Az auth0 Blog félévente összeállít egy listát az adott időszakban bekövetkezett legsúlyosabb adatsértésekről. Idén az első félév során a legsúlyosabb adatsértések okai az emberi hibák, a ransomware támadások, a hitelesítő adatokon alapuló támadások, a harmadik felek biztonsági rései és az észrevétlen biztonsági hiányosságok.
Az alábbiakban hat kiemelkedő adatsértést mutatunk be 2021 1. és 2. negyedévéből, valamint azt, hogy a szervezetek mit tanulhatnak ezekből.
1. Több, mint 30 000 szervezet szerepel a Microsoftot érintő adatsértésben
2021. március 2-án számolt be a Microsoft a Hafnium nevű kínai hackercsoport államilag támogatott kibertámadásáról. A támadás több mint 30.000 szervezetet érintett az Egyesült Államokban, beleértve a helyi kormányokat, kormányzati szerveket és vállalkozásokat. Az elmúlt 12 hónap során ez a nyolcadik eset, amikor nemzetállami internetes támadást indítanak civil szervezetek és vállalkozások ellen a Microsoft jelentése szerint.
Hogyan történt: A Microsoftot érintő adatsértést egy kifinomult nulla napos (vagy „zero day”, vagyis amikor a támadás során még ismeretlen szoftveres vagy hardveres sérülékenységet használnak ki a kiberbűnözők) hacker kampány útján hajtották végre, amely több százezer helyi Microsoft Exchange kiszolgálót célzott meg. A Hafnium ellopott jelszavak és korábban nem észlelt sebezhetőségek kombinációján keresztül jutott el a helyszíni szerverekhez. Ezután a Hafnium létrehozott egy hozzáférést azokon a szervereken, amelyek biztosították számukra az e-mail adatok távoli ellopását.
Közzétett adatok: a támadás az egyes szervezetek e-mailjeit tárta fel.
Tanulság a szervezetek számára: A helyszíni, harmadik féltől származó szoftvereket folyamatosan frissíteni kell. A Hafnium a Microsoft szoftverének fel nem fedezett biztonsági rései miatt volt képes végrehajtani ezt a támadást. Bár a Microsoft kiadta a támadás során kihasznált biztonsági rések kijavítására szolgáló frissítéseket, ügyfeleiket továbbra is veszély fenyegeti, ha nem végzik el azokat.
2. Több mint 220 millió brazil állampolgár van kitéve egy nagyobb adatszivárgásnak
2021. január 19-én a biztonsági kutatók több, mint 220 millió brazil állampolgárhoz tartozó rendkívül érzékeny személyes adatot fedeztek fel, melyeket online értékesítésre kínáltak. Ez a szám nagyobb, mint Brazília jelenlegi lakossága, és több, mint 104 autó és 40 millió vállalat részletes adatait takarja.
Hogyan történt: Nem világos, hogy ez az adatsértéspontosan hogyan történt. Az adatok jellege azt sugallja, hogy a Serasa-tól, az Experian hiteliroda brazil leányvállalatától származhatnak. Egy vizsgálat után azonban a Serasa és az Experian nem találtak bizonyítékot arra, hogy rendszereiket veszélyeztették volna. A Procon brazil fogyasztóvédelmi alapítvány folytatta a nyomozást. Fernando Capez, a Procon ügyvezető igazgatójának magyarázata szerint: „Egy hipotézist sem zártunk ki, és jelenleg valószínűbbnek tartjuk, hogy a szivárgás nem a hackerek miatt történt, hanem a vállalatokon belülről származik".
Közzétett adatok: E jogsértés során kiszivárgott adatok szinte az egész brazil lakosságot érintették, beleértve a személyi adóazonosító számokat, születésnapokat, teljes neveket, címeket, személyes pénzügyiadatokat, szociális ellátásokra vonatkozó információkat és egyebeket.
Tanulság a szervezetek számára: Az adatssértés okának tisztázatlansága megnehezíti a konkrét tanulság levonását. Érdemes azonban megjegyezni, hogy az EU GDPR-hoz hasonlóan a brazíliai adatvédelmi törvény hatással van a Brazílián kívüli vállalkozásokra is. A törvényszegés akár 9 millió USD-ig terjedő szankciót is vonhat maga után.
3. Több mint 533 millió Facebook felhasználó személyes információja szivárgott ki
2021. április 3-án hackerek ingyenesen közzétettek egy 533 millió Facebook-felhasználó személyes adatait tartalmazó adatbázist egy hacker fórumon. Az adatok olyan információkat tartalmaztak, amelyek 106 különböző országból származó személyek azonosítására alkalmasak, főként az Egyesült Államokból, az Egyesült Királyságból és Indiából.
Hogyan történt a jogsértés: A Facebook bejelentette, hogy bűnözők szerezték meg az adatokat a szervereikről, azok helytelen konfigurációs beállításaik miatt.
Közzétett adatok: A kiszivárgott adatbázis személyes adatokat tartalmazott, például telefonszámokat, Facebook azonosítókat, neveket, születésnapokat, sőt néhány e-mail címet is, amelyek felhasználhatók a jövőben az egyének elleni social engineering típusú támadások széleskörű végrehajtására.
Tanulság a szervezetek számára: Fontos megkeresni és kijavítani a hibás konfigurációkat, mielőtt a kiberbűnözők felfedeznék azokat. A Verizon 2020-as adatsértés jelentése megállapította, hogy 2015 óta gyarapodtak azok a konfigurációs hibák, amelyek az idei Facebook adatsértést okozták. A Verizon jelentése azt is elismerte, hogy e téves konfigurációk többségét a biztonsági kutatók fedezik fel, nem pedig a kiberbűnözők. A Facebook adatsértés azonban emlékeztet minden szervezetet arra, hogy rendszereik sérülékenységvizsgálata hasznos befektetés.
4. 17 szervezet az Accellion adatsértésben
2020 decemberében a fájlátviteli és együttműködési szoftverszolgáltató, az Accellion nulla napos sebezhetőséget fedezett fel a File Transfer Appliance (FTA) szolgáltatásukban, amelynek élettartama végén az Accellion javítást is adott ki. Januárban további négy javítást tettek közzé azoknak a sebezhető pontoknak a felszámolására, amelyekkel a számítógépes bűnözők az FTA-szolgáltatáson keresztül támadták meg ügyfeleiket. A Clop ransomware csoport és a FIN11 pénzügyi bűncselekmények csoportja azonban 17 ügyfélnél kihasználta ezeket a biztonsági réseket, mielőtt azok frissítették volna a szoftverüket. E szervezetek közé tartozott az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériuma, a Kaliforniai Egyetem és a HealthNet. Az Accellionnak most több amerikai államban perekkel kell szembenéznie a jogsértések miatt.
Hogyan történt a jogsértés: A hackerek SQL injekció segítségével fértek hozzá a kiszolgálóhoz az Accellion FTA rendszerével. Ez biztosította a távoli hozzáférést, amelyet felhasználhattak információk ellopására és nyomaik eltüntetéséhez a rendszernaplókból.
Közzétett adatok: Az Accellion szabadkereskedelmi rendszerét rendkívül érzékeny fájlok küldésére tervezték. Noha a szoftverükön keresztül eljutott információk jellege az ügyfelek üzleti tevékenységének jellegétől függ, nagyon valószínű, hogy értékes információkhoz juthattak a kiberbűnözők.
Tanulság a szervezetek számára: A harmadik felektől származó szoftvereket a javítások megjelenését követően a lehető leghamarabb érdemes frissíteni. Az Accellion esete emlékeztet arra, hogy a helyszíni, harmadik féltől származó szoftverek sebezhetőséget okoznak a szervezetek számára, ha nem tartják naprakészen azokat.
5. Az automatikus pénzátutalási rendszerek (AFTS) támadásában érintett milliók
2021. február 3. és 4. között egy harmadik fél fizetési feldolgozó rendszere, az AFTS olyan ransomware támadást tapasztalt, amely millióik adatainak megsértéséhez vezetett. Az AFTS Észak-Amerika helyi önkormányzatai számára folyósítja a kifizetéseket; a becslések szerint csak Kaliforniában körülbelül 38 millió gépjármű-tulajdonost érintett a jogsértés. Több helyi önkormányzat is közleményben magyarázta el, hogy a jogsértés miként érintheti lakóikat. A támadást a Cuba Ransomware, egy kiberbűnözői csoport hajtotta végre, amely Észak-Amerikában és Európában az elmúlt években számos pénzügyi, logisztikai és technológiai szervezet elleni támadásért felelős.
Hogyan történt a jogsértés: Jelenleg nem világos, hogy a ransomware hogyan került be az AFTS rendszereibe. A ransomware azonban leggyakrabban egy fertőzött webhely felkeresésével vagy adathalász e-mailen keresztül telepíthető.
Közzétett adatok: A Cuba Ransomware internetes oldala szerint a kiszivárogtatott fájlok között pénzügyi dokumentumok, a banki alkalmazottakkal folytatott levelezés, a számlamozgások, a mérlegek és az adóügyi dokumentumok szerepeltek.
Tanulság a szervezetek számára: A ransomware-védelem és a harmadik féltől származó kockázatkezelés kiemelten fontos. A Ponenon Institute és a CyberGRX tanulmánya szerint a szervezetek legalább 53%-ánál egy vagy több adatszegést egy harmadik fél okozott, akivel együtt dolgoztak. Tehát hasonlóan a listán szereplő többi jogsértéshez, az AFTS elleni incidens is növeli a harmadik féltől származó kockázatok kezelésének, valamint a szervezet védelmének szükségességét a ransomware ellen.
6. A MeetMindful adatsértés 2.28 millió felhasználó adatait tárta fel
2021. január 20-án egy jól ismert hackeroldalon közzétettek egy 1,2 GB-os fájlt, amely 2,28 millió ember személyes adatait tartalmazta, akik a MeetMindful online társkereső szolgáltatásait használják. A MeetMindful vizsgálata arra a következtetésre jutott, hogy a jogsértés csak azokat a felhasználókat érintette, akik 2020 márciusa előtt hozták létre vagy frissítették fiókjaikat.
Hogyan történt a jogsértés: A MeetMindful megállapította, hogy a kiberbűnözők a rendszerük azóta javított sérülékenysége révén hozzáférhettek az adatokhoz.
Közzétett adatok: A MeetMindful közleménye szerint a keresztnevek, e-mail címek, a város és az állam helyinformációi, valamint az értesítési beállítások mind szerepelnek a kiadott fájlban. A szabálysértésben nem szivárgott ki pénzügyi vagy a felhasználók által létrehozott tartalom (üzenetek, fotók stb.).
Tanulság a szervezetek számára: A kiberbűnözők mindig olyan biztonsági hiányosságokat keresnek, amelyeket a hétköznapi felhasználó számára észrevehetetlenek. Etikus hackerek alkalmazása segíthet megtalálni ezeket a hiányosságokat, mielőtt az igazi kiberbűnözők találnák meg azokat.
Még az alapvető információk is veszélyt jelenthetnek, ha kiszivárognak
A listán szereplő jogsértések közül több olyan információra korlátozódott, amelyet sokan természetüknél fogva nem tartanának kényesnek. Bár jó, hogy a vállalatok lépéseket tesznek a legérzékenyebb adataik védelme érdekében, azt is fontos megjegyezni, hogy az alapvető információk kiszivárogtatása szintén káros lehet azok számára, akik függenek az adott szervezettől.
Például egy e-mail cím és egy név nem tűnhet bizalmas adatnak. De néha csak ezek az egyszerű információk szükségesek ahhoz, hogy létrehozzanak egy olyan adathalász e-mailt, amely elég meggyőző, hogy valaki érzékenyebb dolgokat adjon át.
Minden szervezet érdeke, hogy ügyfeleinek és alkalmazottainak minden adata védve legyen az illetéktelen hozzáférések ellen. Az egyik szervezetnél bekövetkezett jogsértés elvezethet a másik szervezethez is.
Érdemes beruházni a védelembe
Az egyre szofisztikáltabb támadások megelőzése és kivédése azok összetettsége miatt nem ritkán meghaladja a cégek saját kapacitását. Sok szervezet számára az IT-biztonságot garantáló védelmi rendszer megteremtését, a pénzügyi szempontokat is mérlegelve érdemes külső szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szakmai tudással és technológiai háttérrel. Ilyen szolgáltató az Antenna Hungária, amely IT védelmi szolgáltatásai segítenek az adatszivárgás elkerülésében, valamint az adatvédelem megerősítésében.
Források:
- The Worst Data Breaches of 2021 (Q1 and Q2)
- The 9 Worst Recent Data Breaches of 2020
- The 11 Biggest Data Breaches of 2020 (So Far)