5 Violazioni recenti di dati che potrebbero mettere a rischio i tuoi dati
Le violazioni dei dati fanno parte dei mobili delle nostre vite digitali. Non passa quasi un giorno senza che un'altra azienda abbia perso i tuoi dati. E mentre questi eventi stanno diventando sempre più comuni, anche qualcosa di diverso è cambiato nel 2018.
L'attuazione del regolamento generale sulla protezione dei dati (GDPR) dell'UE significa che le imprese si impegnano ora a divulgare eventuali violazioni entro 72 ore. Può essere difficile tenere il passo con tutti gli ultimi hack, quindi abbiamo raccolto alcune delle violazioni più importanti dell'anno.
1. Under Armour
Utenti interessati: 150 milioni
Dati esposti: Nomi utente, indirizzi email e password con hash
Per molte persone in tutto il mondo, la app per la dieta e l'esercizio fisico MyFitnessPal (MFP) è una compagna quotidiana nel loro percorso di fitness. Non è stata quindi una sorpresa quando l'azienda di abbigliamento sportivo Under Armour ha acquistato MFP come parte della loro offerta digitale. Nel marzo 2018, Under Armour (UA) ha rilasciato una dichiarazione secondo cui MyFitnessPal era stato compromesso, con i nomi utente, gli indirizzi email e le password hash dei 150 milioni di utenti della app esposti.
La compagnia ha agito rapidamente. Entro quattro giorni dall'apprendimento della violazione, MyFitnessPal ha inviato un aggiornamento e-mail a tutti gli utenti e ha creato un sito Web di domande frequenti. Hanno raccomandato che tutti gli utenti cambiassero immediatamente le loro password e che avrebbero continuato a farlo, in qualche modo vagamente, “apportare miglioramenti ai [loro] sistemi per rilevare e impedire l'accesso non autorizzato alle informazioni dell'utente.”
In apparenza, sembra che Under Armour stia facendo bene ai suoi utenti. Tuttavia, mentre alcune password sono state sottoposte a hash con il processo bcrypt-a per trasformare la tua password in una stringa illeggibile di caratteri Ogni sito Web sicuro fa questo con la tua password Ogni sito sicuro fa questo con la tua password Ti sei mai chiesto come i siti web proteggono la tua password dai dati violazioni? Per saperne di più, gli altri non sono stati così fortunati. Sebbene non abbiano rivelato i numeri, una parte della base di utenti sostanziale della MFP è stata protetta solo con SHA-1, ampiamente considerata come la forma più debole di hashing.
Sebbene la perdita si sia verificata all'inizio dell'anno, a partire da settembre 2018, non c'erano stati ulteriori aggiornamenti sulla causa della violazione, o su come UA spera di prevenire futuri attacchi. La società non ha inoltre specificato se continueranno a utilizzare l'hashing SHA-1.
2. British Airways
Utenti interessati: Sconosciuto
Dati esposti: Dati personali e finanziari del cliente
Mentre l'estate volgeva al termine all'inizio di settembre, la più grande compagnia aerea del Regno Unito, British Airways (BA), ha dichiarato che stavano indagando con urgenza sul furto di informazioni sui clienti. Sul loro sito web di informazioni sugli incidenti, la società ha affermato che il furto è stato colpito “i clienti che hanno effettuato prenotazioni o modifiche alle loro prenotazioni [...] tra le 22:58 BST, 21 agosto 2018 e 21:45 BST, 5 settembre 2018.” I dati rubati includevano i nomi, l'indirizzo e-mail, l'indirizzo di fatturazione e i dettagli della carta di credito.
Se tu fossi tra le sfortunate vittime dell'attacco, BA ti ha promesso che non ti lascerai senza fiato come conseguenza diretta del furto. Tuttavia, vale la pena notare che non hanno detto quello che considerano un “risultato diretto.” Nei giorni successivi alla divulgazione, The Register ha riferito che uno script di pagamento esterno avrebbe potuto essere la causa dell'attacco. La società di sicurezza RiskIQ ha detto che l'attacco è stato probabilmente portato avanti da un gruppo noto come Magecart, che era responsabile di un attacco molto simile a Ticketmaster all'inizio del 2018.
Poco più di un anno prima dell'attacco, BA era anche al centro di una massiccia interruzione di corrente del computer. Il fallimento ha portato i sistemi informatici della compagnia a una brusca frenata, radicando tutti gli aerei e colpendo migliaia di passeggeri. Nonostante abbia fatto notizia in tutto il mondo, BA ha parlato poco della causa dell'interruzione senza precedenti.
3. TypeForm
Utenti interessati: Sconosciuto
Dati esposti: Dati dell'indagine che includono informazioni personali identificabili
Se hai compilato un sondaggio online negli ultimi anni, probabilmente hai utilizzato il sito Web di raccolta dati Typeform. I loro sondaggi sono apprezzati dalle aziende in quanto sono facili da configurare e user-friendly. I clienti di Typeform sono aziende, non utenti finali. Quindi, quando la società ha scoperto una violazione nel giugno 2018, hanno allertato i propri clienti.
Il sito di risposta agli incidenti di Typeform manca di dettagli e si concentra su come le aziende dovrebbero informare i clienti sulla divulgazione. Tutto ciò che sappiamo della violazione di Typeform è che è stato il risultato di un accesso non autorizzato a un backup parziale datato 3 maggio 2018. Sebbene non sia chiaro fino a che punto i dati si allungano. Poiché Typeform ha scelto di non fornire una ripartizione dettagliata, anche il numero totale interessato non è chiaro.
Tuttavia, l'elenco delle organizzazioni coinvolte nella violazione è piuttosto esteso. I rivenditori britannici Fortnum & Mason e John Lewis erano tra quelli colpiti, insieme alla catena di panetterie australiana Bakers Delight. Altre vittime note includono Airtasker, Rencore, PostShift, Revolut, Unione studentesca dell'università del Middlesex, Monzo, la Commissione elettorale della Tasmania, Travelodge, e i liberaldemocratici del Regno Unito.
4. Exactis
Utenti interessati: 340 milioni
Dati esposti: Tutto immaginabile, meno la sicurezza sociale e numeri di carte di credito
Nella nostra economia moderna, scambiamo i nostri dati in cambio di prodotti gratuiti e servizi online. Tuttavia, vi è un crescente movimento contro questo tipo di raccolta di dati. Si riferiscono spregiativamente alla pratica come Surveillance Capitalism. Questo sentimento è diventato ancora più popolare sulla scia del Equifax Equifax del 2017: una delle più calamitose violazioni di tutti i tempi Equihax: una delle più calamitose violazioni di tutti i tempi La violazione di Equifax è la più pericolosa e imbarazzante violazione della sicurezza di sempre. Ma conosci tutti i fatti? Sei stato colpito? Cosa puoi fare a riguardo? Scoprilo qui. Leggi di più e lo scandalo di Cambridge Analytica su Facebook Indirizza lo scandalo Cambridge Analytica Facebook Indaga lo scandalo di Cambridge Analytica Facebook è stato coinvolto in quello che è diventato noto come lo scandalo di Cambridge Analytica. Dopo essere rimasto in silenzio per alcuni giorni, Mark Zuckerberg ha ora affrontato le questioni sollevate. Leggi di più . Probabilmente sei rimasto sorpreso che Equifax abbia raccolto informazioni dettagliate su di te alle tue spalle. Purtroppo, non sarai troppo scioccato per sapere che non erano gli unici.
A giugno, il ricercatore di sicurezza Vinny Troia ha utilizzato il motore di ricerca computerizzato Shodan per scoprire un database contenente 340 milioni di record. Il database è stato lasciato non protetto su un server pubblicamente disponibile dalla società di marketing Exactis. Mentre i 145,5 milioni di record di Equifax hanno ricevuto un'ampia copertura, il database di Exactis ha oscurato quello con 340 milioni di record. Tuttavia, a differenza dei dati Equifax aggregati, il ricercatore di sicurezza ha trovato il database Exactis. Al momento non ci sono prove che sia stato acceduto maliziosamente.
Exatis è un broker di dati, che scambia le nostre informazioni personali, che è il modo in cui sono state in possesso di quasi 214 milioni di individui e 110 milioni di dati aziendali. Secondo WIRED, i record inclusi “più di 400 variabili su una vasta gamma di caratteristiche specifiche: se la persona fuma, la sua religione, se hanno cani o gatti, e interessi diversi come le immersioni subacquee e l'abbigliamento plus size.”
C'è un rivestimento d'argento qui però. Nonostante la fenomenale quantità di dati identificabili, a differenza di Equifax, non contenevano informazioni finanziarie. Tuttavia, se un malintenzionato accede al database, ci sono molte opportunità per l'ingegneria sociale Come proteggersi da questi 8 attacchi di ingegneria sociale Come proteggersi da questi 8 attacchi di ingegneria sociale Quali tecniche di social engineering utilizzerebbe un hacker e come ti proteggeresti da loro? Diamo un'occhiata ad alcuni dei metodi di attacco più comuni. Leggi di più .
5. Timehop
Utenti interessati: 21 milioni
Dati esposti: Nomi, indirizzi email, date di nascita, sesso, codici paese e numeri di telefono
La nostra nostalgia collettiva per anni è diventata un grande business. Nessuna azienda è stata in grado di capitalizzare su questo amore del passato più di Timehop. L'app Timehop si connette ai tuoi social network e riemerge i tuoi vecchi post per ricordarti cosa stavi facendo in questo giorno in passato. Nel mese di luglio 2018, Timehop ha annunciato di aver interrotto un'intrusione di rete nel Giorno dell'Indipendenza.
Nonostante l'arresto dell'attacco in poco più di due ore, l'intruso è riuscito a raccogliere molti dati. Sfortunatamente, questo includeva nomi, indirizzi email, date di nascita, sesso e, in alcuni casi, numeri di telefono dei 21 milioni di utenti della app. Erano, tuttavia, in grado di impedire che l'aggressore potesse accedere ai post sui social media e ai messaggi privati.
L'autore dell'attacco è riuscito a ottenere le chiavi OAuth2 memorizzate, che garantiscono l'accesso ai social network connessi dell'utente. Prima di divulgare la violazione, Timehop ha lavorato con i social network per disattivare queste chiavi, costringendo gli utenti a autenticare nuovamente gli account connessi.
A differenza di molti dei loro contemporanei, il loro sito web è stato presentato chiaramente. L'attacco è stato spiegato sia in termini tecnici che diretti. Hanno persino fornito una tabella facilmente comprensibile delle combinazioni di dati accessibili e di quante persone sono state colpite. Naturalmente, questo non sarà di conforto ai 21 milioni di vittime dell'app nostalgico.
Proteggiti dalla prossima violazione dei dati
I servizi che un tempo ritenevamo sicuri venivano rapidamente svelati grazie in parte alle loro scarse pratiche di sicurezza. Si può anche iniziare a chiedersi se ovunque su Internet è sicuro. Soprattutto dato quante volte la raccolta dei dati ha rivelato le tue informazioni personali. Se sei preoccupato che qualcosa non va, dovresti controllare se i tuoi account online sono stati violati.
La responsabilità di proteggerti cade ai piedi delle aziende interessate. Tuttavia, ci sono modi per migliorare la tua cyber igiene Migliora la tua Cyber Hygiene in 5 semplici passaggi Migliora la tua Cyber Hygiene in 5 semplici passi Nel mondo digitale, "cyber hygiene" è importante quanto l'igiene personale del mondo reale. Sono necessari controlli regolari del sistema e nuove abitudini online più sicure. Ma come puoi fare questi cambiamenti? Leggi di più che rafforzerà le tue difese. Le password sono uno dei nostri più grandi mal di testa, ma ci sono buone notizie. Potrebbe non essere necessario attendere ancora molto prima di iniziare a vedere eccitanti alternative per le password. No More Leaks? 3 eccitanti alternative di password che stanno arrivando a breve. 3 eccitanti alternative di password che stanno arrivando presto La sicurezza delle password può sembrare una battaglia senza fine. Fortunatamente, ci sono alcuni che stanno lavorando su metodi di sicurezza che potrebbero sostituire le password. Leggi altro ha colpito il mainstream.
Immagine di credito: stevanovicigor / DepositPhotos
Scopri di più su: Violazione della sicurezza.