dataleak.png
نشت داده های شخصی هر روز اتفاق می افتد. بعضی از این حوادث به اخبار راه پیدا می کنند ولی بعضی دیگر ناگفته باقی می مانند. تنها در ایالات متحده، 163 میلیون کاربر فقط امسال قربانی حوادث نشت داده شدند. برای آنهایی که حساب این حوادث دستشان نیست، باید بگوئیم این تعداد چهار برابر سال قبل است.

البته سال 2017 هنوز تمام نشده است، اما می خواهیم از بزرگترین نشت داده های اتفاق افتاده از ابتدای سال بگوئیم. منصفانه تر این است که این لیست را با یاهو و 3 بیلیون حساب نشت شده آن شروع کنیم. با اینکه این نشت در سال 2013 اتفاق افتاد، اخبار جدید از وسعت این نشت در ماه اکتبر منتشر شد.

5- Avanti Markets : یک و نیم میلیون حساب کاربری

ممکن است تا بحال هیچ چیزی از Avanti نشنیده باشید، Avanti کمپانی سازنده دستگاه های مکانیزه فروش میان وعده و اسنک به ناهارخوری های شرکتی است. در ماه جولای این شرکت اعلام کرد که بدافزاری در بعضی از پایانه های فروش آن راه پیدا کرده است. مهاجمان موفق شدند بعضی از این دستگاه ها را با یک بدافزار تا حدودی پیچیده که مخصوصا برای استخراج شماره های کارت های اعتباری، تاریخ انقضاء و کد CVV طراحی شده بود، آلوده کنند. اینکه آنها چگونه توانستند این دستگاه ها را آلوده کنند، مشخص نیست. در بعضی از موارد، مهاجمان حتی به اطلاعات بیومتریک مشتریان نیز دست پیدا کردند، بعضی از این پایانه های فروش مجهز به حسگر های اثر انگشت بودند. تفاوت در تنظیمات کیوسک ها باعث شده بود که مهاجمان نتوانند کل شبکه را هک کنند. به همین دلیل، شرکت موفق نشد با دقت آسیب ها را حدس بزند و اعلام کرد که اطلاعات حداقل 1.6 میلیون حساب لو رفته است.

4- Election Systems & software: یک میلیون و هشتصد حساب کاربری

در ماه آگوست، متخصصان امنیتی IT یک فضای ذخیره ابری باز روی سرور آمازون پیدا کردند. این فضا شامل نسخه کپی پشتیبان داده های Election Systems & Software می شد، شرکتی که سازنده ماشین های رای دهی و سیستم های مدیریت انتخابات است. این داده ها تقریبا شامل 2 میلیون حساب کاربری رای دهندگان آمریکائی همراه با نام، آدرس، تاریخ تولد و تمایلات حزبی می شد. به صورت پیش فرض، دسترسی به فضای ذخیره AWS تنها پس از احراز هویت ممکن است، اما اشتباه انتخاب کردن تنظیمات به دلایل نامعلوم باعث شد دسترسی عموم مردم به این فضا ممکن باشد. هیچ راهی نیست که بدانیم آیا قبل از آنکه محققان به این موضوع پی ببرند کسی به این داده ها دسترسی پیدا کرده است یا خیر، اما داده های شخصی 1.8 میلیون نفر به صورت عمومی قابل دسترس بود، در نتیجه این حادثه با تعریف نشت داده جور در می آید.

3- Dow Jones & Company : دو میلیون و دویست حساب کاربری

حادثه Dow Jones هم خیلی شبیه به مورد قبلی است به این صورت که اینبار هم صحبت از فضای AWS همراه با آرشیو داده است. این بار هم مشکل بخاطر تنظیمات بود، اما اینبار داده ها برای همه مردم دنیا قابل دسترس نبود، بلکه فقط برای مصرف کنندگان سرویس AWS آمازون قابل دسترس بود. Dow Jones یکی از بزرگترین آژانس های اطلاعات مالی در دنیا است. در این حادثه، اطلاعات شخصی و مالی میلیون ها مشترک وال استریت ژونال، انتشارات بارونز و دیگر روزنامه ها و مجله ها به خطر افتاد. این قضیه که آیا مجرمان توانستند قبل از اصلاح تنظیمات فضای کلود به این داده ها دست پیدا کنند، نامشخص است.

2- America’s Job link Alliances : پنج و نیم میلیون حساب کاربری

آسیب پذیری در نرم افزار بر پایه وب در یک موتور جستجوی بزرگ آنلاین به هکر های ناشناخته اجازه داد تا نام، تاریخ تولد، شماره تامین اجتماعی کاربران 10 ایالت مختلف را بدست بیاورند. در ماه فوریه، هکر پس از باز کردن حساب کاربری در این سیستم از این آسیب پذیری استفاده کرد تا به اطلاعات 5.5 میلیون حساب کاربری دسترسی پیدا کند. این هک دو هفته بعد کشف شد، بعد از آن آسیب پذیری برطرف شد. در اطلاعیه منتشر شده در یک نشریه رسمی، America’s Job Link Alliance این آسیب پذیری را توضیح داد و گفت که تنظیمات اپلیکیشنی که بخشی از بروزرسانی اکتبر 2016 بود به صورت اشتباه انتخاب شده بود.

1-Equifax: صد و چهل و پنج میلیون حساب کاربری

و حالا مهمترین نشت سال 2017 ، هک سایت Equifax . در سپتامبر، نمایندگان این کمپانی فاش کردند که هکر ها به پایگاه داده این آژانس مالی که شامل نام مشتریان، شماره تامین اجتماعی، تاریخ تولد و آدرس هایشان می شد، دست پیدا کرده اند. این نشت بیش از یک ماه طول کشیده بود، از اواسط ماه می تا اواخر ماه جولای. برای بدست آوردن داده ها، مهاجمان از آسیب پذیری در فریم ورک Apache Struts 2 استفاده کردند. از همه مهمتر،اطلاعات 209000 کارت اعتباری لو رفتند، همینطور اسنادی که شامل 182000 داده شخصی می شدند. آسیب پذیری که منجر به لو رفتن داده شد، توسط شرکت Oracle در ماه مارچ از بین رفته بود اما دو ماه بعد، Equifax ، یکی از بزرگترین آژانس های مالی بزرگ در ایالات متحده هنوز این نسخه بروزرسانی شده را نصب نکرده بود.

در چهار تا از این موارد، نشت داده ها کاملا قابل جلوگیری بود. در حوادث مربوط به شرکت های Election System & Software و Dow Jones ، اطلاعات با انتخاب اشتباه تنظیمات نرم افزار، حفاظت نشده باقی مانده بود. America’s Job Link Alliance از یک آسیب پذیری شناخته شده از اپلیکیشن وب آسیب دیده بود. در مورد Equifax مشکل به خاطر سهل انگاری در بروز رسانی اتفاق افتاده بود. بروز رسانی به موقع این آسیب پذیری را قبل از سوء استفاده از آن از بین می برد. به طور خلاصه، این نشت ها با اصلاح به موقع زیر ساخت IT درست می شود، کاری که باید به طور منظم در کمپانی های با اندازه های مختلف انجام بگیرد.