Взлом инфраструктуры компании Dell. Ряд массовых утечек персональных данных
29 ноября 2018 года
За последнюю неделю раскрыта информация о нескольких крупных инцидентах, связанных с утечкой персональных данных:
- Компания Dell опубликовала сведения о произошедшей 9 ноября атаке на внутреннюю сеть компании, в результате которой злоумышленники получили доступ к инфраструктуре, обеспечивающей работу сайта dell.com. В том числе зафиксирована попытка выгрузки базы пользователей Dell, включающей персональные данные (ФИО, email) и хэши паролей (информация о степени надёжности применяемого метода хэширования не приводится). БД с номерами кредитных карт не пострадала. В качестве ответной меры компанией Dell инициирован процесс смены паролей. Всем пользователям, имеющим учётную запись на dell.com, рекомендуется убедиться, что используемый пароль не применялся для авторизации на других сайтах.
- В сети обнаружен доступный без авторизации сервер ElasticSearch, предоставляющий сведения о персональных данных около 57 млн жителей США (общий размер БД - 73GB).
Данные включают ФИО, email, домашний адрес, ZIP-код, номер телефона и IP-адрес. Утечка была выявлена в ходе аудита незащищённых серверов, проиндексированных поисковой системой Shodan. Проблемный сервер был впервые проиндексирован 14 ноября. По косвенным данным владельцем сервера является канадская компания Data & Leads Inc, специализирующаяся на обработке больших объёмов данных. Примечательно, что летом из-за ненадлежащей конфигурации ElasticSearch в открытом доступе оказалась БД маркетинговой компании Exactis, включающая сведения практически обо всех взрослых жителях США.
- Из-за технической ошибки произошла утечка имён и email-адресов клиентов интернет-магазина Amazon. Детали инцидента и число пострадавших пользователей не сообщается, утверждается только, что из-за ошибки на сайте раскрывались не подлежащие разглашению персональные сведения.
- Выявлена возможность получения доступа к персональным данным около 60 млн пользователей USPS (Почтовая служба США). Проблема вызвана некорректной реализацией Web API, который позволял любому зарегистрированному пользователю USPS узнать детальные сведения о других пользователях, включая ФИО, email, адрес и телефон. Так как API USPS поддерживает обработку запросов по маскам, имелась возможность пакетной выгрузки больших объёмов персональных данных.
- Неавторизированный доступ к больничной информационной системе Atrium Health привёл к утечке записей о более чем 2.6 млн пациентов. Утечка содержимого БД произошла в результате взлома инфраструктуры компании AccuDoc Solutions, подключенной к информационной системе Atrium Health.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
