بدترین نقض داده‌های ۲۰۱۷

منبع: securitymagazine چاپ در مجله سما

• مترجم: مهناز طالبی

فهرست قربانیان نقض داده سال ۲۰۱۷ شبیه فهرست مهم‌ترین شرکت‌های صنعتی، از خدمات مالی گرفته تا ارائه‌دهندگان خدمات درمانی تا فست‌فودها، می‌باشد! نقض Equifax به طور خاص می‌تواند تغییر بازی را نشان دهد. این شرکت، ‌به عنوان یک آژانس گزارش‌ اعتبار، به حساس‌ترین داده‌های شخصی دسترسی دارد. نقض Equifax یک پیام بسیار مهم برای ما داشت:‌َحتی خود ابزارهای محافظتی نیز آسیب‌پذیر هستند.

یک لیست مشخص و قطعی به عنوان لیست «بزرگترین نقض‌ها» وجود ندارد: محدوده عملکرد یک نقض ممکن است هرگز دانسته نشود. اما ما می‌توانیم «بدترین» نقض‌ها را فهرست کنیم. نقض‌های حاضر در این لیست جزء بزرگترین نقض‌ها محسوب نمی‌شوند اما از جنبه‌هایی همچون گستردگی صنایع، تعداد بالای قربانیان و روش‌های مورد استفاده در آنها برای نشان دادن آسیب‌پذیری‌های بالقوه سیستم‌ها، تأثیرگذارترین نقض‌های سال بوده‌اند.

۱۰ مورد از بدترین نقض داده‌ها در سال ۲۰۱۷:

۱. Equifax. این نقض داده در ماه سپتامبر در این مرکز گزارش‌دهی کارت‌های اعتباری رخ داد و موجب افشا شدن شماره‌های امنیت اجتماعی و  گواهینامه رانندگی ۱۴۳ میلیون مشتری آن شد. هکرها برای این نقض داده از نقطه ضعفی در نرم‌افزار تحت وب شرکت استفاده کرده بودند که به مدت چند ماه روی سیستم وجود داشته است.

۲. Chipotle. این شرکت اطلاع داده است که فعالیت‌های غیر مجازی را روی وب‌سایت خود مشاهده کرده است. در تحقیقی که انجام گرفت مشخص شد که یک بدافزار برای دسترسی به داده‌های کارت‌های اعتباری استفاده در دستگاه‌های POS طراحی شده و توانسته این نقض داده را شکل دهد.

۳. Dun & Bradstreet. این شرکت اعلام کرده است که پایگاه‌داده‌ تجاری آن، که حاوی اطلاعات حدود ۳۳ میلیون از مخاطبان شرکتی‌اش بوده است در وب منتشر شده است. در این نقض داده نام کامل، شماره تلفن و دیگر داده‌های مربوط به وزارت دفاع و شرکت‌های AT&T و Wal-Mart افشا شده است.

۴. Verizon طی گزارشی اعلام کرده است که یکی از فروشندگانش موجب نقض داده‌ای شده است که اطلاعات ۱۴ میلیون عضو آن را تحت تأثیر قرار داده است. Verizon ادعا کرده است که هیچ کس غیر از محققی که این نقض را کشف کرده به داده‌ها دسترسی نداشته است.

۵. محققان امنیتی UpGuard کشف کرده‌اند که یکی از پایگاه‌داده‌های کمیته ملی جمهوری‌خواه امریکا پیکربندی اشتباهی داشته است و موجب افشای داده‌های مربوط به رأی‌گیری حدود ۲۰۰ میلیون نفر شده است. شرکت بازاریابی Deep Root Analytics بیش از ۱.۱ ترابایت از اطلاعات RNC را روی یک سرور ابر روی سرویس وب آمازون قرار داده است که در دسترس عموم قرار دارد.

۶. IRS تأیید کرده است که هکرها با استفاده از ابزار IRS Data Retrieval Tool که برای تکمیل برنامه رایگان کمک به دانشجویان فدرال (FAFSA) ‌مورد استفاده قرار می‌گرفته است ، به اطلاعات شخصی بیش از صد هزار مالیات‌دهنده دست یافته‌اند. IRS این ابزار را زمانی غیر فعال کرده است که به دزدان هویت که در حال دزدیدن اطلاعات شخصی بودند مشکوک شده است.

۷. هلدینگ Kmart parent فاش کرده است که سیستم‌های پرداخت فروشگاهی‌اش مورد حمله بدافزارها قرار گرفته‌اند اما در عین حال ادعا کرده است خریداران از این بدافزار آسیب ندیده‌اند.

۸. SVR Tracking که سرویسی در سان دیگو است و به نمایندگی‌های خودرو این توانایی را می‌دهد که خودروهای خود را مکان‌یابی کنند،‌اعلام کرده است که به موجب یک نقض داده اطلاعات بیش از ۵۴۰ هزار از مشتریانش در اینترنت قرار گرفته است.

۹. Edomo قربانی هکری به نام nclay شده است. Edomo یک چارچوب آموزشی است که ادعا می‌کند ۷۸ میلیون معلم، دانش‌آموز و والدین دانش‌آموزان عضوش هستند. طبق گزارش‌ها ۷۷ میلیون حساب کاربری آن به سرقت رفته است و هکرها اطلاعات مربوط به این حساب‌ها را در دارک‌وب به فروش می‌رسانند.

۱۰. دانشگاه سیستم مراقبت بهداشتی کارولینای شمالی گزارش داده است که اطلاعات بیمارانش در معرض یک نقض داده احتمالی قرارگرفته‌اند. در این نقض داده اطلاعات شخصی زنانی که از سال  ۲۰۱۴ اقدام به تکمیل فرم‌های غربالگری دوران بارداری خودکرده‌اند، افشاشده است.

۱۰+۱. نقض داده در اوبر: در اواخر سال ۲۰۱۶ دچار نقض داده‌شده اما اطلاعات مربوط به آن را تا نوامبر ۲۰۱۷ فاش نکرد. در این نقض داده، هکرها نام‌ و شماره گواهینامه رانندگی حدود ۶۰۰۰۰۰ راننده و اطلاعات شخصی ۵۷ میلیون کاربر اوبر را به دست آورده بودند.