Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Самые разрушительные утечки из финансовой сферы
В этом дайджесте приводим пять крупнейших утечек конфиденциальной информации, зарегистрированных в 2020 г. среди банков, финансовых и страховых компаний.
В ЮАР Postbank был вынужден заново выпустить 12 млн карт для своих клиентов, чтобы предотвратить кражу денег. Инцидент произошел в результате умышленных действий сотрудников банка: скопировав мастер-ключ, который служит основным электронным идентификатором, преступники смогли получить доступ к банковским счетам. В результате с карт клиентов успели украсть более $3,3 млн. Выпуск новых карт обошелся банку почти в $58 млн.
Крупнейшая утечка в микрофинансовом секторе произошла на территории России. На одном из подпольных сайтов для реализации украденных данных неизвестный разместил объявление о продаже данных 12 млн физических лиц, которые оформляли быстрые займы в 2017-2019 гг. В пробнике, предоставленном продавцом журналистам, были данные около 1800 заемщиков МФО: паспортные данные, ФИО, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа.
В марте 2020 г. исследователи обнаружили незащищенный Elasticsearch-сервер, принадлежащий латвийской страховой компании IIZI. В логах найдены логины и пароли от личных кабинетов страхователей автомобилей, а также такие данные, как фамилия и имя, дата рождения, водительский стаж и дата выдачи водительского удостоверения, регистрационные данные об автомобиле, дата начала страхования. Всего скомпрометированы более 16 млн строк данных. Через некоторое время большинство данных было уничтожено вредоносным «червем».
Бюро кредитных историй Experian летом 2020 г. стало жертвой фишинговой атаки. Мошеннику, который выдавал себя за клиента компании, удалось обманным путем получить доступ к базе южно-африканского подразделения. Проникнув в хранилище компании, мужчина мог узнать персональные данные до 24 млн граждан ЮАР и сведения более 793 тыс. предприятий. Утечки финансовой информации удалось избежать. Мошенник планировал использовать украденные данные в маркетинговых целях.
Китайское кредитное приложение Moneed скомпрометировало персональные данные (имена и номера телефонов) 389 млн жителей Индии. Эта база размещалась на открытом сервере Elasticsearch. Анализ утекших данных позволил исследователям говорить о том, что приложение автоматически загружало на сервер данные не только клиентов, но также их телефонные справочники.