Vuoden 2018 pahimmat häkit: Marriott, Atlanta, Quora ja muut


Vuosien kohdennettujen häkkien, eeppisten heistien ja tehtaan tietojen rikkomisen jälkeen saatat ajatella, että laitokset saavat järkevää vahvan kyberturvallisuuden merkitystä. Näyttää siltä, ​​että vuosi 2018 ei ollut vuosi.

Tässä on WIRED-katsaus suurimpiin rikkomuksiin, tietosuojauksiin, ransomware-hyökkäyksiin, valtion tukemiin kampanjoihin ja vuoden yleisiin häkkeihin. Pysy turvassa vuonna 2019.

Marriott

Marraskuun lopulla massiivinen hotelliketju Marriott ilmoitti, että jopa 500 miljoonaa matkustajaa, jotka ovat tehneet varauksen Starwood-hotellissa vuodesta 2014 lähtien, olivat vaarantaneet heidän tietonsa. Hack on peräisin Starwoodin varausjärjestelmästä; Marriott hankki tämän hotelliryhmän syyskuussa 2016, mutta tunkeutuminen ei havaittu vasta tämän vuoden 8. syyskuuta. Marriott sanoo estäneensä hyökkääjän pääsyn 10. syyskuuta mennessä, mutta se kesti 19.11. Asti, jotta yritys ymmärsi täysin rikkomisen laajuuden. Raportit ovat yhä useammin osoittaneet, että valtion tukemat kiinalaiset hakkerit olivat hyökkäyksen takana, vaikka tätä ominaisuutta ei ole virallisesti vahvistettu. Varastetut tiedot olisivatkin vakoilusotia valtion hakkereille. Noin 170 miljoonalla vaikuttavalla Marriott-asiakkaalla oli vain nimensä ja perustiedot, kuten osoite tai sähköpostiosoite, varastettu, mutta noin 327 miljoonaa ihmistä menetti paljon enemmän. Marriott sanoo, että tällä suuremmalla ryhmällä oli erilaisia ​​yhdistelmiä nimen, osoitteen, puhelinnumeron, sähköpostiosoitteen, syntymäajan, sukupuolen, matka- ja varaustietojen, passin numeron ja Starwood Preferred Guest -tilien tietojen varalta. Marriott-tapahtuma on yksi historian suurimmista tietojen rikkomisista.

Facebook

Syyskuun lopussa Facebook julkisti tietosuojaa, jossa hyökkääjät pääsivät 30 miljoonaan tiliin varastamalla "käyttäjän valtuutusmerkkejä", pääosin pääsyn merkkejä, jotka syntyy käyttäjän onnistuneen kirjautumisen jälkeen. Sivustot käyttävät valtuutusmerkkijärjestelmiä, jotta käyttäjät eivät t täytyy kirjautua useaan kertaan, kun ne liikkuvat alustan ympäri. Facebookin tapauksessa hyökkääjät koordinoivat kolmea erilaista vikaa sosiaalisen verkoston "View As" -toiminnossa tarttumalla käyttäjätunnuksia, pääsemään Facebook-tileihin ja suodattamaan merkittävän ja monipuolisen käyttäjätietojen. Haavoittuvuuksia esiintyi Facebookin alustalla heinäkuusta 2017 lähtien, mutta yhtiö havaitsi heille vain epäilyttävän toiminnan syyskuun 14. päivänä. Lopulta Facebook löysi syyt ja hyökkäyksen 25. syyskuuta. Näin voit tarkistaa, onko Facebook-tilisi tiedot vaarantuneet rikkomisessa. Yhtiö tutkii FBI: tä ja ei ole sanonut, kuka on ollut hakkerin takana. Tapahtuma on Facebookin ensimmäinen tiedossa oleva tietosuoja – vaikuttava, koska foorumi on ollut olemassa jo yli vuosikymmenen ajan. Sen sijaan, että yrityksen yhä epämukavampi ennätys kolmansien osapuolten käyttörajoituksista ja äskettäinen tapahtuma, jossa vika paljasti 6,8 miljoonan käyttäjän valokuvan kolmannen osapuolen kehittäjille, on vaikea tuntea, että asiat menevät yhtä hyvin kuin käyttäjät voivat yksityisyyden ja tietojen hallinta.

Atlanta Ransomware

Maaliskuussa ransomware-hyökkäys lukitsi Atlantan kaupungin digitaaliset järjestelmät, jotka destabilisoivat kuntien toimintaa. Elpyminen kesti kuukausia, puhumattakaan miljoonista dollareista. Tunnettu SamSam-rikollisen hakkeriryhmä kohdistui kaupunkiin ja pyysi noin 50 000 dollarin arvosta bitcoinia. Ransomware-hyökkäys vaikutti viiteen Atlantan 13 osastoon ja heikensi palveluja, kuten Atlantan poliisilaitoksen tietojärjestelmää, infrastruktuurin ylläpitopyyntöjä ja tuomioistuinten verkostoja. Atlantan asukkaat eivät myöskään pystyneet maksamaan vesilaskua päivinä. Marraskuun lopussa oikeusministeriö syytti kahta Iranin miestä väitetysti suorittamasta SamSam-hyökkäyksiä.

Olympic Destroyer, kahdesti

Pyeongchangin olympialaisten johdosta venäläiset hakkerit käynnistivät useita niihin liittyviä tietoverkkoratkaisuja vastatoimina maan dopingin kieltämisestä peleistä. Sitten ennen helmikuun olympialaisten avajaistilaisuutta he järjestivät häkin, joka rikkoisi tapahtuman IT-infrastruktuuria, pudottamalla Wi-Fi, olympialaisten verkkosivut ja verkkolaitteet prosessissa. Hakkerit käyttivät matalaa, joka nimettiin Olympic Destroyeriksi, jotta se saattaisi tuhoa, kun tapahtumatehtaat kilpaavat palata palveluun. Sitten heinäkuussa samat hakkereita uudelleen – tällä kertaa alustavia keihäshyökkäyksiä vastaan ​​laboratorioita vastaan, jotka tutkivat biologisia ja kemiallisia uhkia Ranskassa, Saksassa, Sveitsissä, Venäjällä ja Ukrainassa. Tarkemmin sanottuna kohdennettu laboratorio tutkii entisen venäläisen kaksoisagentin Sergei Skripalin myrkytystä. Nämä hyökkäykset eivät kääntyneet tuhoaviksi – vaikka mikään ei kertonut, olisiko heillä ollut turvallisuustutkijoita, etsimään niitä ensin.

Quora

Joulukuun alussa Quora ilmoitti välittömästi Marriott-hyökkäyksen jälkeen, että sen foorumi oli myös rikottu. Hyökkääjät saivat tietoa 100 miljoonasta tilistä. Quora löysi ongelman ensimmäisen kerran 30. marraskuuta, ja sen sisäinen turvallisuusryhmä työskentelee yhdessä ulkopuolisen yrityksen kanssa, jotta tapahtuma voitaisiin sulkea ja tutkia. Vaikka Quora ei tallenna taloudellisia tietoja, yksityiskohdat, kuten käyttäjän sosiaaliturvatunnus, muut tiedot, kuten nimet, sähköpostiosoitteet, IP-osoitteet, käyttäjätunnukset, salatut salasanat, käyttäjätilin asetukset, käyttäjän Quoran aktiviteetti ja sisältö – myös luonnokset – ja tiedot kohteesta mahdollisesti yhdistetyt palvelut, kuten Google ja Facebook, saattavat olla vaarassa. Tapahtuma oli merkittävä osittain siitä, kuinka arkipäiväistä se tuntui mittakaavastaan ​​huolimatta Marriott-rikkomisen vieressä. Yritystietojen kompromissit ovat niin yleisiä, että 100 miljoonan alttiina olevan tilin määrä ei enää tuntuu kovinkaan paljon.

VPNFilter

Reitittimille suunnattu venäläinen hakkerointikampanja vaaransi tänä keväänä 500 000 laitetta maailmanlaajuisesti käyttämällä VPNFilter-nimistä haittaohjelmaa. Virusta voidaan käyttää tartunnan saaneiden laitteiden koordinoimiseen ja muuttamiseen kollektiiviseksi botnet-verkoksi, ja sitä voidaan käyttää myös uhrien web-toiminnan haavoittamiseen ja jopa sen manipuloimiseen. Yhdysvaltain virkamiehet määrittelivät VPNFilterin julkisesti Venäjälle toukokuussa, ja analyytikot ovat liittäneet sen tunnetun GRU: n hakkeriryhmään Fancy Bear. Kesäkuun alussa Cisco Talosin tutkijat julkaisivat havaintoja, joiden mukaan haittaohjelmat olivat vielä joustavampia ja haitallisia kuin alun perin. VPNFilteriä voidaan käyttää tietojen varastamiseen ja roskapostikampanjoiden suorittamiseen tai kohdistettujen hyökkäysten käynnistämiseen tiettyjä uhreja vastaan. Haittaohjelmat voivat tarttua valtavirran reitittimiin yrityksiltä, ​​kuten Netgear, TP-Link, Linksys, ASUS, D-Link ja Huawei.

British Air ja Cathay Pacific

Syyskuun alussa British Airways paljasti tietojen rikkomisen, joka vaikutti 380 000 tämän vuoden elokuun ja 5. syyskuuta välisenä aikana tehtyihin varauksiin. Yhtiö sanoi, että nimet, osoitteet, sähköpostiosoitteet ja arkaluonteiset maksukorttitiedot varastettiin rikkomisessa. Yleisesti tunnetun rikollisryhmän Magecartin hakkerit vetäytyivät hyökkäyksestä arvioimalla erityisesti lentoyhtiön digitaaliset järjestelmät ja räätälöimällä suunnitelman haitallisen kuorintakoodin asentamiseksi maksutietojen syöttölomakkeisiin. Näin jokainen, kun joku antoi tietoja varauksen tekemiseksi, kaikki tiedot menevät hiljaa Magecartiin.

Cathay Pacific ilmoitti myös maaliskuussa tapahtuneesta entistä suuremmasta tietojen rikkomisesta, joka vaikutti 9,4 miljoonaan matkustajaan. Lentoyhtiö julkisti rikkomisen ensimmäisen kerran lokakuun lopussa. Sitten se lisäsi marraskuussa, että tunkeutuminen oli ollut vieläkin voimakkaampaa kuin alun perin sanoi, ja että hakkerien torjumiseksi kesti kolme kuukautta. Cathaya on arvosteltu laajalti sen viivästyneestä julkistamisesta ja siitä, ettei tapahtuma ole läpinäkyvä. Rikkomukseen varastetut tiedot sisälsivät matkustajien nimet, syntymäajat, osoitteet, puhelinnumerot, sähköpostiosoitteet, kansallisuudet, passi- numerot, toistuvat lentäjien numerot ja muut tunnistenumerot. Lentoyhtiöt voivat olla hakkereille erityisen arvokkaita tavoitteita, koska niillä on sekä henkilökohtaisia ​​että taloudellisia tietoja sekä matkatietoja ja passin numeroita.

Apollo

Myynti-tiedustelupalvelu Apollo julkisti lokakuussa valtavan rikkomisen, joka sisälsi monipuolisen valikoiman tietoja yrityksistä ja heidän työntekijöistään. Tapahtumaan liittyy miljardeja ennätyksiä, koska Apollo on tietojenkeräys osana sen liiketoiminnan analysointipalvelua. Paljon tietoja oli julkisesti saatavilla ja kaavittu verkosta, myös LinkedInistä ja Twitteristä. Mutta tämä voi silti olla vaarallista hakkerille saada käsiinsä yhteen paikkaan, koska se helpottaa roskapostin ja phishing-kampanjoiden ja muuntyyppisten digitaalisten hyökkäysten käsittämistä. Lisäksi osa Apollo-tietokannasta oli sisäistä liiketoimintatietoa. Apollon tietokanta jäi alttiiksi ja oli helposti kaikkien saatavilla, kuten ongelman löytänyt tietoturvatutkija ja paljastanut sen Apollolle. Tiedot näyttävät myös saaneen tutustua myös ainakin kerran.

Arvoisat maininnat: Google+

Google ilmoitti lokakuussa, että se aikoo sammuttaa sosiaalisen verkostonsa Google+. Yhtiö sanoi, että laajan tarkastuksen jälkeen se oli päätellyt, että Google+ ei ole kannattanut kustannuksia tukemalla ja varmistamalla. Yhtiö sanoi myös, että se oli löytänyt Google+ -palvelussa virheen, joka oli paljastanut 500 000 käyttäjien tietoja noin kolme vuotta. Käyttäjien ja Google+ -palvelun välillä ei ikinä ole paljon rakkautta, mutta sen jälkeen asiat ovat todellisuudessa vielä todellisempia. Joulukuun alussa Google ilmoitti, että Google+ -liittymän API-ohjelmassa on ollut ylimääräinen virhe, joka oli paljastanut 52,5 miljoonan tilin käyttäjän tiedot. Virhe julkaistiin 7. marraskuuta päivitetyssä ohjelmistopäivityksessä, ja Google löysi ja korjasi sen marraskuun 13. päivään mennessä, joten sovelluskehittäjillä oli ongelmallinen tietojen saatavuus vain kuuden päivän ajan. Molemmissa tapauksissa Google sanoi, ettei sillä ole mitään todisteita siitä, että vikoja olisi hyödynnetty, mikä tarkoittaa, että nämä olivat todennäköisesti altistuksia, eivät rikkomuksia. Toisen tapahtuman jälkeen yritys kuitenkin seurasi Google +: n loppupäivää huhtikuuhun.


Lisää suuria WIRED-tarinoita