11 minute read
Největší bezpečnostní incidenty roku 2021
MICHALA BENEŠOVSKÁ
Rok 2021 byl rekordní z hlediska narušení bezpečnosti dat. Ostatně tento trend sledujeme už několik let po sobě. Podle průzkumu ITRC (Identity Theft Resource Center) celkový počet narušení bezpečnosti dat do 30. září 2021 již překročil celkový počet událostí v roce 2020 o 17 %, přičemž v roce 2021 došlo k 1 291 narušením oproti 1 108 narušením v roce 2020.
Mezi nejohroženější a nejvíce zasažené patřil zejména sektor výroby a veřejných služeb, kde došlo ke 48 kompromitacím, které měly dopad na celkem 48 294 629 obětí. Následovalo odvětví zdravotnictví se 78 kompromitacemi a více než sedmi miliony obětí. Mezi další odvětví s více než 1 milionem obětí patřily finanční služby (1,6 milionu obětí), státní správa (1,4 milionu obětí) a profesionální služby (1,5 milionu obětí).
Alarmující čísla narušení a ohromující počet obětí jasně ukazují, jak je oblast kybernetické bezpečnosti v dnešní době důležitá. Přesto je znepokojivé, že se zvýšila netransparentnost oznámení o narušení na úrovni organizací i státní správy.
Narušení bezpečnosti dat se staly běžným jevem a úniky a kompromitace dat se nevyhýbají ani velkým a významným společnostem. Pojďme si zrekapitulovat některé z incidentů, které se odehrály v minulém roce.
Únik dat zasáhl přes 100 milionů uživatelů systému Android
V květnu minulého roku objevili bezpečnostní výzkumníci osobní údaje více než 100 milionů uživatelů systému Android, které byly ohroženy kvůli několika chybným konfiguracím cloudových služeb. Nechráněné databáze v reálném čase používalo 23 aplikací, přičemž počet stažených dat se pohyboval od 10 000 do deseti milionů a zahrnoval i interní zdroje vývojářů.
Výzkumníci společnosti Check Point zjistili, že kdokoli mohl získat přístup k citlivým a osobním údajům, včetně jmen, e-mailových adres, dat narození, zpráv v chatu, polohy, pohlaví, hesel, fotografií, platebních informací, telefonních čísel a push oznámení.
Kromě toho z 23 aplikací, které výzkumníci společnosti Check Point analyzovali, jich měla desítka v Google Play více než deset milionů instalací. Většina z nich měla nechráněnou databázi v reálném čase, což vystavovalo citlivé informace o uživatelích. Ačkoli chybně nakonfigurované databáze nejsou překvapením, zjištění poukazují na nedostatek základních bezpečnostních postupů v mnoha aplikacích a ohrožení osobních údajů uživatelů. Údaje více než 106 milionů návštěvníků Thajska si mohl prohlédnout kdokoliv
V srpnu narazil výzkumník v oblasti kybernetické bezpečnosti společnosti Comparitech Bob Djačenko na internetu na vlastní údaje poté, co objevil nezabezpečenou databázi, která obsahovala osobní údaje milionů návštěvníků Thajska.
Nechráněná databáze Elasticsearch byla stará deset let a obsahovala osobní údaje více než 106 milionů zahraničních cestujících, včetně data příjezdu, jména, pohlaví, čísla pasu, typu víza a podobně. Djačenko upozornil thajské úřady, které incident uznaly a následující den údaje zajistily.
Děravá chatovací aplikace ohrozila data 150 milionů uživatelů
Íránská sociální aplikace pro zasílání zpráv Raychat utrpěla v minulém roce rozsáhlý únik dat. Miliony jejích uživatelských záznamů byly vystaveny internetu a poté zničeny kybernetickým útokem, na němž se podílel bot. Podle zprávy serveru Gizmodo společnost ukládala uživatelská data do špatně nakonfigurované databáze MongoDB, což je databáze NoSQL používaná společnostmi, které zpracovávají velké objemy uživatelských dat. Při špatné konfiguraci databáze mohou být zranitelné miliony dokumentů. Djačenko, který narušení objevil, uvedl, že zranitelnost našel pomocí veřejně přístupných vyhledávacích nástrojů s otevřeným zdrojovým kódem. Djačenko serveru Gizmodo sdělil, že několik databází NoSQL, jako je Mongo, je cílem „botových útoků provozovaných škodlivými aktéry, kteří prohledávají internet a hledají otevřené a nechráněné databáze a vymazávají jejich obsah, přičemž po sobě zanechávají žádost výkupné“.
Webchat pro dospělé a 200 milionů záznamů v ohrožení
Djačenko objevil databázi Elasticsearch obsahující 200 milionů záznamů patřících Stripchatu – webcam stránce pro dospělé. Databáze obsahovala 65 milionů uživatelských záznamů, které obsahovaly e-mailové adresy, IP adresy, množství „spropitného“, které uživatelé poskytli modelkám, časový údaj o tom, kdy byl účet vytvořen, a poslední platební aktivitu.
Djačenko také našel další databázi obsahující asi 421 000 záznamů o modelkách této platformy, včetně uživatelských jmen, pohlaví, ID, nabídek a cen spropitného, stavu živého účtu a „strip-skóre“.
Max Bennet ze Stripchatu sdělil Threatpostu e-mailem, že: „Byly odhaleny informace o 134 milionech uskutečněných transakcí, nicméně nedošlo k úniku informací týkajících se platebních údajů. Nakonec byly (odhaleny) informace o nejméně 719 000 chatových zprávách. Žádný obsah soukromých zpráv však odhalen nebyl.“
Djačenko uvedl, že odhalení může představovat riziko jak pro diváky Stripchatu, tak pro modelky.
Správa sociálních médií nebyla správná, aneb 214 milionů údajů na pospas
Výzkumníci z organizace Safety Detectives pod vedením Anuraga Sena objevili server patřící společnosti Socialarks, která se zabývá přeshraniční správou sociálních médií, na němž se nacházely vyřazené profily více než 214 milionů uživatelů sociálních médií, které byly získány z Facebooku, Instagramu a LinkedIn. Databáze obsahovala více než 408 GB dat a více než 318 milionů záznamů. Šlo jmenovitě o 11 651 162 profilů uživatelů Instagramu, 66 117 839 profilů uživatelů sítě LinkedIn, 81 551 567 profilů uživatelů Facebooku a dalších 55 300 000 profilů na Facebooku bylo souhrnně odstraněno během několika hodin poté, co bezpečnostní tým poprvé objevil server a jeho zranitelnost.
Vzhledem tak obrovskému množství dat bylo podle Safety Detectives pro tým náročné odhalit plný rozsah potenciálních způsobených škod. Ze zkoumaných dat však výzkumníci mohli zjistit celá jména lidí, zemi bydliště, místo práce, pozici, údaje o předplatitelích a kontaktní informace a přímé odkazy na profily.
Brazilská databáze 223 milionů údajů volně k odběru
V lednu byl zjištěn největší únik osobních údajů v historii Brazílie. Soubory dat objevila společnost PSafe a následně o nich informoval Tecnoblog. Databáze obsahovaly jména, jedinečné daňové identifikátory, obrázky obličejů, adresy, telefonní čísla, e-mail, kreditní skóre, plat a další údaje. Údaje obsahují také osobní údaje několika milionů zesnulých osob. Kromě toho bylo k dispozici 104 milionů záznamů o vozidlech.
Tyto informace podle organizace Open Democracy obvykle používají úvěrové skórovací kanceláře, což vedlo výzkumníky k podezření, že únik mohl pocházet od společnosti Serasa Experian, která je přední brazilskou úvěrovou skórovací kanceláří. Údaje byly nabízeny zdarma na fóru na darknetu.
Nechráněný server přepravní společnosti a 200 GB dat bez šifrování
Tým Safety Detectives pod vedením výzkumníka Sena objevil zranitelnost serveru Elastic při rutinní kontrole IP adres na konkrétních portech. Odhalený server obsahoval logy API pro Bykea – společnost zabývající se přepravou, logistikou a platbami na dobírku se sídlem v pákistánském Karáčí.
Výzkumníci zjistili, že společnost Bykea veřejně odhalila všechny informace o svém produkčním serveru bez ochrany heslem nebo šifrováním a umožnila přístup k více než 200 GB dat obsahujících více než 400 milionů záznamů. Data obsahovala celá jména lidí, jejich polohu a další osobní údaje, které mohli hackeři potenciálně využít ke způsobení finančních škod a škod na pověsti.
Generální ředitel společnosti Bykea, Muneeb Maayr, popsal kybernetický útok jako „nic neobvyklého vzhledem k tomu, že Bykea je technologická firma založená na mobilitě“. Není jasné, zda toto nejnovější narušení souvisí s hackerským útokem, který společnost utrpěla dříve a při kterém útočníci údajně smazali celou databázi zákazníků společnosti.
Velký únik velké sociální sítě
Bezpečnostní výzkumník Alon Gal objevil uniklou databázi patřící společnosti Facebook, která obsahovala 533 milionů účtů.
Záznamy obsahují osobní údaje uživatelů Facebooku ze 106 zemí, včetně více než 32 milionů záznamů o uživatelích v USA, 11 milionů o uživatelích ve Velké Británii a šest milionů o uživatelích v Indii, v databází jsou údaje také 1,5 milionu českých uživatelů. Server Insider prověřil vzorek uniklých údajů a několik záznamů ověřil porovnáním telefonních čísel známých uživatelů Facebooku s ID uvedenými v souboru údajů. Insider také potvrdil záznamy testováním e-mailových adres ze souboru dat ve funkci obnovení hesla na Facebooku, kterou lze použít k částečnému odhalení telefonního čísla uživatele.
Podle Gala by „databáze takové velikosti obsahující soukromé informace, jako jsou telefonní čísla velkého množství uživatelů Facebooku, jistě vedla k tomu, že by útočníci využili těchto údajů k provádění útoků sociálního inženýrství [nebo] pokusů o hackerské útoky“.
Ve veřejném prohlášení společnost uvedla, že únik byl způsoben hromadným scrapingem profilů pomocí velkého souboru telefonních čísel spojených s těmito profily a nikoli hackerským útokem na platformu: „V důsledku opatření, která jsme podnikli, jsme přesvědčeni, že konkrétní problém, který umožnil v roce 2019 sesbírat tato data, již neexistuje,“ uvedl v prohlášení Mike Clark, ředitel pro řízení produktů společnosti Facebook. Brzy poté, co se objevily zprávy o údajném úniku údajů, začal
incident vyšetřovat regulační orgán EU pro údaje, irská komise pro ochranu údajů (DPC).
Facebook tedy přisuzuje tento „únik dat“ scrapingu – shromažďování veřejných informací z internetových stránek. V tomto případě útočníci použili slabinu funkce „Import kontaktů“ k hromadnému nahrání soukromých telefonních čísel a následnému spárování přidružených veřejných informací, které nástroj vrátil. To umožnilo aktérům vytvořit rozsáhlý seznam uživatelů Facebooku, včetně jejich telefonních čísel a veřejně dostupných informací. Bezpečnostní komunita však není s reakcí Facebooku příliš spokojená. Alon Gal incident označil jako „absolutní nedbalost“ v oblasti ochrany dat uživatelů.
ADATA přišla o data
O data přišla také technologická společnost ADATA. Gang operující s ransomwarem Ragnar Locker zveřejnil odkazy ke stažení více než 700 GB archivovaných dat ukradených tchajwanskému výrobci operačních pamětí a úložných čipů ADATA. Sada 13 archivů, které údajně obsahují citlivé soubory společnosti ADATA, byla krátce dostupná na veřejném cloudovém úložišti.
Útočníci, kteří za únikem stojí, zveřejnil na svých stránkách odkazy ke stažení nové sady firemních dokumentů společnosti ADATA a varovali zájemce, že odkazy dlouho nevydrží, protože služba MEGA storage, kde se gang rozhodl umístit nelegálně získaná data, zareagovala, zrušila účet kyberzločinců a zamezila jim přístup ke všem souborům, které veřejně sdíleli.
Zasažená společnost se podle všeho vypořádala s únikem bez nutnosti platit vyděračům výkupné. Po úniku dat nedošlo k narušení obchodní činnosti společnosti ADATA a postižená zařízení byla obnovena. „Společnost úspěšně pozastavila činnost postižených systémů, jakmile byl útok zjištěn, a bylo vynaloženo veškeré následující nezbytné úsilí na obnovu a modernizaci souvisejících systémů IT zabezpečení,“ uvedla ADATA.
A další sociální síť, podle které je scraping v pořádku
Osobní údaje 700 milionů uživatelů sítě LinkedIn, tedy téměř 93 % všech, kteří profesní sociální síť používají, byly na prodej online. Zdálo se, že údaje jsou aktuální. Vzorky totiž pocházely z let 2020 a 2021. Ačkoli údaje neobsahovaly přihlašovací údaje ani finanční informace, obsahovaly osobní údaje, které by mohly být použity k převzetí něčí identity včetně celých jmen, telefonního čísla, adresy, e-mailové adresy, záznamu o zeměpisné poloze, uživatelského jména a adresy URL profilů LinkedIn, osobní a profesní zkušenosti a zázemí, pohlaví a dalších účtů a uživatelských jmen na sociálních sítích.
Ve vyjádření pro Fortune to mluvčí LinkedIn zpochybnil únik: „Prošetřili jsme to a nic nenasvědčuje tomu, že by šlo o nové údaje nebo že by šlo o údaje z let 2020 a 2021. Současné šetření společnosti LinkedIn ukazuje, že telefonní číslo, pohlaví, odvozený plat a fyzická adresa v tomto souboru dat nepocházejí od společnosti LinkedIn.“
Aktér hrozby uvedl, že k získání údajů použil stejnou metodu, jaká byla použita při dubnové infiltraci, při níž byly rovněž prodány údaje 500 milionů uživatelů LinkedInu na internetu. Společnost vydala prohlášení, ve kterém uvedla, že data nebyla výsledkem útoku, ale že aktér hrozeb vytáhl ta, která byla ve velkém měřítku veřejně dostupná: „Naše týmy prošetřily soubor údajných dat společnosti LinkedIn, která byla zveřejněna k prodeji,“ uvedla společnost. „Chceme jasně říci, že nejde o únik dat a že nebyla odhalena žádná soukromá data členů sítě LinkedIn. Naším prvotním šetřením bylo zjištěno, že tato data byla ‚vyškrabána‘ ze sítě LinkedIn a dalších různých webových stránek a zahrnují stejná data, o kterých jsme informovali na začátku tohoto roku v naší aktualizaci o scrapingu dat z dubna 2021. Když se někdo pokusí získat údaje členů a použít je k účelům, se kterými LinkedIn a naši členové nesouhlasili, snažíme se ho zastavit a hnát k odpovědnosti.“
Analytická společnost vystavila ohrožení pět miliard záznamů
Podle společnosti Comparitech objevil Djačenko masivní databázi více než pět miliard záznamů, shromážděných z předchozích datových incidentů, vystavenou na webu bez hesla nebo jiného ověření, které by bylo nutné pro přístup k ní.
Databázi uchovávala analytická společnost Cognyte, která data ukládala v rámci své služby kybernetického zpravodajství, jež slouží k upozorňování zákazníků na odhalení dat třetích stran. Djačenko upozornil společnost Cognyte, která databázi zabezpečila o tři dny později. „Díky informacím, které poskytl bezpečnostní výzkumník Vladimir Bob Djačenko, mohla společnost Cognyte rychle reagovat na potenciální odhalení a zablokovat je. Oceňujeme takový zodpovědný a konstruktivní přístup, který pomáhá zvyšovat povědomí a přimět společnosti a organizace k zavedení bezpečnostních opatření a lepší ochraně svých dat,“ uvedla společnost Cognyte v prohlášení pro Comparitech.
Databáze uložená na clusteru Elasticsearch byla vystavena po dobu čtyř dnů a obsahovala 5 085 132 102 záznamů. Ne všechny úniky dat zahrnovaly hesla, nicméně přesné procento záznamů, které hesla obsahovaly, se nepodařilo společnosti Comparitech určit.
Problémy v Jižní Americe
S problémy se potýkala také argentinská vládní IT síť, ze které neznámý útočník ukradl údaje z občanských průkazů všech obyvatel země a které se následně pokoušel prodat na hackerských fóech. Útok byl zaměřený na RENAPER, což je zkratka pro Registro Nacional de las Personas, v překladu Národní registr osob. Účelem této agentury je vydávat všem občanům průkazy totožnosti. Údaje uchovává také v digitální podobě jako databázi přístupnou dalším vládním agenturám a funguje jako páteř pro většinu vládních dotazů na osobní údaje občanů. Útočník následně zveřejnil na Twitteru snímky fotografií z průkazů totožnosti a osobní údaje 44 argentinských celebrit, včetně prezidenta země Alberta Fernándeze a fotbalistů Lionela Messiho a Sergia Aguera. Následně útočník zveřejnil na známém hackerském fóru také inzerát, v němž nabízel vyhledání osobních údajů jakéhokoli argentinského občana.
Argentinská vláda po mediálním tlaku potvrdila narušení bezpečnosti. V prohlášení ministerstvo vnitra uvedlo, že jeho bezpečnostní tým zjistil, že účet VPN přidělený ministerstvu zdravotnictví někdo použil k dotazu do databáze RENAPER na 19 fotografií „přesně v okamžiku, kdy byly zveřejněny na sociální síti Twitter“. Následně však ministerstvo popřelo, že by došlo k narušení nebo úniku dat z databáze RENAPER. Útočník však novinářům nabídl ukázku informací, k nimž má nyní přístup – ta zahrnují celá jména, adresy bydliště, data narození, informace o pohlaví, data vydání a platnosti občanských průkazů, identifikační kódy práce, čísla občanských průkazů a vládní fotografie.
Kolosální únik herní platformy
Incident, během kterého uniklo 125 GB citlivých dat i kompletní zdrojový kód samotné služby, postihl oblíbenou streamovací platformu Twitch.
Uniklé soubory nahrál neznámý útočník na server 4chan v podobě torrentu, kde se zpočátku spekulovalo o jejich autenticitě. Jejich legitimitu pak potvrdil zdroj magazínu Video Games Chronicles a posléze i samotní streameři. „Dnes pro vás máme mimořádně epický únik informací. Komunita kolem Twitche je nechutná toxická žumpa, takže abychom podpořili větší rozvrat a konkurenci v oblasti streamování, kompletně jsme je ponížili zveřejněním zdrojového kódu,“ uvedl ve svém prohlášení hacker.
Kromě již zmíněného kompletního zdrojového kódu se do rukou veřejnosti dostalo nespočet dalších údajů. Například historie komentářů ohledně vývoje platformy sahající až do úplných začátků společnosti, proprietární vývojové kity, nepoužité grafické podklady či informace k dosud neoznámenému konkurentovi Steamu označovaného ve zprávě jako Vapor. A samozřejmě v neposlední řadě i nejvíce rezonující téma ohledně detailních výplatách streamerů od roku 2019 až do současnosti. Zástupci Twitche pak prozradili, že za samotnou chybu může změna při pravidelné konfiguraci serveru.
I když Twitch do světa veřejně hlásá, že intenzivně pracuje na nápravě, aby k podobnému incidentu již nedošlo, mnoho odborníků zvedá varovný prst. Únik onoho zdrojového kódu je obrovský problém, který ostatní hackeři můžou využít k odhalení slabin v systému, a podniknout tak další útoky.
