Εδώ πάμε ξανά: Παραβιάσεις δεδομένων με κακή διαχείριση του 2023

Πέρυσι, συγκεντρώσαμε

μια λίστα με τις πιο κακές παραβιάσεις δεδομένων του 2022, κοιτάζοντας πίσω την κακή συμπεριφορά των εταιρικών κολοσσών όταν αντιμετωπίζουν hacks και παραβιάσεις. Αυτό περιλάμβανε τα πάντα, από την υποβάθμιση του αντίκτυπου στον πραγματικό κόσμο της διαρροής προσωπικών πληροφοριών και την αποτυχία απάντησης σε βασικές ερωτήσεις.

Αποδεικνύεται ότι φέτος, πολλοί οργανισμοί συνεχίζουν να κάνουν τα ίδια λάθη. Ακολουθεί ο φετινός φάκελος σχετικά με το πώς να μην απαντάτε σε περιστατικά ασφαλείας.

Η Εκλογική Επιτροπή έκρυβε λεπτομέρειες μιας τεράστιας πειρατείας για ένα χρόνο, αλλά ακόμα κλειστά

Η Εκλογική Επιτροπή, ο φύλακας που είναι υπεύθυνος για την επίβλεψη των εκλογών στο

Ηνωμένο Βασίλειο

, επιβεβαίωσε τον Αύγουστο ότι είχε γίνει στόχος «εχθρικών παραγόντων» που είχαν πρόσβαση στα προσωπικά στοιχεία — συμπεριλαμβανομένων των ονομάτων, των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των διευθύνσεων κατοικίας, των αριθμών τηλεφώνου και τυχόν προσωπικών εικόνων αποστέλλονται στην Επιτροπή — σε έως και 40 εκατομμύρια ψηφοφόρους του Ηνωμένου Βασιλείου.

Αν και μπορεί να ακούγεται ότι η Εκλογική Επιτροπή ήταν προκαταβολικά για την

κυβερνοεπίθεση

και τον αντίκτυπό της, το περιστατικό συνέβη τον Αύγουστο του 2021 —περίπου πριν από δύο χρόνια— όταν οι χάκερ απέκτησαν για πρώτη φορά πρόσβαση στα συστήματα της Επιτροπής. Χρειάστηκε άλλος ένας χρόνος για να πιάσει τους χάκερ στα πράσα η Επιτροπή.

Το BBC ανέφερε τον επόμενο μήνα

ότι ο φύλακας είχε αποτύχει σε ένα βασικό τεστ κυβερνοασφάλειας την ίδια στιγμή που εισέβαλαν χάκερ στον οργανισμό. Δεν έχει ακόμη αποκαλυφθεί ποιος πραγματοποίησε την εισβολή —ή αν είναι γνωστό— και πώς παραβιάστηκε η Επιτροπή.

Η

Samsung

δεν θα πει πόσοι πελάτες επλήγησαν από παραβίαση δεδομένων για ένα χρόνο

Η Samsung μπήκε για άλλη μια φορά στη λίστα μας με τις παραβιάσεις με κακή διαχείριση. Ο γίγαντας των ηλεκτρονικών ακολούθησε για άλλη μια φορά την τυπική του προσέγγιση όταν αντιμετώπισε ερωτήματα σχετικά με παραβίαση των συστημάτων του επί ένα χρόνο που έδωσε στους χάκερ πρόσβαση στα προσωπικά δεδομένα των πελατών του στο Ηνωμένο Βασίλειο. Σε επιστολή που εστάλη σε πελάτες που επηρεάστηκαν τον Μάρτιο, η Samsung παραδέχτηκε ότι οι εισβολείς εκμεταλλεύτηκαν μια ευπάθεια σε μια ανώνυμη επιχειρηματική

εφαρμογή

τρίτου μέρους για να αποκτήσουν πρόσβαση σε απροσδιόριστα προσωπικά στοιχεία πελατών που έκαναν αγορές στο κατάστημά της στο Ηνωμένο Βασίλειο μεταξύ Ιουλίου 2019 και Ιουνίου 2020.

Στην επιστολή, η Samsung παραδέχτηκε ότι δεν ανακάλυψε τον συμβιβασμό παρά περισσότερο από τρία χρόνια αργότερα, τον Νοέμβριο του 2023. Όταν ρωτήθηκε από το TechCrunch, ο τεχνολογικός γίγαντας αρνήθηκε να απαντήσει σε περαιτέρω ερωτήσεις σχετικά με το περιστατικό, όπως πόσοι πελάτες επηρεάστηκαν ή πώς χάκερ μπόρεσαν να αποκτήσουν πρόσβαση στα εσωτερικά του συστήματα.

Οι χάκερ έκλεψαν τα δεδομένα του Shadow και ο Shadow σώπασε

Ο γαλλικός πάροχος τυχερών παιχνιδιών cloud Shadow είναι μια εταιρεία που ανταποκρίνεται στο όνομά της, καθώς μια παραβίαση του Οκτωβρίου στην εταιρεία παραμένει τυλιγμένη στο μυστήριο. Η παραβίαση οδήγησε τους εισβολείς να πραγματοποιούν μια «επίθεση προηγμένης κοινωνικής μηχανικής» εναντίον ενός από τους υπαλλήλους του Shadow που επέτρεψε την πρόσβαση στα προσωπικά δεδομένα των πελατών, σύμφωνα με ένα email που εστάλη σε επηρεασμένους πελάτες του Shadow.

Ωστόσο, ο πλήρης αντίκτυπος του συμβάντος παραμένει άγνωστος. Η TechCrunch έλαβε ένα δείγμα δεδομένων που πιστεύεται ότι είχε κλαπεί από την εταιρεία που περιείχε 10.000 μοναδικές εγγραφές, οι οποίες περιελάμβαναν ιδιωτικά κλειδιά API που αντιστοιχούν σε λογαριασμούς πελατών. Όταν ρωτήθηκε από το TechCrunch, η εταιρεία αρνήθηκε να σχολιάσει και δεν είπε εάν είχε ενημερώσει τη γαλλική ρυθμιστική αρχή προστασίας δεδομένων, CNIL, για την παραβίαση, όπως απαιτείται από την ευρωπαϊκή νομοθεσία. Η εταιρεία επίσης απέτυχε να δημοσιοποιήσει τα νέα για την παραβίαση εκτός των μηνυμάτων ηλεκτρονικού ταχυδρομείου που στάλθηκαν σε πελάτες που επηρεάστηκαν.

Η Lyca Mobile αρνήθηκε να πει τι είδους κυβερνοεπίθεση έπληξε

Η Lyca Mobile, η εταιρεία εκμετάλλευσης εικονικών δικτύων κινητής τηλεφωνίας με έδρα το Ηνωμένο Βασίλειο, δήλωσε τον Οκτώβριο ότι είχε γίνει στόχος κυβερνοεπίθεσης που προκάλεσε εκτεταμένη αναστάτωση σε εκατομμύρια πελάτες της. Η Lyca Mobile παραδέχτηκε αργότερα μια παραβίαση δεδομένων, κατά την οποία ανώνυμοι εισβολείς είχαν πρόσβαση σε «τουλάχιστον ορισμένες από τις προσωπικές πληροφορίες που διατηρούνται στο σύστημά μας» κατά τη διάρκεια της εισβολής.

Τώρα έχουν περάσει πάνω από δύο μήνες και η Lyca Mobile δεν έχει πει ακόμα ποια δεδομένα κλάπηκαν από τα συστήματά της (παρά την αποθήκευση ευαίσθητων προσωπικών πληροφοριών, όπως αντίγραφα ταυτοτήτων και οικονομικών δεδομένων) ή πόσοι από τους 16 εκατομμύρια πελάτες της επηρεάστηκαν από την παραβίαση. Παρά τα επανειλημμένα αιτήματα της TechCrunch, η εταιρεία αρνήθηκε επίσης να σχολιάσει τη φύση του περιστατικού, παρά το γεγονός ότι το περιστατικό παρουσιάστηκε ως ransomware.

Η MGM Resorts εξακολουθεί να μην έχει πει πόσοι πελάτες είχαν κλαπεί δεδομένα μετά από πειρατεία

Η παραβίαση του MGM Resorts είναι ένα από τα πιο αξιομνημόνευτα του 2022. Το περιστατικό είδε χάκερ που συνδέονται με μια συμμορία γνωστή ως Scattered Spider να υπονομεύουν τα συστήματα της εταιρείας για να προκαλέσουν διαταραχές για εβδομάδες στα ξενοδοχεία και τα καζίνο της MGM στο Λας Βέγκας. Η MGM είπε ότι η διακοπή θα κοστίσει στην εταιρεία τουλάχιστον 100 εκατομμύρια δολάρια.

Η MGM αποκάλυψε για πρώτη φορά ότι είχε στοχοποιηθεί από χάκερ στις 11 Σεπτεμβρίου. Ωστόσο, μόλις τον Οκτώβριο η εταιρεία επιβεβαίωσε σε μια κανονιστική κατάθεση ότι οι επιτιθέμενοι είχαν λάβει ορισμένες προσωπικές πληροφορίες που ανήκαν σε πελάτες που είχαν συναλλαγές με το MGM Resorts πριν από τον Μάρτιο του 2019. Αυτό περιλαμβάνει ονόματα πελατών, στοιχεία επικοινωνίας, φύλο, ημερομηνίες γέννησης, αριθμούς άδειας

οδήγηση

ς και αριθμούς κοινωνικής ασφάλισης και σαρώσεις διαβατηρίων για ορισμένους πελάτες.

Τώρα έχουν περάσει περισσότερο από τρεις μήνες και δεν γνωρίζουμε ακόμη πόσοι πελάτες της MGM επηρεάστηκαν. Οι εκπρόσωποι της MGM έχουν επανειλημμένα αρνηθεί να απαντήσουν στις ερωτήσεις του TechCrunch σχετικά με το περιστατικό.

Η παραβίαση πιάτων μπορεί να επηρεάσει εκατομμύρια — ενδεχομένως πολύ περισσότερα

Τον Φεβρουάριο, ο γίγαντας της δορυφορικής τηλεόρασης Dish επιβεβαίωσε σε μια δημόσια κατάθεση ότι μια επίθεση ransomware ευθύνεται για μια συνεχιζόμενη διακοπή λειτουργίας και προειδοποίησε ότι οι χάκερ διέφυγαν δεδομένα από τα συστήματά του που μπορεί να περιλάμβαναν προσωπικά στοιχεία πελατών. Ωστόσο, η Dish δεν έχει παράσχει ουσιαστική ενημέρωση έκτοτε και οι πελάτες εξακολουθούν να μην γνωρίζουν εάν τα προσωπικά τους στοιχεία διατρέχουν κίνδυνο.

Η TechCrunch έμαθε ότι, παρά τη σιωπή της εταιρείας, ο αντίκτυπος της παραβίασης θα μπορούσε να επεκταθεί πολύ πέρα ​​από τα 10 εκατομμύρια περίπου πελάτες της Dish. Ένας πρώην λιανοπωλητής Dish είπε στο TechCrunch ότι το Dish διατηρεί πληθώρα πληροφοριών πελατών στους διακομιστές του, συμπεριλαμβανομένων των ονομάτων πελατών, των ημερομηνιών γέννησης, των διευθύνσεων email, των αριθμών τηλεφώνου, των αριθμών κοινωνικής ασφάλισης και των στοιχείων πιστωτικών καρτών. Το άτομο είπε ότι αυτές οι πληροφορίες διατηρούνται επ’ αόριστον, ακόμη και για υποψήφιους πελάτες που δεν πέρασαν τον αρχικό πιστωτικό έλεγχο του Dish.

Η CommScope άργησε να πει στους υπαλλήλους της ότι τα δεδομένα τους είχαν κλαπεί

Το TechCrunch άκουσε από υπαλλήλους της CommScope που λένε ότι έμειναν στο σκοτάδι σχετικά με μια παραβίαση δεδομένων στην εταιρεία που επηρεάζει τα προσωπικά τους στοιχεία. Η εταιρεία με έδρα τη Βόρεια Καρολίνα, η οποία σχεδιάζει και κατασκευάζει προϊόντα υποδομής δικτύου για μια σειρά πελατών, βρέθηκε στο στόχαστρο της συμμορίας ransomware Vice Society τον Απρίλιο. Τα δεδομένα που διέρρευσε η συμμορία και εξετάστηκαν από το TechCrunch, περιελάμβαναν προσωπικά δεδομένα χιλιάδων υπαλλήλων της CommScope, συμπεριλαμβανομένων των ονομάτων, ταχυδρομικών διευθύνσεων, διευθύνσεων email, προσωπικών αριθμών, αριθμών κοινωνικής ασφάλισης, σαρώσεων διαβατηρίων και στοιχείων τραπεζικού λογαριασμού.

Η CommScope αρνήθηκε να απαντήσει στις ερωτήσεις μας σχετικά με τα δεδομένα των εργαζομένων που διέρρευσαν και επίσης απέτυχε να απαντήσει σε όσους επηρεάστηκαν. Αρκετοί υπάλληλοι είπαν στο TechCrunch εκείνη την εποχή ότι τα στελέχη της CommScope παρέμειναν σιωπηλά σχετικά με την παραβίαση, λέγοντας ότι ελάχιστα πέρα ​​από αυτό «δεν υπάρχουν στοιχεία» που να υποδηλώνουν ότι εμπλέκονται δεδομένα εργαζομένων.