Хэллоуин – самый пугающий сказочный день в году. Из-за бушующей пандемии коронавируса в этом году шумные костюмированные вечеринки уступили место домашнему просмотру фильмов ужасов и рассказам страшных историй в кругу семьи и друзей. Мало кто знает, но в киберпространстве много своих ужасающих историй.
К сожалению, в отличие от рассказов о Хэллоуине, эти события вполне реальны. Компания ESET вспомнила самые шокирующие и болезненные случаи утечки данных, счет жертв которых идет на сотни миллионов жителей Земли.
Marriott
В 2018 году одна из ведущих гостиничных сетей в мире Marriott International столкнулась со взломом своей базы данных бронирования. В Marriot признали, что личная информация 383 млн клиентов стала достоянием кибермошенников. Скомпрометированные данные гостей сети отелей включали комбинацию имени, почтового адреса, номера телефона, адреса электронной почты, номера паспорта, данных учетной записи Starwood Preferred Guest, даты рождения, пола, информации о прибытии и отбытии, даты бронирования. В некоторых случаях были скомпрометированы номера платежных карт и сроки их действия. Все эти данные могут использоваться в широком спектре атак, включая фишинг, атаки социальной инженерии, мошенничество с кредитными картами и мошенничество с идентификационными данными. Marriott International понесла расходы в размере $ 72 млн. При этом $ 71 млн возместила страховка. Тем не менее, Marriott все еще рискует получить крупный штраф от ведомства по защите данных Великобритании на сумму $123 млн.
Adult Friend Finder
В 2016 году хакеры взломали платформу знакомств и развлечений для взрослых FriendFinder Network. В результате более 412 млн учетных записей пользователей пополнили базы кибермошенников. Масштабная утечка включала 339 млн аккаунтов с сайта AdultFriendFinder.com, а также несколько миллионов удаленных аккаунтов, которые не были удалены из баз данных сайта. У киберпреступников оказались имена пользователей, адреса электронной почты, пароли, данные о членстве на сайте, информация о браузере и IP-адреса. Стоит отметить, что пароли, по-видимому, хранились либо в открытом виде, либо в зашифрованном виде SHA-1, что не является достаточной мерой безопасности. Скомпрометированные данные с сайта для взрослых угрожают репутации и могли использоваться для шантажа.
Equifax
В 2017 году Equifax, одно из крупнейших агентств кредитной информации в США, стало жертвой катастрофической утечки данных. Нарушение, которое длилось 78 дней, было вызвано уязвимостью в структуре веб-приложений Apache Struts. Хакеры, организовавшие инцидент, смогли перехватить личные данные почти 148 млн американцев, более 15 млн британцев и почти 20 тыс. канадцев. Сбор данных включал широкий спектр информации, позволяющей установить личность клиента финансовых структур, включая номера социального страхования, даты рождения и адреса. Все это могло быть использовано для мошенничества с идентификационными данными. Что касается денежного ущерба, нанесенного Equifax, то по оценкам самой компании, текущая сумма затрат, связанных с инцидентом кибербезопасности, составляет около $ 1,7 млрд.
eBay
Онлайн-площадка аукционов в 2014 году сообщила, что стала жертвой атаки, в результате которой пострадали 145 млн ее активных пользователей. По заявлению компании, столь масштабная утечка данных стала возможной из-за взлома небольшого количества учетных записей сотрудников eBay. В результате хакеры получили доступ к файлам с именами, электронными почтами и физическими адресами продавцов и покупателей на eBay. Такие данные злоумышленники могут использовать в различных формах кибератак на частных пользователей.
Target
В 2013 году одна из крупнейших розничных сетей США Target пострадала от взлома, который затронул более 41 млн счетов клиентов с платежными картами, а также контактную информацию более 60 млн покупателей торговой сети. В результате организованной утечки данных киберпреступники получили доступ к именам и адресам клиентов, а также к номерам кредитных и дебетовых карт, датам истечения срока их действия, зашифрованным PIN-кодам и кодам проверки кредитных карт. PIN-коды в системах Target были зашифрованы с помощью стандарта Triple Data Encryption Standard, что затрудняло их взлом. Но, используя информацию, полученную в результате взлома, хакеры могли идентифицировать себя, как настоящих владельцев банковских карт. После инцидента Target предложила услуги кредитного мониторинга и урегулировала коллективный иск на сумму $ 10 млн. Также компания пообещав выплатить до $ 10 тыс. всем клиентам, которые смогут доказать, что понесли убытки из-за утечки данных.
Безусловно, это лишь некоторые из страшных историй, которыми богат мир киберпреступности. Но они должны послужить предостережением как домашним пользователям, так и бизнесу – к информационной безопасности никогда нельзя относиться легкомысленно.