Nasi stali czytelnicy na pewno pamiętają, że co jakiś czas w poniedziałkowych newsach pojawiały się informacje o wyciekach danych. Dawno o tym nie pisaliśmy, co nie znaczy, że dane nie pojawiają się na cyber-forach, albo skończył się proceder nielegalnego zdobywania i dystrybucji informacji. Aby o tym przypomnieć opiszemy trzy ostatnie wycieki. Jeden z Polski, dwa ze Stanów.
Wyciek danych z sexshop.com.pl
W drugim tygodniu września Niebezpiecznik poinformowało „pikantnym wycieku”. Dane co najmniej części (a może nawet wszystkich) klientów sexshop.com.pl, polskiego sklepu z gadżetami erotycznymi i afrodyzjakami, zostały wykradzione. Nieznana jest skala problemu ani ilość informacji, które znalazły się w niepowołanych rękach. Niemniej według tego zacnego portalu poświęconemu bezpieczeństwu w Internecie znajduje się fragmentem danych, które rzekomo miały wyciec ze sklepu Sexshop.com.pl. Plik, który dane było zobaczyć redaktorom to ok. 200 zamówień, a więc na pewno nie jest to cała baza klientów. Dane były całkiem dokładne i można było powiązać min. imię i nazwisko kupującego z dokładnym opisem zamówionych produktów. Prawdziwa gratka dla fanów internetowego „bullyingu”.
Wyciek danych 46 tysięcy weteranów wojennych w USA
Z kolei w Stanach Zjednoczonych w niedawnym incydencie związanym z bezpieczeństwem dane osobowe około 46 000 weteranów zostały naruszone, podało Biuro Zarządzania Departamentu Spraw Weteranów (VA) w USA w poniedziałkowym oświadczeniu. Znając estymę jaką darzeni są weterani w Stanach Zjednoczonych i jaką wartość przywiązuje się do ich służby, na pewno jest to spore wydarzenie o znacznym kalibrze pr-owym. Naruszenie danych dotyczyło aplikacji online Centrum Usług Finansowych (FSC), do której dostęp mieli „nieupoważnieni użytkownicy w celu przekierowania płatności na rzecz lokalnych dostawców opieki zdrowotnej za leczenie weteranów”. Aplikacja została przełączona w tryb offline, a incydent został zgłoszony do biura ochrony prywatności VA.
Dochodzenie w sprawie incydentu ujawniło, że hakerzy zmodyfikowali informacje finansowe, gdy uzyskali dostęp do aplikacji. Korzystając z inżynierii społecznej i protokołów uwierzytelniania, napastnicy mogli następnie przekierowywać płatności.
„Aby w przyszłości zapobiec niewłaściwemu dostępowi do informacji i ich modyfikacjom, dostęp do systemu nie zostanie ponownie włączony, dopóki Biuro Technologii Informatycznych VA nie zakończy kompleksowego przeglądu bezpieczeństwa” – ujawniało Biuro Zarządzania Departamentu Spraw Weteranów.
Jednocześnie zaczęło również ostrzegać poszkodowanych weteranów o incydencie i potencjalnym zagrożeniu ujawnieniem danych osobowych. W przypadku osób zmarłych ostrzega się najbliższych krewnych. Departament Spraw Weteranów powiedział, że osobom, których podczas incydentu mogły zostać narażone numery ubezpieczenia społecznego, oferuje się dostęp do usług monitorowania kredytów.
Wyciek danych 8,3 miliona użytkowników z witryn Freepik i Flaticon
Innym wyciekiem tym razem szokującym ze względu na skale jest wyciek z Freepik, organizacji stojącej za witrynami Freepik i Flaticon, które dotknęło około 8,3 miliona użytkowników.
Freepik to wyszukiwarka, która zapewnia użytkownikom dostęp do wysokiej jakości zasobów graficznych, w tym obrazów, wektorów, ilustracji i tym podobnych. Na Flaticon użytkownicy mogą znaleźć ponad 3 miliony ikon wektorowych w różnych formatach plików.
Jak wyjaśnia firma Freepik, osoby atakujące wykorzystały lukę w zabezpieczeniach typu SQL injection we Flaticon, która umożliwiła im dostęp do informacji o użytkowniku: „W naszej analizie kryminalistycznej ustaliliśmy, że osoba atakująca wyodrębniła wiadomość e-mail i, o ile jest dostępny, skrót hasła najstarszych użytkowników. Aby wyjaśnić, skrót hasła nie jest hasłem i nie można go użyć do zalogowania się na konto”.
Firma ujawnia, że dla 4,5 miliona użytkowników, których dotyczy problem, nie wyciekło żadne zaszyfrowane hasło, ponieważ używane były wyłącznie federacyjne loginy (z Google, Facebook i / lub Twitter). W przypadku tych użytkowników wyciekł tylko adres e-mail. W przypadku 3,77 miliona użytkowników wyciekł zarówno adres e-mail, jak i skrót hasła.
„Użytkownicy, którym hasło zostało zaszyfrowane za pomocą bcrypt, otrzymali wiadomość e-mail z sugestią zmiany hasła, zwłaszcza jeśli było to łatwe do odgadnięcia. Użytkownicy, którym wyciekła tylko wiadomość e-mail, zostali powiadomieni, ale nie są wymagane żadne specjalne działania” – ogłosiła firma.
Freepik dodał również, że regularnie skanuje hasła i wiadomości e-mail, które wyciekły w Internecie, aby zidentyfikować te, które pasują do danych uwierzytelniających użytkowników Freepik i Flaticon, oraz że wyłącza wszelkie ujawnione hasła, jednocześnie powiadamiając użytkowników, których dotyczy problem.