5 recenti violazioni dei dati che potrebbero aver messo a rischio i tuoi dati
Annuncio pubblicitario
Le violazioni dei dati fanno parte dell'arredamento delle nostre vite digitali. Passa a malapena un giorno senza un'altra società che perde i tuoi dati. E mentre questi eventi stanno diventando sempre più comuni, anche qualcos'altro è cambiato nel 2018.
L'attuazione del Regolamento generale sulla protezione dei dati (GDPR) dell'UE significa che le aziende ora si impegnano a rivelare eventuali violazioni entro 72 ore. Può essere difficile tenere il passo con tutti gli ultimi hack, quindi abbiamo raccolto alcune delle violazioni più importanti dell'anno.
1. Sotto l'armatura
Utenti interessati: 150 milioni
Dati esposti: nomi utente, indirizzi e-mail e password con hash
Per molte persone in tutto il mondo, l'app di monitoraggio della dieta e dell'esercizio fisico MyFitnessPal (MFP) è un compagno quotidiano nel loro percorso di fitness. Quindi è stata una piccola sorpresa quando la società di abbigliamento sportivo Under Armour ha acquisito la stampante multifunzione come parte della sua offerta digitale. Nel marzo 2018, Under Armour (UA) ha rilasciato una dichiarazione in cui MyFitnessPal era stato compromesso, con i nomi utente, gli indirizzi e-mail e le password con hash dei 150 milioni di utenti dell'app esposti.
La compagnia ha agito rapidamente. Entro quattro giorni dalla notizia della violazione, MyFitnessPal ha inviato un aggiornamento e-mail a tutti gli utenti e ha creato un sito Web di domande frequenti. Hanno raccomandato a tutti gli utenti di modificare immediatamente le proprie password e di continuare, in qualche modo vagamente, "a migliorare i [loro] sistemi per rilevare e prevenire l'accesso non autorizzato alle informazioni degli utenti".
In apparenza, sembra che Under Armour stia facendo bene ai suoi utenti. Tuttavia, mentre alcune password sono state sottoposte a hash usando bcrypt, un processo per trasformare la tua password in una stringa di caratteri illeggibile Ogni sito Web sicuro fa questo con la tua password Ogni sito Web sicuro fa questo con la tua password Ti sei mai chiesto come i siti Web mantengono la tua password al sicuro dai dati violazioni? Leggi di più: gli altri non sono stati così fortunati. Sebbene non abbiano rivelato i numeri, una parte della vasta base di utenti della stampante multifunzione è stata protetta solo con SHA-1, ampiamente considerata come la forma più debole di hash.
Sebbene la perdita si sia verificata all'inizio dell'anno, a settembre 2018, non c'erano stati ulteriori aggiornamenti sulla causa della violazione o su come UA spera di prevenire attacchi futuri. La società non ha inoltre specificato se continuerà a utilizzare l'hash SHA-1.
2. British Airways
Utenti interessati: sconosciuto
Dati esposti: dati personali e finanziari del cliente
Mentre l'estate volgeva al termine all'inizio di settembre, la più grande compagnia aerea del Regno Unito, British Airways (BA), ha dichiarato che stavano indagando urgentemente sul furto delle informazioni dei clienti. Sul sito Web di informazioni sugli incidenti, la società ha dichiarato che il furto ha interessato "i clienti che hanno effettuato prenotazioni o modifiche alle loro prenotazioni […] tra le 22:58 BST del 21 agosto 2018 e le 21:45 BST del 5 settembre 2018." I dati rubati includevano nomi, indirizzo e-mail, indirizzo di fatturazione e dettagli della carta di credito.
Se tu fossi tra le sfortunate vittime dell'attacco, BA ha promesso che non sarai di tasca tua come conseguenza diretta del furto. Tuttavia, vale la pena notare che non hanno detto quello che considerano un "risultato diretto". Nei giorni successivi alla divulgazione, The Register ha riferito che uno script di pagamento esterno avrebbe potuto essere la colpa dell'attacco. La società di sicurezza RiskIQ ha affermato che l'attacco è stato probabilmente espulso da un gruppo noto come Magecart, che era responsabile di un attacco molto simile su Ticketmaster all'inizio del 2018.
Poco più di un anno prima dell'attacco, BA era anche al centro di un grave blackout del computer. Il fallimento ha portato i sistemi IT della compagnia a fermarsi, radicando tutti gli aerei e colpendo migliaia di passeggeri. Nonostante abbia fatto notizia in tutto il mondo, BA ha detto poco sulla causa di un'interruzione senza precedenti.
3. TypeForm
Utenti interessati: sconosciuto
Dati esposti: dati del sondaggio tra cui informazioni di identificazione personale
Se hai compilato un sondaggio online negli ultimi anni, probabilmente hai utilizzato il sito Web Typeform per la raccolta dei dati. I loro sondaggi sono apprezzati dalle aziende in quanto sono facili da configurare e facili da usare. I clienti di Typeform sono aziende, non utenti finali. Pertanto, quando la società ha scoperto una violazione nel giugno 2018, ha avvisato i propri clienti.
Il sito di risposta agli incidenti di Typeform è privo di dettagli e si concentra su come le aziende dovrebbero comunicare ai clienti la divulgazione. Tutto ciò che sappiamo della violazione di Typeform è che è stato il risultato dell'accesso non autorizzato a un backup parziale datato 3 maggio 2018. Anche se non è chiaro fino a che punto i dati si estendono. Poiché Typeform ha scelto di non fornire una ripartizione dettagliata, anche il numero totale interessato non è chiaro.
Tuttavia, l'elenco delle organizzazioni coinvolte nella violazione è piuttosto ampio. I rivenditori britannici Fortnum & Mason e John Lewis erano tra quelli colpiti, insieme alla catena di panetteria australiana Bakers Delight. Altre vittime conosciute includono Airtasker, Rencore, PostShift, Revolut, Middlesex University Student's Union, Monzo, la Commissione elettorale della Tasmania, Travelodge e i Liberal Democrats del Regno Unito.
4. Exactis
Utenti interessati: 340 milioni
Dati esposti: tutto ciò che si può immaginare, meno i numeri di previdenza sociale e carta di credito
Nella nostra economia moderna, scambiamo i nostri dati in cambio di prodotti gratuiti e servizi online. Tuttavia, c'è un movimento crescente contro questo tipo di raccolta di dati. Si riferiscono in modo denigratorio alla pratica come capitalismo di sorveglianza. Questo sentimento è diventato ancora più popolare sulla scia dell'hack Equifax del 2017 Equihax: una delle violazioni più disastrose di tutti i tempi Equihax: una delle violazioni più disastrose di tutti i tempi La violazione di Equifax è la violazione più pericolosa e imbarazzante della sicurezza di sempre. Ma conosci tutti i fatti? Sei stato colpito? Cosa puoi fare al riguardo? Scoprilo qui Maggiori informazioni e lo scandalo di Cambridge Analytica di Facebook Facebook si rivolge allo scandalo di Cambridge Analytica Facebook Si rivolge allo scandalo di Cambridge Analytica Facebook è stato coinvolto in quello che è diventato noto come lo scandalo di Cambridge Analytica. Dopo essere rimasto in silenzio per alcuni giorni, Mark Zuckerberg ha ora affrontato le questioni sollevate. Leggi di più . Probabilmente eri sorpreso che Equifax avesse raccolto informazioni dettagliate su di te alle tue spalle. Purtroppo, non sarai troppo scioccato per sapere che non erano i soli.
A giugno, il ricercatore di sicurezza Vinny Troia ha utilizzato il motore di ricerca per computer Shodan per scoprire un database contenente 340 milioni di record. Il database non è stato garantito su un server disponibile pubblicamente dalla società di marketing Exactis. Mentre i 145, 5 milioni di record dell'hack di Equifax hanno ricevuto una copertura diffusa, il database di Exactis ha eclissato quello con 340 milioni di record. Tuttavia, a differenza dei dati aggregati Equifax, il database Exactis è stato trovato da un ricercatore di sicurezza. Al momento non ci sono prove del fatto che sia stato effettuato un accesso dannoso.
Exatis è un broker di dati che scambia le nostre informazioni personali, ed è così che sono diventate in possesso di quasi 214 milioni di persone e 110 milioni di dati aziendali. Secondo WIRED, i registri includevano "più di 400 variabili su una vasta gamma di caratteristiche specifiche: se la persona fuma, la sua religione, se ha cani o gatti e interessi vari come le immersioni subacquee e l'abbigliamento plus size."
C'è un rivestimento d'argento qui però. Nonostante la fenomenale quantità di dati identificabili, a differenza di Equifax, non possedevano informazioni finanziarie. Tuttavia, se si scopre che una parte malintenzionata ha avuto accesso al database, ci sono molte opportunità per il social engineering Come proteggersi da questi 8 attacchi di social engineering Come proteggersi da questi 8 attacchi di social engineering Quali tecniche di social engineering utilizzerebbe un hacker e come ti proteggeresti da loro? Diamo un'occhiata ad alcuni dei metodi di attacco più comuni. Leggi di più .
5. Timehop
Utenti interessati: 21 milioni
Dati esposti: nomi, indirizzi e-mail, date di nascita, sesso, prefissi e numeri di telefono
La nostra nostalgia collettiva da anni è diventata una grande impresa. Nessuna azienda è stata in grado di capitalizzare questo amore del passato più di Timehop. L'app Timehop si collega ai tuoi social network e riappare i tuoi vecchi post per ricordarti cosa stavi facendo in questo giorno in passato. Nel luglio 2018, Timehop ha annunciato di aver interrotto un'intrusione di rete durante il Giorno dell'Indipendenza.
Nonostante abbia fermato l'attacco in poco più di due ore, l'intruso è stato in grado di raccogliere molti dati. Sfortunatamente, questo includeva nomi, indirizzi e-mail, date di nascita, sesso e, in alcuni casi, numeri di telefono dei 21 milioni di utenti dell'app. Tuttavia, sono stati in grado di impedire all'aggressore di accedere a post sui social media e messaggi privati.
L'attaccante è riuscito a raggiungere le chiavi OAuth2 memorizzate, che consentono l'accesso ai social network di un utente. Prima di rivelare la violazione, Timehop ha lavorato con i social network per disattivare queste chiavi, costringendo gli utenti a riautenticare gli account connessi.
A differenza di molti dei loro contemporanei, il sito web del loro incidente è stato presentato chiaramente. L'attacco è stato spiegato in termini sia tecnici sia chiari. Hanno anche fornito una tabella facilmente digeribile delle combinazioni di dati accessibili e del numero di persone interessate. Naturalmente, questo arriverà come un piccolo conforto per le 21 milioni di vittime dell'app nostalgica.
Proteggiti dalla successiva violazione dei dati
I servizi che una volta ritenevamo sicuri si stanno rapidamente svelando grazie in parte alle loro scarse pratiche di sicurezza. Potresti anche iniziare a chiederti se su Internet è sicuro. Soprattutto dato quante volte la raccolta di dati ha esposto le tue informazioni personali. Se sei preoccupato che qualcosa non vada, dovresti controllare se i tuoi account online sono stati hackerati.
La responsabilità di proteggerti ricade ai piedi delle aziende interessate. Tuttavia, ci sono modi per migliorare la tua igiene informatica. Migliorare la tua igiene informatica in 5 semplici passaggi. Migliorare la tua igiene informatica in 5 semplici passaggi. Nel mondo digitale, "igiene informatica" è importante quanto l'igiene personale nel mondo reale. Sono necessari controlli di sistema regolari, insieme a nuove abitudini online più sicure. Ma come puoi apportare queste modifiche? Leggi di più per rafforzare le tue difese. Le password sono uno dei nostri maggiori mal di testa, ma ci sono buone notizie. Potresti non dover aspettare troppo a lungo prima che iniziamo a vedere eccitanti alternative di password Non ci sono più perdite? 3 alternative password entusiasmanti che stanno arrivando presto Non ci sono più perdite? 3 alternative password entusiasmanti che stanno arrivando presto La sicurezza delle password può sembrare una battaglia senza fine. Fortunatamente, ci sono alcuni che stanno lavorando su metodi di sicurezza che potrebbero sostituire le password. Maggiori informazioni colpire il mainstream.
Credito di immagine: stevanovicigor / DepositPhotos
