тук в раздела Къде сте влезли ще бъдат изброени устройствата, от които е влязъл твоят акаунт във Facebook. Ако видиш такова, което не разпознаваш, това означава, че някой влиза във Facebook, използвайки твоите идентификационни данни и това вече е сериозно.

Не обръщай твърде много внимание на тази географската индикация, тъй като тя често е твърде неточна. Важен е видът на устройството и времето, по което е било осъществен достъпът.

В случай на непознат достъп щракни върху трите точки до неразпознатото устройство и кликни върху Изход. (по този начин ще изключиш това устройство). Ако си сигурен, че неоторизирани хора са имали достъп до твоя Facebook, е много важно да промениш паролата си и да активираш двуфакторна защита.

Източници на информация:

Tadviser

Ponemon.org

Infosecurity Magazine