بزرگ‌ترین پرونده‌های نفوذ داده‌ای در سال ۲۰۱۹

نفوذ اطلاعاتی به انواع سرویس‌های آنلاین در سال ۲۰۱۹ نیز ادامه داشت و رخدادهای مشابهی را به‌خاطر اشتباهات مشابه امنیتی با سال‌های گذشته، رقم زد.

با نگاهی به سال ۲۰۱۹ میلادی که روزهای پایانی آن را سپری می‌کنیم، نفوذهای اطلاعاتی متعددی را در سازمان‌های کوچک و بزرگ شاهد هستیم. شاید در نگاه اول طرحی که از یک نفوذ اطلاعاتی به ذهن شما خطور کند، هکری با لباس سیاه در یک اتاق تاریک باشد که به صفحه‌ای تیره با کدهایی سبز، خیره شده است. البته تکراری‌ترین تصویر سال ۲۰۱۹، چنین شکلی نداشت.

تصویر رایج امنیتی سال ۲۰۱۹ را می‌توان مجموعه‌ای از مدیران اجرایی و متخصصان امنیت تصویر کرد که در اتاق‌هایی روشن نشسته‌اند. آن‌ها با وکلای حقوقی و متخصصان روابط عمومی تماس می‌گیرند و تنها به‌دنبال راهی برای عذرخواهی از کاربران هستند. خصوصیت مشترک آن‌ها، باز گذاشتن دیواره‌های امنیتی سرورها به‌روی عموم است.

کلمه‌ی «دیتابیس ناامن» در اخبار امنیتی سال ۲۰۱۹ به دفعات دیده شد. هر ماه شاهد بیانیه‌های متعدد از شرکت‌های گوناگون بودیم که از کاربران درخواست می‌کردند تا رمزهای عبور خود را تغییر داده و هرگونه خسارت امنیتی را گزارش دهند. شرکت‌های ارائه‌دهنده‌ی خدمات ابری مانند آمازون AWS و ElasticSearch نام خود را در داستان‌های خبری شرکت‌های قربانی می‌دیدند؛ شرکت‌هایی که در انواع حوزه‌ها از سلامت تا خدمات دولتی و موارد دیگر، فعال بودند. شرکت‌هایی که اطلاعات عمومی را با کمترین حفاظ‌های امنیتی در دنیای وحشی اینترنت رها کرده بودند تا هکرها با کمترین تلاش،‌ توانایی دستیابی به آن‌ها و خرید و فروش اطلاعات را داشته باشند.

داستان‌های امنیتی سال ۲۰۱۹، تنها تیترهای خبری با هدف جذب مخاطب نبودند. آمارها نشان می‌دهند که سال خوبی را از لحاظ امنیت در دنیای فناوری سپری نکردیم و تعداد نفوذهای اطلاعاتی (طبق گزارش شرکت امنیتی Risk Based Security)، با افزایش ۳۳ درصدی همراه بوده است. شرکت‌های خدمات پزشکی، خرده‌فروشی‌ها و سازمان‌های عمومی، بیشترین آمار نفوذ اطلاعاتی را به خود اختصاص داده‌اند. گزارش ادعا می‌کند که در سال ۲۰۱۹ شاهد ۵٫۱۸۳ نفوذ اطلاعاتی و افشای ۷/۹ میلیارد داده بوده‌ایم. شرکت مذکور، در ماه نوامبر، سال ۲۰۱۹ را بدترین سال تاریخ از لحاظ امنیت اطلاعاتی نام‌گذاری کرد.

نفوذ اطلاعاتی به‌صورت میانگین چه‌مقدار هزینه برای یک سازمان دارد؟ طبق آخرین آمارهای IBM، هزینه‌های تحمیل‌شده‌ی تحقیقات، کنترل خسارت، بازیابی و تعمیر، پرونده‌های حقوقی و جریمه‌ها به‌صورت میانگین به ۳/۹۲ میلیون دلار می‌رسد. آمار مذکور، رشد ۱۲ درصدی هزینه‌ها را در دوره‌ی پنج ساله نشان می‌دهد که سرعت آن نیز کاهش نمی‌یابد.

hack

از لحاظ آماری نمی‌توان هزینه‌ای را محاسبه کرد که هر نفوذ اطلاعاتی به کاربران وارد می‌کند. به‌علاوه نمی‌توان پیش‌بینی مناسب نیز از این هزینه برای سال ۲۰۲۰ داشت. اطلاعاتی همچون سریال گذرنامه، گزارش‌های پزشکی، اطلاعات حساب بانکی، اطلاعات شخصی شبکه‌های اجتماعی و موارد مشابه، در سال ۲۰۱۹ به سرقت رفتند. به‌بیان دیگر، حساس‌ترین داده‌های کاربران در معرض خطر نفوذ قرار داشت و میلیون‌ها نفر را مجبور به قرنطینه‌ی اطلاعاتی کرد.

زمان‌ و پولی که مردم برای رهایی از غفلت شرم‌آور برخی از شرکت‌های فناوری هزینه کردند، به‌راحتی محاسبه نمی‌شود. پیش‌بینی هزینه‌های آتی نیز به‌هیچ‌وجه ممکن نیست. برخی اعتقاد دارند در دوران کنونی که نفوذهای اطلاعاتی روز‌به‌روز افزایش می‌یابند، تعهد حفاظت از داده‌ها، برعهده‌ی خود اشخاص است. به‌هرحال تا زمانی‌که قوانین سخت‌گیرانه‌تری برای حفاظت از داده‌های کاربران برای شرکت‌ها وضع نشود و برنامه‌های جاسوسی دولت‌های گوناگون با هدف‌گیری شهروندان یکدیگر متوقف نشود، راهی به‌جز حفاظت شخصی از اطلاعات خود نداریم.

کاربران دنیای اینترنت باید در تلاش باشند تا داده‌های شخصی خود را از انواع نفوذ حفظ کنند. ازطرفی ضعف شرکت‌های فناوری را نمی‌توان نادیده گرفت. به‌هرحال امروز در وضعیت مناسبی از لحاظ نفوذ اطلاعاتی به سازمان‌ها به‌سر نمی‌بریم. شاید دراین‌میان نگاهی به گذشته و بزرگ‌ترین نفوذهایی که در سال ۲۰۱۹، شرکت‌های اطلاعاتی را هدف قرار داد، چشم‌اندازی روشن‌تر از وضعیت اطلاعاتی دنیای فناوری در اختیار ما قرار دهد.

ژانویه

گروه‌ هتل‌های ماریوت سال ۲۰۱۹ را با یک رکوردشکنی از لحاظ نفوذ اطلاعاتی شروع کرد. آن‌ها در گزارشی اعتراف کردند که مجرمان سایبری به اطلاعات ۳۸۳ میلیون میهمان هتل شامل سریال گذرنامه و اطلاعات کارت اعتباری دست پیدا کرده‌اند. آمار مذکور، بیش از دو برابر تعداد افرادی بود که در نفوذ اطلاعاتی به Equifax قربانی شدند. اگر آمارهای مذکور به‌اندازه‌ی کافی برای ماه ژانویه عجیب و بزرگ نبودند، به گزارش محقق امنیتی، تروی هانت، دقت کنید که آدرس ایمیل ۷۷۳ میلیون کاربر را به‌‌همراه مجموعه‌ی عظیم دیگری از داده در یک سرویس ابری ذخیره‌ی فایل پیدا کرد.

Data Breach

فوریه

دومین ماه سال میلادی، با اخباری شوکه‌کننده در حوزه‌ی امنیت آنلاین همراه بود. در بزرگ‌ترین نفوذ اطلاعاتی، ۶۱۷ میلیون حساب کاربری از ۱۶ وب‌سایت به سرقت رفت و برای فروش در دارک وب عرضه شد. سرویس‌هایی همچون Dubsmash، Armor Games، 500px، Whitepages و ShareThis جزو قربانی‌های نفوذ اطلاعاتی بودند. اطلاعات حساب‌های کاربری قربانیان این وب‌سایت‌ها با قیمتی کمتر از ۲۰ هزار دلار به‌صورت بیت‌کوین در دارک وب خرید و فروش می‌شد.

سرویس‌های پزشکی و خدمات دولتی، سهم عمده‌ای از اخبار نفوذ امنیتی را به خود اختصاص دادند

در کنار نفوذهای اطلاعاتی بزرگ ماه فوریه، شاهد رخدادهای کوچک‌تری نیز بودیم که توجه‌ها را به سرویس‌های پزشکی جلب کرد. به‌عنوان مثال یک مجرم سایبری اطلاعات ۱۵ هزار بیمار استرالیایی را برای دریافت باج، جمع‌آوری کرد. در نمونه‌ای دیگر، دسترسی غیرمجاز ایمیلی، اطلاعات ۳۲۶ هزار بیمار را در کنتیکت در معرض نفوذ قرار داد. بیماران ساکن واشینگتن آمریکا نیز از نفوذ اطلاعاتی در امان نبودند و اطلاعات نزدیک به یک میلیون نفر از آن‌ها در دیتابیسی باز در اختیار مجرمان سایبری قرار گرفت. گزارش امنیتی دیگری نیز اعلام کرد که ۲/۷ میلیون تماس با مراکز پزشکی سوئد، ضبط‌شده و در دسترس عموم قرار گرفت.

مارس

اطلاعات صدها میلیون کاربر اینستاگرام و فیسبوک به‌خاطر ضعف شرکت در سیستم مدیریت رمز عبور، در معرض خطر قرار گرفت. گزارش امنیتی دیگری نیز در آن ماه منتشر شد. در نفوذی اطلاعاتی که تقریبا کوچک‌تر از نمونه‌ی اول بود، ۲۵۰ هزار سند حقوقی افشا شد که در یک دیتابیس عمومی ذخیره شده بود.

امنیت

آوریل

فیسبوک در ماه آوریل نیز در صدر اخبار امنیتی قرار داشت. ۵۴۰ میلیون رکورد اطلاعاتی به‌خاطر قرار گرفتن نام کاربری، اطلاعات شخصی و رمز عبور کاربران در سرورهای ناامن، قربانی نفوذ اطلاعاتی شد. فیسبوک در همان ماه اعتراف کرد که رمز عبور میلیون‌ها کاربر اینستاگرام به‌صورت فایل متنی و در کمترین پیکربرندی امنیتی ذخیره شده بود.

اخبار امنیتی پیرامون فیسبوک، تنها رخدادهای نگران‌کننده در ماه آوریل نبودند. بزرگ‌ترین رخداد، به افشای ۱۲/۵ میلیون گزارش پزشکی از زنان باردار اختصاص داشت. اطلاعات مذکور از یک آژانس سلامت دولتی هند به سرقت رفته بود که داده‌ها را در سرورهایی با حفاظ‌های امنیتی ضعیف نگه‌داری می‌کرد.

مه

خبر بزرگ امنیتی در ماه مه به افشای اطلاعات صدها میلیون سند بیمه‌ای اختصاص داشت که از غول املاک و مستغلات آمریکا، First American Financial Corp به‌سرقت رفت. در این ماه، برخی از بزرگان صنایع غذایی نیز دچار نفوذهای امنیتی شدند. برگرکینگ به‌خاطر استفاده از یک دیتابیس ناامن، اطلاعات کاربری ۴۰ هزار مشتری فروشگاه KoolKing را در معرض خطر قرار داد. مشتریان فروشگاه مذکور، عمومی کودکان هستند.

از اخبار مهم امنیتی ماه مه می‌توان به رقابت دو شرکت تأمین تغذیه‌ی مدرسه در آمریکا اشاره کرد که منجر به یک جنگ سایبری شد. درنهایت مدیر مالی یکی از رقبا، به‌خاطر نفوذ اطلاعاتی به وب‌سایت رقیب و افشای اطلاعاتی دانش‌آموزان آن‌ها، دستگیر شد.

سرقت داده / Data Breach

ژوئن

نفوذ اطلاعاتی به شرکت‌های خدمات سلامت در میانه‌ی سال میلادی نیز ادامه داشت. اطلاعات ۲۰ میلیون بیمار پس از هک شدن سرورهای شرکت American Medical Collection Association به‌سرقت رفت. درنتیجه‌ی رخداد مذکور، پرونده‌های حقوقی متعددی علیه AMCA و پیمانکارهای آن‌ به جریان افتاد. پرونده‌های مذکور، به‌خاطر افشای اطلاعات پرداختی بیماران، شماره‌های شناسایی بیمه، اطلاعات پزشکی، تاریخ تولد، شماره‌ی تماس، آدرس و موارد دیگر، علیه سازمان مطرح شدند. درنهایت AMCA تحت فشار مالی بسیار زیاد برای پرداخت جریمه، اعلام ورشکستگی کرد.

ژوئیه

جریمه‌ی برخی از نفوذهای امنیتی منجر به ورشکستگی سازمان قربانی شد

بانک Capital One اخبار مهم امنیتی ماه ژوئیه را به خود اختصاص داد. اطلاعات ۱۰۰ میلیون فرم درخواست کارت اعتباری، ۱۴۰ هزار شماره‌‌ی خدمات اجتماعی و ۸۰ هزار شماره‌ی حساب بانکی به سرقت رفت. داده‌های به‌سرقت رفته شامل اطلاعات شخصی مهمی همچون نام، آدرس، کد پستی، شماره‌ی تماس و تاریخ تولد افراد بود. نفوذ اطلاعاتی مذکور، ضربه‌ی سختی به بانک کپیتال وان وارد کرد و منجر به دستگیر کارمند بخش فنی آن‌ها پیج ای تامسون شد که طبق ادعای FBA، در نفوذ اطلاعاتی نقش داشت.

در ماه ژوئیه چند خبر اطلاعاتی دیگر نیز در رسانه‌ها منتشر شد که اهمیت بالایی داشت. Equifax که در سال ۲۰۱۷ یک پرونده‌ی نفوذ عظیم داشت، محکوم به پرداخت ۷۰۰ میلیون دلار جریمه شد. در همان ماه، فیسبوک، جریمه‌ای پنج میلیارد دلاری را به‌خاطر رسوایی اطلاعاتی کمبریج آنالیتیکا پذیرفت.

data

اوت

کاربران سرویس MoviePass در ماه اوت با خبری شوکه‌کننده روبه‌رو شدند. یک بازرسی امنیتی از سرویس مذکور اعلام کرد که ۱۶۰ میلیون رکورد اطلاعاتی به‌صورت رمزنگاری نشده و بدون رمز عبور در دیتابیس شرکت ذخیره شده است. درنتیجه‌ی چنین سهل‌انگاری امنیتی، اطلاعات کارت اعتباری کاربران در معرض نفوذ قرار گرفته بود. در همان زمان یک نفوذ اطلاعاتی عظیم در بریتانیا رخ داد که ۲۷/۸ میلیون اطلاعات بیومتریکی را افشا کرد. اطلاعات مذکور توسط سازمان پلیس، بانک‌ها و سازمان‌های دیگر نگه‌داری می‌شد.

اخبار مهم دیگر در ماه اوت به سرویس‌های دوست‌یابی اختصاص داشت که ضعف امنیتی آن‌ها را در رسانه‌ها علنی می‌کرد. تعدادی از سرویس‌های مشهور این حوزه به‌خاطر ضعف‌های امنیتی مجبور به پاسخ به مقام‌های حقوقی شدند.

سپتامبر

بیش از ۲۱۸ میلیون حساب کاربری بازی Words with Friends در یک نفوذ اطلاعاتی به سرقت رفت. در میان اطلاعات مذکور، داده‌های مهمی همچون آدرس ایمیل، نام، مشخصات ورود حساب کاربری و داده‌های دیگر دیده می‌شد. مجرم سایبری با نفوذ به یکی از دیتابیس‌های بازی، کاربرانی را هدف گرفت که بازی را پیش از ارائه‌ی به‌روزرسانی امنیتی حیاتی نصب کرده بودند.

خبر مهم دیگر ماه سپتامبر در حوزه‌ی امنیت، از لحاظ تعداد قربانی کوچک‌تر از خبر اول بود، اما خطر بیشتری را به‌همراه داشت. یک دیتابیس دولتی با پیکربندی اشتباه امنیتی در این ماه مورد نفوذ قرار گرفت که داده‌های ۲۰/۸ میلیون کاربر اکوادوری را افشا کرد. شایان ذکر است جمعیت رسمی اکوادور، ۱۷/۵ میلیون نفر گزارش می‌شود. در میان اطلاعات به‌سرقت رفته، داده‌های تولد، وضعیت تعهل و شماره‌های ملی افراد دیده می‌شد. آدرس کامل محل سکونت، اطلاعات فرزندان، شماره‌های تماس و گزارش‌های آماری تحصیلی نیز در بخشی از اطلاعات، به‌ سرقت رفت.

سرقت داده‌های اگزکتیس / Exactis Data Breach

اکتبر

پیکربندی ناامن سرورهای Elasticsearch باعث شد تا اطلاعات کاربری چهار میلیارد کاربر رسانه‌های اجتماعی افشا شود. در این افشاسازی، اطلاعات ۱/۲ میلیارد کاربر منحصربه‌فرد دیده می‌شد که آماری شوکه‌کننده بود. نفوذ اطلاعاتی مذکور را می‌توان یکی از بزرگ‌ترین رخدادهای امنیتی معاصر دانست.

دیتابیس ناامن، کلیدواژه‌ی اکثر نفوذهای داده‌ای بود

شرکت ادوبی خبر بزرگ امنیتی دیگر را در ماه اکتبر به خود اختصاص داد. ۷/۵ میلیون اطلاعات کاربری سرویس Creative Cloud در یک دیتابیس ناامن نگه‌داری می‌شد که در معرض نفوذ اطلاعاتی قرار داشت. در همین ماه، خبری از سرویس روسی Motherland به رسانه‌ها راه یافت. گزارش‌‌های مالیاتی ۲۰ میلیون شهروند روسیه در یک دیتابیس باز نگه‌داری می‌شد و تقریبا هر فردی به آن‌ها دسترسی داشت. اطلاعات مذکور، سال‌های ۲۰۰۹ تا ۲۰۱۶ را پوشش می‌داد.

نوامبر

در میان اخبار امنیتی ماه نوامبر، نمونه‌هایی ناشی از اشتباه یا عملکرد مخرب کارمندان دیده می‌شود. فیسبوک در این ماه بار دیگر به صدر اخبار آمد. آن‌ها دسترسی نامناسب به داده‌های کاربری را به حدود ۱۰۰ میلیون توسعه‌دهنده‌ی اپلیکیشن داده بودند. در ماه نوامبر، خبر یک نفوذ سابق نیز در رسانه‌ها منتشر شد. یکی از کارمندان خراب‌کار شرکت امنیتی Trend Micro، اطلاعات شخصی بیش از ۷۰ هزار مشتری شرکت را به سرقت برد و از آن‌ها برای اخاذی استفاده کرد.

امنیت / security

دسامبر

بیش از ۱۰۰ زن در دادگاهی علیه یک سیاست‌مدار سابق هلندی شرکت کردند که اطلاعات و تصاویر شخصی آن‌ها را به‌صورت عمومی منتشر کرده بود. این سیاست‌مدار سابق با استفاده از اطلاعاتی که به‌خاطر نفوذهای امنیتی قبلی به دیتابیس‌های عمومی در دسترسش قرار گرفته بود، به حساب کاربری آی‌کلاد قربانیان نفوذ کرده و اطلاعات آن‌ها را منتشر کرد. شاکیان درخواست حداقل سه سال زندان برای او داشتند که ظاهرا دادگاه نهایی نیز رأی به همین حکم داد.

اخبار امنیتی سال ۲۰۱۹، نفوذهای امنیتی متعددی را به شرکت‌های فناوری و سازمان‌هایی نشان می‌دهد که از زیرساخت‌های فناوری برای نگه‌داری داده‌های کاربران استفاده می‌کنند. دراین‌میان علاوه بر وظیفه‌ی کاربران مبنی بر پیاده‌سازی راهکارهای امنیتی در حساب‌های کاربری، وظیفه‌ی سازمان‌ها و مدیران امنیتی و فناوری آن‌ها نیز بسیار مهم به‌نظر می‌رسد. شاید قوانین سخت‌گیرانه‌تر و جریمه‌های شدیدتر برای سهل‌انگاری امنیتی شرکت‌ها، بتواند باعث پیاده‌سازی زیرساخت‌های امن‌تر در آن‌ها شود.

منبع cnet

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید