Najhoršie hacks z roku 2018: Marriott, Atlanta, Quora a ďalšie


Po rokoch cielených hackerov, epických výpadov a prerušenia zlyhaní údajov o mlynoch si možno myslíte, že inštitúcie budú rozumom dôležitosti silnej kybernetickej bezpečnosti. Zdá sa, že rok 2018 nebol rok.

Tu je WIRED pozrieť späť na najväčšie porušenie, dáta expozície, ransomware útoky, štátom sponzorované kampane a všeobecné hacks roka. Zostaňte v bezpečí v roku 2019.

Marriott

Koncom novembra masívny hotelový reťazec Marriott oznámil, že až 500 miliónov cestujúcich, ktorí uskutočnili rezerváciu v hoteli Starwood od roku 2014, mali svoje údaje ohrozené. Hack vznikol v rezervačnom systéme Starwood; Spoločnosť Marriott získala túto hotelovú skupinu v septembri 2016, ale vniknutie sa nezistilo až do 8. septembra tohto roku. Marriott hovorí, že zablokoval prístup útočníkov do 10. septembra, ale trvalo až do 19. novembra, kým spoločnosť úplne pochopila rozsah porušenia. Správy čoraz viac naznačujú, že čínski hackeri sponzorovaní zo štátu boli za útokom, aj keď toto priznanie nebolo oficiálne potvrdené. Kradnuté údaje by však boli pre vládnych hackerov špionážnou bonanziou. Približne 170 miliónov postihnutých zákazníkov spoločnosti Marriott malo len svoje meno a základné informácie, ako napríklad adresu alebo e-mailovú adresu ukradnuté, ale asi 327 miliónov ľudí stratilo oveľa viac. Marriott hovorí, že táto väčšia skupina mala rôzne kombinácie mena, adresy, telefónneho čísla, e-mailovej adresy, dátumu narodenia, pohlavia, informácie o výlete a rezervácii, čísla pasov a odcudzených informácií účtu Starwood Preferred Guest. Incident Marriott je jedným z najväčších narušení údajov v histórii.

Facebook

Koncom septembra spoločnosť Facebook zverejnila porušenie údajov, v ktorom útočníci získali prístup k 30 miliónom účtov tým, že odcudzili "tokeny na autorizáciu používateľa", v podstate prístup k odznakom, ktoré sa generujú po úspešnom prihlásení používateľa. Lokality používajú schémy autorizačného tokenu, t sa musia prihlásiť viackrát, keď sa pohybujú okolo platformy. V prípade Facebooku útočníci koordinovali využívanie troch rôznych chýb v funkcii "Zobraziť ako" v sociálnej sieti, aby získali používateľské tokeny, získali prístup k účtom Facebook a vyfiltrovali významný a rôznorodý súbor používateľských údajov. Zraniteľnosti existovali na platforme Facebook od júla 2017, ale spoločnosť zistila len podozrivú aktivitu, ktorá sa ich týka 14. septembra tohto roku. Spoločnosť Facebook nakoniec našla chyby a útok 25. septembra. Tu je návod, ako skontrolovať, či boli vaše údaje v účte Facebook porušené. Spoločnosť vyšetruje s FBI a nepovedala, kto by mohol byť za hackom. Incident je prvým známym porušením údajov na Facebooku – pôsobivé, keďže platforma existuje už viac ako desať rokov. Avšak medzi čoraz častejšie zaznamenanými záznamami o prístupových limitoch tretích strán a nedávnym incidentom, v ktorom bola chyba odhalená 6,8 milióna užívateľských fotografií vývojárom tretích strán, je ťažké sa cítiť, že veci prebiehajú tak dobre, ako by mohli používateľovi ochrana súkromia a údajov.

Atlanta Ransomware

V marci útok na ransomware zablokoval digitálne systémy mesta Atlanta a destabilizoval mestské operácie. Obnova trvala niekoľko mesiacov, nehovoriac o miliónoch dolárov. Známy kriminálny hackerský tím SamSam sa zameral na mesto a požiadal o sumu okolo 50 000 dolárov. Rázový útok postihol päť z 13 vládnych rezortov v Atlante a podkopal služby, ako je evidenčný systém policajného oddelenia Atlanta, požiadavky na údržbu infraštruktúry a súdne siete. Aj obyvatelia Atlanta nemohli zaplatiť svoje účty za vodu za celé dni. Koncom novembra ministerstvo spravodlivosti obvinilo dvoch iránskych mužov za údajné útoky SamSam.

Olympijský ničiteľ, dvakrát

V čele s olympijskými hrami v Pyeongchang ruskí hackeri spustili množstvo súvisiacich kybernetických útokov ako odplaty za zákaz dopingu zo strany krajín. Potom pred slávnostným otvorením olympijských hier vo februári organizovali hack, ktorý ochromil IT infraštruktúru podujatia, vyradil Wi-Fi, webové stránky olympijských hier a sieťové zariadenia v procese. Hackeri použili červ, nazývaný olympijským torpédoborcom, aby spôsobili zmätok, pretože technici incidentu prekonali obnovenie služby. Potom sa v júni znova objavili tí istí hackeri – tentoraz v útokoch pred útokom proti laboratóriám, ktoré vyšetrujú biologické a chemické hrozby vo Francúzsku, Nemecku, Švajčiarsku, Rusku a na Ukrajine. Konkrétne, cielená laboratórium skúma otravu bývalého ruského dvojitého agenta Sergeja Skripala. Tieto útoky sa nerobili deštruktívne – aj keď sa nedá povedať, či by ich bezpečnostní vedci nemali najprv vidieť.

Quora

Začiatkom decembra, bezprostredne po správach o útokoch na Marriott, Quora oznámila, že aj jeho platforma bola porušená. Útočníci vyrazili s informáciami zo 100 miliónov účtov. Spoločnosť Quora prvýkrát objavila túto problematiku 30. novembra a jej tím pre vnútornú bezpečnosť spolupracuje s externou firmou, aby tento incident obsahoval a vyšetril. Napriek tomu, že spoločnosť Quora neuchováva finančné informácie, údaje ako napríklad číslo sociálneho zabezpečenia používateľa, iné údaje, ako sú mená, e-mailové adresy, adresy IP, používateľské mená, šifrované heslá, nastavenia používateľských kont, aktivita Quora používateľa a obsah – potenciálne prepojené služby ako Google a Facebook mohli byť ohrozené. Incident bol významný čiastočne kvôli tomu, ako sa zdalo svetské, napriek jeho rozsahu, vedľa porušenia Marriott. Korporátne kompromisy údajov sú tak bežné, že 100 miliónov účtov, ktoré sú vystavené, sa ani necíti ako veľa.

VPNFilter

Ruská hackerská kampaň zameraná na routery kompromitovala 500 000 zariadení na celom svete túto jar s použitím typu malware nazývaného VPNFilter. Vírus môže byť použitý na koordináciu infikovaných zariadení a premeniť ich na kolektívne botnet a môže sa tiež použiť na špehovanie webových aktivít obetí a dokonca aj na manipuláciu s nimi. Americkí predstavitelia verejne pripísali VPNFilter do Ruska v máji a analytici ho spojili so známym hackingovým zoskupením GRU Fancy Bear. Začiatkom júna výskumníci spoločnosti Cisco Talos zverejnili zistenia, že škodlivý softvér bol ešte flexibilnejší a škodlivejší, než sa pôvodne zdalo. Služba VPNFilter môže byť použitá na ukradnutie údajov a spúšťanie spamových kampaní alebo spustenie cielených útokov proti konkrétnym obetiam. Malware môže infikovať bežné smerovače od spoločností ako Netgear, TP-Link, Linksys, ASUS, D-Link a Huawei.

British Air a Cathay Pacific

Začiatkom septembra spoločnosť British Airways odhalila porušenie údajov, ktoré ovplyvnilo informácie z 380 000 rezervácií uskutočnených od 21. augusta do 5. septembra tohto roku. Spoločnosť uviedla, že v rozpore boli ukradnuté mená, adresy, e-mailové adresy a citlivé údaje o platobných kartách. Hackeri z známej zločineckej skupiny Magecart odtiahli útok konkrétnym hodnotením digitálnych systémov leteckej spoločnosti a prispôsobením plánu na inštaláciu škodlivého skimming kódu vo formulároch na zadávanie platobných údajov. Takto, kedykoľvek niekto zadal informácie, aby urobil rezerváciu, všetky dáta by mlčali na Magecart.

Spoločnosť Cathay Pacific tiež oznámila ešte väčšie porušenie údajov, ku ktorému došlo v marci a ktoré postihlo 9,4 milióna cestujúcich. Letecká spoločnosť prvýkrát odhalila porušenie na konci októbra. Potom v novembri dodal, že narušenie bolo ešte intenzívnejšie, než pôvodne povedal, a trvalo tri mesiace, aby sa hackerom vyhnul. Cathay bola široko kritizovaná za oneskorené zverejnenie a nedostatok transparentnosti o incidente. Údaje ukradnuté v porušení obsahovali mená cestujúcich, dátum narodenia, adresy, telefónne čísla, e-mailové adresy, národnosti, čísla pasov, časté čísla členov lietadla a iné identifikačné čísla. Letecké spoločnosti môžu byť obzvlášť cenným cieľom pre hackerov, pretože majú osobné aj finančné údaje, rovnako ako údaje o cestovaní a čísla pasov.

apollo

Spravodajská firma Apollo zverejnila v októbri masívne porušenie, ktoré zahŕňalo rôznorodú škálu informácií o spoločnostiach a ich zamestnancoch. Incident sa týkal miliárd záznamov, pretože Apollo je agregátor údajov ako súčasť svojej služby obchodnej analýzy. Mnoho údajov bolo verejne prístupné a zlikvidované z webu vrátane odkazov z LinkedIn a Twitteru. To však môže byť nebezpečné pre hackerov, aby dostali svoje ruky na všetko na jednom mieste, pretože im to pomáha vytvárať spamové a phishingové kampane a iné typy digitálnych útokov. Niektoré z napadnutých údajov aplikácie Apollo boli okrem toho interné informácie o obchodných informáciách. Apollov databáza bola ponechaná otvorená a bola ľahko dostupná pre každého, ako výskumný pracovník v oblasti bezpečnosti, ktorý tento problém našiel a odhalil ho Apollovi. Zdá sa však, že aj údaje boli pristupované aspoň raz.

Čestné uznanie: Google+

Spoločnosť Google v októbri oznámila, že sa chystá vypnúť svoju sociálnu sieť Google+. Spoločnosť povedala, že po rozsiahlom audite dospel k záveru, že v podstate spoločnosť Google+ nestojí za náklady na podporu a zabezpečenie. Spoločnosť tiež uviedla, že našla chybu v službe Google+, ktorá odhalila údaje o 500 000 používateľov približne tri roky. Medzi používateľmi a službou Google+ sa nestratí veľa lásky, ale v skutočnosti to ešte viac nastane. Začiatkom decembra oznámil spoločnosť Google, že ďalšia chyba v API služby Google+ odhalila používateľské údaje z 52,5 miliónov účtov. Chyba bola spustená v aktualizácii softvéru z 7. novembra a spoločnosť Google ju našla a opravená do 13. novembra, takže vývojári aplikácií mali len šesť dní problémový prístup k údajom. V obidvoch prípadoch spoločnosť Google uviedla, že nemá žiadne dôkazy o tom, že chyby boli zneužité, čo znamená, že tieto boli pravdepodobne expozície, nie porušenia. Napriek tomu po druhej udalosti spoločnosť rýchlo sledovala dátum ukončenia spoločnosti Google + do apríla.


Ďalšie skvelé príbehy WIRED