MOVEit, Capita, CitrixBleed και άλλα: Οι μεγαλύτερες παραβιάσεις δεδομένων του 2023

Φέτος, 2023

, ήταν μια κόλαση χρονιά για παραβιάσεις δεδομένων, όπως και το προηγούμενο έτος (και το προηγούμενο έτος, κ.λπ.). Τους τελευταίους 12 μήνες, είδαμε χάκερ να εντείνουν την εκμετάλλευσή τους από σφάλματα σε δημοφιλή εργαλεία μεταφοράς αρχείων για να θέσουν σε κίνδυνο χιλιάδες οργανισμούς. Οι συμμορίες ransomware υιοθετούν νέες επιθετικές τακτικές με στόχο τον εκβιασμό των θυμάτων τους. και οι επιτιθέμενοι συνεχίζουν να στοχεύουν οργανισμούς που δεν διαθέτουν πόρους, όπως νοσοκομεία, για να διεισδύσουν εξαιρετικά ευαίσθητα δεδομένα, όπως πληροφορίες υγειονομικής περίθαλψης ασθενών και στοιχεία ασφάλισης.

Μάλιστα, σύμφωνα με στοιχεία Οκτωβρίου από το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS), οι παραβιάσεις της υγειονομικής περίθαλψης

επηρέασε περισσότερα από 88 εκατομμύρια άτομα

, αυξήθηκε κατά 60% σε σύγκριση με πέρυσι. Και αυτό δεν υπολογίζεται καν για τους δύο τελευταίους μήνες του έτους.

Συγκεντρώσαμε τις πιο καταστροφικές παραβιάσεις δεδομένων του 2023. Ελπίζουμε να μην χρειαστεί να ενημερώσουμε αυτήν τη λίστα πριν τελειώσει το έτος…

Fortra GoAnywhere

Μόλις εβδομάδες μετά το 2023, οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια zero-day που επηρεάζει το λογισμικό μεταφοράς αρχείων GoAnywhere της Fortra, επιτρέποντας τη μαζική πειρατεία σε περισσότερες από 130 εταιρείες. Αυτή η ευπάθεια,

παρακολουθείται ως CVE-2023-0669

ήταν γνωστό ως zero-day επειδή χρησιμοποιήθηκε ενεργά πριν προλάβει η Fortra να κυκλοφορήσει ένα patch.

Οι μαζικές παραβιάσεις που εκμεταλλεύονταν αυτό το κρίσιμο ελάττωμα απομακρυσμένης έγχυσης διεκδικήθηκαν γρήγορα από τη διαβόητη συμμορία ransomware και εκβιαστών Clop, η οποία έκλεψε δεδομένα από περισσότερες από 130 οργανώσεις θυμάτων. Μερικοί από αυτούς που επηρεάστηκαν ήταν η NationBenefits, μια εταιρεία τεχνολογίας με έδρα τη Φλόριντα που προσφέρει συμπληρωματικά οφέλη στα 20 και πλέον εκατομμύρια μέλη της σε όλες τις

Ηνωμένες Πολιτείες

. Brightline, ένας εικονικός πάροχος καθοδήγησης και θεραπείας για παιδιά. Καναδικός χρηματοδοτικός γίγαντας Investissement Québec. Η Hitachi Energy με έδρα την Ελβετία. και την πόλη του Τορόντο, για να αναφέρουμε μόνο μερικά.

Όπως αποκαλύφθηκε από το TechCrunch τον Μάρτιο, δύο μήνες αφότου ήρθαν στο φως για πρώτη φορά οι ειδήσεις για τις μαζικές εισβολές, ορισμένες οργανώσεις-θύματα που έμαθαν ότι τα δεδομένα είχαν διεισδύσει από τα συστήματά τους GoAnywhere μόνο αφού έλαβαν απαίτηση για λύτρα. Η Fortra, η εταιρεία που ανέπτυξε το εργαλείο GoAnywhere, είπε προηγουμένως σε αυτούς τους οργανισμούς ότι τα δεδομένα τους δεν επηρεάστηκαν από το περιστατικό.

Βασιλική Ταχυδρομεία

Ο Ιανουάριος ήταν ένας πολυάσχολος μήνας για κυβερνοεπιθέσεις, καθώς είδε επίσης τον βρετανικό ταχυδρομικό γίγαντα Royal Mail να επιβεβαιώνει ότι είχε πέσει θύμα επίθεσης ransomware.

Αυτή η κυβερνοεπίθεση, που επιβεβαιώθηκε για πρώτη φορά από τη Royal Mail στις 17 Ιανουαρίου, προκάλεσε μήνες αναστάτωσης, αφήνοντας τον βρετανικό ταχυδρομικό γίγαντα ανίκανο να επεξεργαστεί ή να αποστείλει επιστολές ή δέματα σε προορισμούς εκτός του Ηνωμένου Βασιλείου. Το περιστατικό, το οποίο αξιώθηκε από τη συνδεδεμένη με τη Ρωσία συμμορία ransomware LockBit, είδε επίσης την κλοπή ευαίσθητων δεδομένων, τα οποία η ομάδα χάκερ δημοσίευσε στον ιστότοπό της που είχε διαρροή στο σκοτάδι. Αυτά τα δεδομένα περιελάμβαναν τεχνικές πληροφορίες, πειθαρχικά αρχεία ανθρώπινου δυναμικού και προσωπικού, λεπτομέρειες για τους μισθούς και τις υπερωρίες, ακόμη και τα αρχεία εμβολιασμού ενός μέλους του προσωπικού κατά του Covid-19.

Η πλήρης κλίμακα της παραβίασης δεδομένων παραμένει άγνωστη.

3CX

Ο κατασκευαστής τηλεφωνικών συστημάτων που βασίζεται σε λογισμικό 3CX χρησιμοποιείται από περισσότερους από 600.000 οργανισμούς παγκοσμίως με περισσότερους από 12 εκατομμύρια ενεργούς καθημερινούς χρήστες. Όμως, τον Μάρτιο, η εταιρεία παραβιάστηκε από χάκερ που προσπαθούσαν να στοχεύσουν τους μεταγενέστερους πελάτες της, εγκαθιστώντας κακόβουλο λογισμικό στο λογισμικό πελάτη 3CX ενώ ήταν υπό ανάπτυξη. Αυτή η εισβολή αποδόθηκε στον Labyrinth Chollima, μια υπομονάδα του διαβόητου Ομίλου Lazarus, της βορειοκορεατικής κυβερνητικής μονάδας χάκερ που είναι γνωστή για κρυφές εισβολές που στοχεύουν ανταλλακτήρια κρυπτονομισμάτων.

Μέχρι σήμερα, είναι άγνωστο πόσοι πελάτες της 3CX έγιναν στόχος αυτής της θρασύδειλης επίθεσης στην εφοδιαστική αλυσίδα. Γνωρίζουμε, ωστόσο, ότι μια άλλη επίθεση στην εφοδιαστική αλυσίδα προκάλεσε την παραβίαση. Σύμφωνα με το Mandiant που ανήκει στο Google Cloud, οι εισβολείς παραβίασαν το 3CX μέσω μιας μολυσμένης από κακόβουλο λογισμικό έκδοσης του οικονομικού λογισμικού X_Trader που βρέθηκε σε φορητό υπολογιστή υπαλλήλου της 3CX.

κεφαλή

Ο Απρίλιος είδε χάκερ να θέτουν σε κίνδυνο τον κολοσσό εξωτερικού ανάθεσης του Ηνωμένου Βασιλείου Capita, του οποίου οι πελάτες περιλαμβάνουν την Εθνική Υπηρεσία Υγείας και το Υπουργείο Εργασίας και Συντάξεων του Ηνωμένου Βασιλείου. Οι συνέπειες από αυτό το hack διήρκεσαν μήνες καθώς περισσότεροι πελάτες της Capita έμαθαν ότι είχαν κλαπεί ευαίσθητα δεδομένα, πολλές εβδομάδες μετά τον συμβιβασμό. Το Universities Superannuation Scheme, ο μεγαλύτερος ιδιωτικός πάροχος συντάξεων του Ηνωμένου Βασιλείου, ήταν μεταξύ εκείνων που επλήγησαν, επιβεβαιώνοντας τον Μάιο ότι πιθανότατα έγινε πρόσβαση στα προσωπικά στοιχεία 470.000 μελών.

Αυτό ήταν μόνο το πρώτο περιστατικό

κυβερνοασφάλεια

ς που έπληξε το Capita φέτος. Λίγο μετά την τεράστια παραβίαση δεδομένων από την Capita, η TechCrunch έμαθε ότι ο γίγαντας της εξωτερικής ανάθεσης άφησε χιλιάδες αρχεία, συνολικού μεγέθους 655 gigabyte, εκτεθειμένα στο διαδίκτυο από το 2016.

Μεταφορά MOVEit

Η μαζική εκμετάλλευση του MOVEit Transfer, ενός άλλου δημοφιλούς εργαλείου μεταφοράς αρχείων που χρησιμοποιείται από τις επιχειρήσεις για την ασφαλή κοινή χρήση αρχείων, παραμένει η μεγαλύτερη και πιο επιζήμια παραβίαση του 2023. Οι συνέπειες από αυτό το περιστατικό — το οποίο συνεχίζει να εμφανίζεται — ξεκίνησε τον Μάιο όταν το Progress Software αποκάλυψε μια ευπάθεια μηδενικής ημέρας με κρίσιμη βαθμολογία στο MOVEit Transfer. Αυτό το ελάττωμα επέτρεψε στη συμμορία Clop να πραγματοποιήσει έναν δεύτερο γύρο μαζικών εισβολών φέτος για να κλέψει τα ευαίσθητα δεδομένα χιλιάδων πελατών του MOVEit Transfer.

Σύμφωνα με τα πιο ενημερωμένα στατιστικά στοιχεία, η παραβίαση του MOVEit Transfer έχει στοιχίσει μέχρι στιγμής περισσότερες από 2.600 οργανώσεις θύματα, με χάκερ να έχουν πρόσβαση στα προσωπικά δεδομένα σχεδόν 84 εκατομμυρίων ατόμων. Αυτό περιλαμβάνει το Υπουργείο Μεταφορών του Όρεγκον (3,5 εκατομμύρια αρχεία κλάπηκαν), το Υπουργείο Πολιτικής και Χρηματοδότησης της Υγείας του Κολοράντο (τέσσερα εκατομμύρια) και τον γίγαντα Maximus (11 εκατομμύρια) που αναθέτει τις κυβερνητικές υπηρεσίες των ΗΠΑ.

Microsoft

Τον Σεπτέμβριο, χάκερ που υποστηρίζονται από την Κίνα απέκτησαν ένα εξαιρετικά ευαίσθητο κλειδί υπογραφής

email

της Microsoft, το οποίο επέτρεψε στους χάκερ να εισβάλουν κρυφά σε δεκάδες εισερχόμενα email, συμπεριλαμβανομένων εκείνων που ανήκαν σε αρκετούς ομοσπονδιακούς κυβερνητικούς φορείς. Αυτοί οι χάκερ, για τους οποίους η Microsoft ισχυρίζεται ότι ανήκαν σε μια πρόσφατα ανακαλυφθείσα ομάδα κατασκοπείας που παρακολουθούσε το Storm-0558, διέφυγαν μη ταξινομημένα δεδομένα email από αυτούς τους λογαριασμούς email, σύμφωνα με την αμερικανική υπηρεσία κυβερνοασφάλειας CISA.

Σε μια νεκροψία, η Microsoft είπε ότι εξακολουθεί να μην έχει συγκεκριμένα στοιχεία (ή να θέλει να μοιραστεί) πώς αυτοί οι εισβολείς εισέβαλαν αρχικά, που επέτρεψαν στους χάκερ να κλέψουν το κλειδί του σκελετού της για πρόσβαση σε λογαριασμούς email. Ο τεχνολογικός γίγαντας έχει αντιμετωπίσει έκτοτε σημαντικό έλεγχο για τον χειρισμό του περιστατικού, το οποίο θεωρείται ότι είναι η μεγαλύτερη παραβίαση μη διαβαθμισμένων κυβερνητικών δεδομένων από τη ρωσική εκστρατεία κατασκοπείας που χακάρισε τη SolarWinds το 2020.

CitrixBleed

Και τότε ήταν Οκτώβριος, και προκάλεσε ένα ακόμη κύμα μαζικών εισβολών, αυτή τη φορά που εκμεταλλευόταν μια ευπάθεια με κρίσιμη βαθμολογία στα συστήματα Citrix NetScaler. Οι ερευνητές ασφαλείας λένε ότι παρατήρησαν επιτιθέμενους που εκμεταλλεύονταν αυτό το ελάττωμα, γνωστό πλέον ως «CitrixBleed», για να εισβάλουν σε οργανισμούς σε όλο τον κόσμο που καλύπτουν το λιανικό

εμπ

όριο, την υγειονομική περίθαλψη και την κατασκευή.

Ο πλήρης αντίκτυπος αυτών των μαζικών παραβιάσεων συνεχίζει να αναπτύσσεται. Αλλά η LockBit, η συμμορία ransomware που είναι υπεύθυνη για τις επιθέσεις, ισχυρίζεται ότι έχει θέσει σε κίνδυνο μεγάλες εταιρείες εκμεταλλευόμενη το ελάττωμα. Το σφάλμα CitrixBleed επέτρεψε στη συμμορία που συνδέεται με τη Ρωσία να εξάγει ευαίσθητες πληροφορίες, όπως cookies περιόδου λειτουργίας, ονόματα χρήστη και κωδικούς πρόσβασης, από επηρεαζόμενα συστήματα Citrix NetScaler, παρέχοντας στους χάκερ βαθύτερη πρόσβαση σε ευάλωτα δίκτυα. Αυτό περιλαμβάνει γνωστά θύματα όπως ο γίγαντας της αεροδιαστημικής Boeing. δικηγορικό γραφείο Allen & Overy; και της Industrial and Commercial Bank of China.

23 και Εγώ

Τον Δεκέμβριο, η εταιρεία δοκιμών DNA 23andMe επιβεβαίωσε ότι χάκερ είχαν κλέψει τα δεδομένα κατ

αγωγή

ς των μισών πελατών της, περίπου 7 εκατομμυρίων ανθρώπων. Ωστόσο, αυτή η παραδοχή ήρθε εβδομάδες αφότου αποκαλύφθηκε για πρώτη φορά τον Οκτώβριο ότι είχαν ληφθεί δεδομένα χρηστών και γενετικών αφού ένας χάκερ δημοσίευσε ένα τμήμα του κλεμμένου προφίλ και των πληροφοριών DNA των χρηστών του 23andMe σε γνωστό φόρουμ hacking.

Το 23andMe είπε αρχικά ότι οι χάκερ είχαν πρόσβαση σε λογαριασμούς χρηστών χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης χρηστών που είχαν ήδη δημοσιοποιηθεί από άλλες παραβιάσεις δεδομένων, αλλά αργότερα παραδέχτηκε ότι η παραβίαση είχε επηρεάσει και όσους επέλεξαν τη λειτουργία του DNA Relatives, η οποία αντιστοιχίζει τους χρήστες με τους γενετικούς συγγενείς τους.

Αφού αποκάλυψε την πλήρη έκταση της παραβίασης δεδομένων, η 23andMe άλλαξε τους όρους παροχής υπηρεσιών της για να καταστήσει πιο δύσκολο για τα θύματα της παραβίασης να υποβάλλουν νομικές αξιώσεις κατά της εταιρείας. Οι δικηγόροι περιέγραψαν ορισμένες από αυτές τις αλλαγές ως «κυνικές» και «αυτοεξυπηρετούμενες». Εάν η παραβίαση έκανε ένα καλό πράγμα, είναι ότι ώθησε άλλες εταιρείες DNA και γενετικών δοκιμών να ενισχύσουν την ασφάλεια των λογαριασμών χρηστών τους υπό το φως της παραβίασης δεδομένων 23andMe.