Największe naruszenia danych w 2021 r. i czego się z nich nauczyliśmy

Opublikowany: 2021-09-16

2021 był złym rokiem dla cyberbezpieczeństwa.

W obliczu niepewności co do pandemii, nowej zdalnej siły roboczej i wyraźnego braku odpowiednich zabezpieczeń dla tysięcy firm w całym kraju, mieliśmy środowisko, które było gotowe do wykorzystania przez złośliwych cyberprzestępców.

A cyberprzestępcy właśnie to zrobili. Żerowanie na lękach i niepokojach ludzi, ataki phishingowe, oprogramowanie ransomware i inne wektory ataków, które opierały się na socjotechnice, znacznie wzrosły, oprócz innych wektorów, takich jak wstrzykiwanie SQL, exploity typu zero-day i ataki typu „odmowa usługi” (DDoS).

Chociaż zasięgiem są większe ataki, małe i średnie firmy są atakowane z taką samą częstotliwością, a żadna firma nie jest zbyt mała, aby stać się ofiarą cyberprzestępczości w dzisiejszym środowisku cyberbezpieczeństwa.

Według raportu z 2020 roku 55% małych i średnich firm doświadczyło cyberataku.

Dzisiaj przyjrzymy się niektórym z największych naruszeń danych w tym roku, przyczynom ich wystąpienia i czego możemy się z nich nauczyć.

Powiązany post: Cyberataki pandemiczne napędzają przyjęcie technologii

Dobre wieści

Błędem byłoby nie przyznać, że naruszenia danych faktycznie zmniejszyły się w 2021 r. w porównaniu z 2020 r. o 24%.

Nie oznacza to jednak, że dokonano wystarczających ulepszeń, aby chronić się przed atakiem.

Pracownicy wracający do biura i wzrost inwestycji w cyberbezpieczeństwo są siłą napędową tej poprawy, ale firmy powinny zachować czujność, a te, które nie zainwestowały w swoje zabezpieczenia, powinny zdecydowanie rozważyć opracowanie strategii, czy to poprzez in- zespół domowy lub za pomocą MSSP.

W pierwszej połowie 2021 r. odnotowano 1767 publicznie zgłoszonych naruszeń, ujawniając łącznie 18,8 mld rekordów.

Teraz bez zbędnych ceregieli wskoczmy!

Najczęstsze wektory cyberataków | Największe naruszenia danych w 2021 r. | Wpływ na sieci

T Mobile

Co się stało?

17 sierpnia gigant telekomunikacyjny T-Mobile padł ofiarą cyberataku, który skompromitował wrażliwe dane ponad 54 milionów osób, w tym numery SSN, nazwiska, adresy, daty urodzenia oraz numery prawa jazdy i dowodu osobistego, a także numery IMEI i IMSI.

T-Mobile szybko zareagował na naruszenie, wyłączając swoje serwery i wszczynając dochodzenie na pełną skalę.

Jak to się stało?

Haker, który przyznał się do ataku, 21-letni John Binns, powiedział Wall Street Journal, że uzyskał dostęp do wewnętrznej infrastruktury T-Mobile przez niezabezpieczony router, opisując bezpieczeństwo firmy jako „straszne”.

Czego się nauczyliśmy?

To nie pierwszy raz, kiedy T-Mobile był przedmiotem naruszenia bezpieczeństwa danych, wcześniej włamywano się do niego w 2018, 2019 i 2020 roku oprócz tego roku.

Ostatnie naruszenie jest piątym w ciągu czterech lat.

Jeśli konto Binnsa o włamaniu do niezabezpieczonego routera jest prawdziwe, jest to kolejny przykład firmy, która nie potrafi właściwie zidentyfikować i zabezpieczyć wszystkich swoich urządzeń za pomocą ochrony punktów końcowych.

Organizacje powinny upewnić się, że monitorują i udostępniają każde urządzenie podłączone do ich sieci, w przeciwnym razie ryzykują pozostawienie hakerom szeroko otwartych drzwi, które mogą wykorzystać, tak jak zrobił to T-Mobile.

SocialArks

Co się stało?

SocialArks to chińska platforma służąca do zarządzania danymi i kampaniami w mediach społecznościowych.

W 2021 r. doszło do masowego wycieku danych – skradziono ponad 300 milionów rekordów kont w mediach społecznościowych z platform takich jak Facebook, Instagram i LinkedIn.

W sumie przejęto 400 GB danych kont prywatnych dotyczących ponad 200 milionów użytkowników mediów społecznościowych na całym świecie.

Jak to się stało?

Naruszenie SocialArks nastąpiło, ponieważ baza danych ElasticSearch, której byli właścicielami, była błędnie skonfigurowana.

Poufne dane w bazie danych zostały „zeskrobane” z serwisów społecznościowych, a serwer, na którym dane były przechowywane, nie posiadał odpowiednich protokołów bezpieczeństwa, zgodnie z późniejszymi kontrolami adresów IP.

Dostęp do serwera nie był nawet zabezpieczony hasłem, co oznacza, że ​​praktycznie każdy mógł uzyskać dostęp do ogromnych ilości danych osobowych, które właśnie w ten sposób zostały skradzione.

Czego się nauczyliśmy?

Wiele organizacji przechowujących dane konsumentów robi to w niezabezpieczonych lokalizacjach.

Z punktu widzenia konsumenta powinni być bardzo ostrożni, komu udostępniają i umożliwiają dostęp do swoich danych osobowych.

Dla firm ważne jest, aby pamiętać, że ochrona danych klientów w odpowiedzialny sposób jest dziś niezbędna — ludzie bardzo szybko stracą pewność siebie, jeśli ich niezabezpieczone dane zostaną skradzione.

Z tego powodu dobrym pomysłem jest upewnienie się, że używane centra danych są wysoce bezpieczne i mają akceptowalny poziom nadmiarowości, jak centra danych Tier III i Tier IV.

Volkswagen

Co się stało?

Naruszenie danych u dostawcy Volkswagena dotknęło ponad 3,3 miliona klientów w Ameryce Północnej i wyszło na jaw w maju 2021 roku.

Ponad 90 000 klientów w Stanach Zjednoczonych i Kanadzie miało bardziej wrażliwe dane, w tym informacje o uprawnieniach do pożyczki, a także daty urodzenia i numery ubezpieczenia społecznego.

Haker, zidentyfikowany przez pseudonim „000”, napisał, że chce sprzedać zawartość bazy danych za około 5000 USD.

Jak to się stało?

Sprzedawca Volkswagena, nienazwany przez firmę, pozostawił niezabezpieczone dane klientów z okresu od 2014 do 2019 roku.

Sprzedawca zebrał informacje o klientach w imieniu Volkswagena, aby wspomóc ich inicjatywy sprzedażowe i marketingowe.

Volkswagen do tej pory odmówił komentarza na temat tego, w jaki sposób dokładnie zhakowano dostawcę, twierdząc, że stało się tak, ponieważ „dane elektroniczne pozostały niezabezpieczone w pewnym momencie między sierpniem 2019 r. a majem 2021 r.”.

Od tego czasu wszczęto wiele dochodzeń, a Volkswagen jest przedmiotem pozwu zbiorowego złożonego w czerwcu 2021 r.

Czego się nauczyliśmy?

Wiele firm zleca na zewnątrz kilka aspektów swojej działalności, w tym usługi marketingowe.

Przed podjęciem współpracy z dostawcą organizacje powinny mieć pewność, że będą chronić powierzone im dane, zwłaszcza jeśli dotyczą one danych osobowych klientów (PII).

Firmy działające w branżach, w których obowiązują surowe przepisy dotyczące zgodności, takie jak opieka zdrowotna, powinny podwójnie uważać na to, z kim współpracują w zakresie usług.

Kaseya

Co się stało?

W lipcu 2021 r. firma programistyczna Kaseya odkryła, że ​​wielu dostawców usług zarządzanych i ich klientów było atakowanych przez oprogramowanie ransomware mające wpływ na rozwiązanie do zdalnego monitorowania i zarządzania (RMM) firmy Kaseya.

Kaseya stwierdziła, że ​​w ataku ucierpiało od 800 do 1500 firm korzystających z ich oprogramowania, a hakerzy żądali okupu w wysokości 70 milionów dolarów za zwrócenie zaszyfrowanych danych do MSP.

Kaseya zareagowała zamykając systemy, zanim udostępniła użytkownikom narzędzie do wykrywania włamań, pomagając im określić, czy zostali dotknięci.

Oświadczyli, że hakerom nie zapłacono żadnego okupu.

Jak to się stało?

Hakerzy wykorzystali exploita zero-day, aby ominąć protokoły uwierzytelniania i uruchomić wykonywanie dowolnych poleceń w produkcie do zdalnego monitorowania VSA firmy Kaseya.

To pozwoliło im przesyłać aktualizacje zawierające złośliwe oprogramowanie do klientów MSP firmy Kaseya, infekując ich oprogramowaniem ransomware.

Czego się nauczyliśmy?

Exploity dnia zerowego, które odnoszą się do wykorzystywania nowych luk w zabezpieczeniach, zanim zostaną załatane i zaktualizowane, nadal stanowią problem w cyberbezpieczeństwie.

2021 był największym rokiem w historii wykorzystania luk zero-day.

Ataki dnia zerowego to ciągła gra w cios w kreta, w którą inżynierowie grają z hakerami, aby zapobiec tym lukom.

Nowsze techniki bezpieczeństwa, w szczególności te, które wykorzystują wzorce zachowań i uczenie maszynowe do określania zagrożeń, będą niezbędne do powstrzymania ataków dnia zerowego.

Firmy, które jeszcze tego nie zrobiły, powinny rozważyć zainwestowanie w technologie polowania na zagrożenia, aby aktywnie chronić swoje systemy za pomocą zaawansowanych proaktywnych narzędzi cyberbezpieczeństwa.

Ubiquiti

Co się stało?

Ubiquiti jest producentem zaawansowanych technologii konsumenckich, w tym routerów, kamer bezpieczeństwa i innych urządzeń Internetu rzeczy (IoT), z naciskiem na bezpieczeństwo.

W styczniu 2021 r. firma zaleciła użytkownikom zresetowanie haseł po naruszeniu, które dotyczyło zewnętrznego dostawcy chmury.

Ubiquiti powiedział później klientom, że imiona i nazwiska, adresy e-mail, zaszyfrowane dane uwierzytelniające i numery telefonów zostały naruszone, ale nie wyjaśnił, ilu klientów zostało naruszone.

Pozorny rutynowy incydent związany z bezpieczeństwem zyskał na znaczeniu, gdy demaskator stwierdził pod koniec marca 2021 r., że incydent został zbagatelizowany i w rzeczywistości był „katastrofalny”.

Jak to się stało?

Zamiast z winy zewnętrznego dostawcy, informator twierdził, że Ubiquiti faktycznie hostował dane na platformie AWS Amazona.

Hakerzy najwyraźniej uzyskali dostęp administratora do baz danych za pomocą skradzionych danych logowania LastPass.

Po skradzieniu danych hakerzy zażądali od Ubiquiti 50 bitcoinów (BTC) (około 2–3 mln USD), który się z nimi nie angażował.

W wyniku naruszenia i niejasnej komunikacji i wiadomości do klientów, cena akcji Ubiquiti spadła o 25% i jeszcze się nie poprawiła.

Czego się nauczyliśmy?

Należy monitorować i utrzymywać kontrole dostępu i zasady dotyczące oprogramowania innych firm w organizacjach.

Kto ma dostęp do czego i dlaczego? To pytanie, które firmy zadają sobie zbyt rzadko, często prowadzi do zwiększonej liczby wektorów ataków dla cyberprzestępców.

Ponadto w wielu z tych przypadków nie stosowano uwierzytelniania wieloskładnikowego — w tym przypadku wymagane było proste hasło, do którego hakerzy uzyskali dostęp.

Gdyby wymagano od nich również uwierzytelnienia za pośrednictwem telefonu pracownika, atak zostałby powstrzymany.

W przeciwnym razie naruszenie Ubiquiti pokazuje, że firmy muszą być całkowicie otwarte w przypadku ataków, ponieważ uszczerbek na reputacji, który może wyniknąć z incydentów, takich jak upublicznienie informacji przez sygnalistów, może być druzgocący — zawsze należy jasno informować i ujawniać klientom dokładnie to, co powinni wiedzieć; to ich dane i nie zasługują na nic mniej.

Dolna linia

Przyjrzeliśmy się kilku największym naruszeniom danych w 2021 roku.

Jak widać, do naruszeń danych może dochodzić z powodu szerokiej gamy wektorów ataków, a każdy z nich jest niezwykle niebezpieczny dla operacji biznesowych.

Każdemu z włamań, którym przyjrzeliśmy się dzisiaj, można było zapobiec, a istnieją rozwiązania, które mogą zapewnić firmie doskonałą pozycję do odpierania ataków.

Organizacje, które są niepewne swojego profilu cyberbezpieczeństwa, powinny rozważyć przeprowadzenie oceny ryzyka, aby uzyskać jasny obraz rozwiązań, które muszą wdrożyć, aby nie paść ofiarą, jak te firmy zrobiły w 2021 roku.

Jeśli potrzebujesz cyberbezpieczeństwa, ale nie masz pewności, od czego zacząć, rozważ przeprowadzenie audytu ryzyka przez Impact. Skontaktuj się z nami już dziś, aby zapewnić sobie przyszłość.