5 senaste dataöverträdelser som kan ha satt dina data i fara
Dataöverträdelser är en del av möblerna i våra digitala liv. Knappt en dag går utan att ett annat företag läcker dina data. Och medan dessa händelser blir allt vanligare förändras någonting annat år 2018.
Genomförandet av EU: s allmänna databeskrivningsförordning (GDPR) innebär att företagen nu åtar sig att avslöja överträdelser inom 72 timmar. Det kan vara svårt att hålla koll på alla de senaste hackarna, så vi har avrundat några av årets mest anmärkningsvärda brott.
1. Under Armour
Användare som berörs: 150 miljoner
Data exponerad: Användarnamn, e-postadresser och hashed lösenord
För många människor runt om i världen är diet och motion tracking appen MyFitnessPal (MFP) en daglig kamrat på sin fitnessresa. Så det kom som en liten överraskning när sportkläderföretaget Under Armor förvärvade MFP som en del av deras digitala erbjudande. I mars 2018 släppte Under Armor (UA) ett uttalande om att MyFitnessPal hade äventyras, med användarnamn, e-postadresser och hash-lösenord för appens 150 miljoner användare utsatta.
Företaget agerade snabbt. Inom fyra dagar efter att ha läst om överträdelsen skickade MyFitnessPal en e-postuppdatering till alla användare och sammanställde en FAQ-hemsida. De rekommenderade att alla användare omedelbart byter lösenord och att de skulle fortsätta, något vagt, “göra förbättringar till [deras] system för att upptäcka och förhindra obehörig åtkomst till användarinformation.”
På ytan verkar det som om Armor gjorde rätt av sina användare. Men medan vissa lösenord hade hashed med hjälp av bcrypt-en process för att omvandla ditt lösenord till en oläslig serie tecken. Varje Säker Webbplats gör det med ditt lösenord Varje säker webbplats gör det med ditt lösenord Har du någonsin undrat hur webbplatser håller ditt lösenord säkert från data överträdelser? Läs mer - Föräldrarna var inte så lyckliga. Även om de inte avslöja siffrorna var en del av MFP: s väsentliga användarbas endast skyddad med SHA-1, allmänt betraktad som den svagaste formen av hash.
Även om läckan hände tidigt på året, i september 2018, hade det inte skett några ytterligare uppdateringar om orsaken till överträdelsen eller hur UA hoppas kunna förhindra framtida attacker. Företaget har inte heller detaljerat om de fortsätter att använda SHA-1 hash.
2. British Airways
Användare som berörs: Okänd
Data exponerad: Kundens personliga och ekonomiska uppgifter
När sommaren tog slut i början av september, sa Storbritanniens största flygbolag, British Airways (BA), att de brådskande undersökte stölden av kundinformation. På deras incident information webbplats, sa företaget stölden påverkas “kunder som bokat eller ändrade sina bokningar [...] mellan 22:58 BST 21 augusti 2018 och 21:45 BST 5 september 2018.” De stulna uppgifterna innehöll namn, e-postadress, faktureringsadress och bankkortsuppgifter.
Om du var bland de olyckliga offren för attacken har BA lovat att du inte kommer att vara ute av ficka som ett direkt resultat av stölden. Det är dock värt att notera att de inte har sagt vad de anser vara ett “direkt resultat.” I dagarna efter avslöjandet rapporterade registret att ett externt betalningsskript kunde ha blivit skyldigt för attacken. Säkerhetsfirman RiskIQ sa att attacken sannolikt drogs av en grupp som kallades Magecart, som var ansvarig för en mycket liknande attack på Ticketmaster tidigare 2018.
Precis över ett år före attacken var BA också i centrum för ett massivt datorbrott. Felet bröt företagets IT-system till ett skrikande stopp, grundade alla plan och påverkade tusentals passagerare. Trots att man har rubriker runt om i världen har BA sagt lite om orsaken till det oöverträffade utbrottet.
3. TypForm
Användare som berörs: Okänd
Data exponerad: Survey data inklusive personligt identifierbar information
Om du har fyllt i en online-undersökning de senaste åren har du förmodligen använt datainsamlingswebbplatsen Typeform. Deras undersökningar är populära hos företag eftersom de är lätta att installera och användarvänliga. Typeforms kunder är företag, inte slutanvändare. Så när företaget upptäckte ett brott i juni 2018 varnade de sina kunder.
Typforms incidensresponswebbplats saknar detalj och fokuserar på hur företagen ska berätta för kunderna om upplysningen. Allt vi vet om Typeforms brott är att det var resultatet av obehörig åtkomst till en partiell backup daterad den 3 maj 2018. Även om det inte är klart hur långt tillbaka data sträcker sig. Eftersom Typeform valde att inte ge en detaljerad uppdelning, är det totala antalet drabbade också oklart.
Listan över organisationer som fångas upp i överträdelsen är dock ganska omfattande. De brittiska detaljisterna Fortnum & Mason och John Lewis var bland de drabbade, tillsammans med den australiensiska bakverkskedjan Bakers Delight. Andra kända offer inkluderar Airtasker, Rencore, PostShift, Revolut, Middlesex University Student Union, Monzo, Tasmaniens valkommission, Travelodge och Storbritanniens liberala demokrater.
4. Exactis
Användare som berörs: 340 miljoner
Data exponerad: Allt tänkbart, minus socialförsäkring och kreditkortsnummer
I vår moderna ekonomi handlar vi våra data i utbyte mot gratis produkter och onlinetjänster. Det finns dock en växande rörelse mot denna typ av datainsamling. De refererar negativt till övningen som Surveillance Capitalism. Denna känsla har blivit ännu mer populär i kölvattnet av 2017s Equifax-hack Equihax: En av de mest berömda överträdelserna av all tid Equihax: En av de mest kalamitösa överträdelserna av all tid Equifax-brottet är den farligaste och mest pinsamma, säkerhetsbrottet av hela tiden. Men vet du alla fakta? Har du påverkats? Vad kan du göra åt det? Ta reda på det här. Läs mer och Facebook: s Cambridge Analytica Scandal Facebook Adresser Cambridge Analytica Scandal Facebook Adresser Cambridge Analytica Scandal Facebook har blivit embroiled i det som har kommit att bli känt som Cambridge Analytica-skandalen. Efter att ha varit tyst i några dagar har Mark Zuckerberg nu tagit upp de frågor som tagits upp. Läs mer . Du var nog förvånad över att Equifax hade samlat in detaljerad information om dig bakom din rygg. Tyvärr då blir du inte för chockad att lära sig att de inte var de enda.
I juni använde säkerhetsforskaren Vinny Troia datorsökmotorn Shodan för att avslöja en databas med 340 miljoner poster. Databasen lämnades osäker på en offentligt tillgänglig server av marknadsföringsföretaget Exactis. Medan 145,5 miljoner rekord av Equifax-hacket fick omfattande täckning, överskred Exactis-databasen den vid 340 miljoner poster. I motsats till de aggregerade Equifax-data, hittades databasen Exactis av en säkerhetsforskare. Det finns för närvarande inga bevis på att det har nått onödigt.
Exatis är en datamäklare, som handlar i vår personliga information, vilket är hur de kom för att vara i besittning av nästan 214 miljoner individer och 110 miljoner företagsuppgifter. Enligt WIRED inkluderade posterna “mer än 400 variabler på ett brett spektrum av specifika egenskaper: om personen röker, deras religion, om de har hundar eller katter, och intressen är så varierade som dykning och plagg med stor storlek.”
Det finns dock en silverfoder här. Trots den fenomenala mängden identifierbara data, till skillnad från Equifax, innehöll de ingen finansiell information. Men om det visar sig att en skadlig part kom till databasen, finns det många möjligheter till socialteknik. Så här skyddar du dig mot dessa 8 sociala teknikattacker. Hur skyddar du dig mot dessa 8 samhällstekniska attacker Vilka tekniker för socialteknik skulle hackers användning och hur skulle du skydda dig från dem? Låt oss ta en titt på några av de vanligaste metoderna för attack. Läs mer .
5. Timehop
Användare som berörs: 21 miljoner
Data exponerad: Namn, e-postadresser, födelsedatum, kön, landskoder och telefonnummer
Vår kollektiva nostalgi i åratal har blivit stor verksamhet. Inget företag har kunnat kapitalisera på den här kärleken från det förflutna mer än Timehop. Timehop-appen ansluter till dina sociala nätverk och återuppfyller dina gamla inlägg för att påminna dig om vad du gjorde på den här dagen i det förflutna. I juli 2018 meddelade Timehop att det hade avbrutit ett nätverksintrång på självständighetsdagen.
Trots att attacken stoppats på drygt två timmar kunde inkräktaren ta mycket data. Tyvärr inkluderade detta namn, e-postadresser, födelsedatum, kön och i vissa fall telefonnummer till appens 21 miljoner användare. De kunde dock förhindra att angriparen fick tillgång till sociala medier och privata meddelanden.
Hållaren lyckades få lagrade OAuth2-nycklar, vilket ger tillgång till en användares anslutna sociala nätverk. Innan brottet avslöjade, arbetade Timehop med sociala nätverk för att inaktivera dessa nycklar, vilket tvingade användarna att åter autentisera anslutna konton.
Till skillnad från många av deras samtidiga presenterades deras incidentwebbplats tydligt. Attacken förklarades både i tekniska och raka termer. De gav till och med ett lätt smältbart bord av kombinationerna av åtkomlig data och hur många personer som drabbades. Självklart kommer det här att komma som lite tröst för den nostalgiska appens 21 miljoner offer.
Skydda dig från nästa dataskydd
Tjänster som vi en gång tänkt oss så säkra på att snabbt bli unraveled tack delvis till deras dåliga säkerhetspraxis. Du kan till och med börja undra om någonstans på internet är säker. Speciellt givet hur många gånger datainsamling har utsatt din personliga information. Om du är orolig att något är okej, bör du kontrollera om dina onlinekonton har hackats.
Ansvaret att skydda dig faller under de berörda företagens fötter. Det finns dock sätt att förbättra din cyberhygien Förbättra din cyberhygien i 5 enkla steg Förbättra din cyberhygien i 5 enkla steg I den digitala världen är "cyberhygien" lika viktig som den verkliga personliga hygienen. Regelbundna systemkontroller behövs tillsammans med nya, säkrare onlinevanor. Men hur kan du göra dessa förändringar? Läs mer som stärker ditt försvar. Lösenord är en av våra största huvudvärk, men det finns goda nyheter. Du kanske inte måste vänta för mycket längre innan vi börjar se spännande lösenordsalternativ Inga fler läckor? 3 spännande alternativ för lösenord som kommer snart Inga mer läckor? 3 spännande alternativ för lösenord som kommer snart Lösenordsäkerhet kan känna sig som en oändlig strid. Lyckligtvis finns det några som arbetar med säkerhetsmetoder som kan ersätta lösenord. Läs mer på det vanliga.
Bildkrediter: stevanovicigor / DepositPhotos
Utforska mer om: Säkerhetsbrott.