7 najvećih povreda bezbednosti podataka
Na listi je 7 najvećih incidenata povrede bezbednosti podataka, kako zbog količine podataka, tako i zbog štete koju su naneli kompanijama i korisnicima.
Upadi u sistem zbog kojih dolazi do curenja i kompromitovanja podataka dešavaju se svakodnevno. Teško da može da se odredi koliko takvih incidenata bude dnevno, jer se dešavaju na previše mesta istovremeno, a većina njih ne bude prijavljeno ili ostane neotkriveno.
Najsvežiji primer, 22. avgusta dogodio se napad na velikog švedskog web hosting provajdera Loopia u kome je kompromitovana baza podataka o korisnicima. Kompanija je objavila da su hakeri pristupili delovima baze podataka o korisnicima koji sadrže lične i kontakt informacije i kriptovane lozinke za Loopia Kundzon. Naveli su da nisu kompromitovani servisi poput imejla, web stranica, baze podataka ili lozinke za Loopia imejl.
Na listi koju vam predstavljamo je 7 najvećih incidenata povrede bezbednosti podataka po izboru IT klinike, koji nisu najveći samo zbog broja kompromitovanih dokumenata, već i zbog štete koju su naneli kompanijama i korisnicima.
7. Adobe | 2013.
Kompromitovani podaci 38 miliona korisnika.
Bilo je potrebno nekoliko nedelja da se utvrdi obim curenja i koji su sve podaci kompromitovani. Prvobitno je saopšteno da su hakeri ukrali skoro 3 miliona kriptovanih podatka o kreditnim karticama, kao i login podatke neodređenog broja korisnika. Kasnije je Adobe objavio da su napadači došli do ličnih podataka i kriptovanih lozinki 38 miliona aktivnih korisnika. Međutim, Brian Krebs, stručnjak za IT bezbednost koji je ovaj incident i otkrio, rekao je da se radi o 150 miliona korisničkih imena i lozinki. Posle nekoliko nedelja istraživanja ispostavilo se da su hakeri uspeli da ukradu korisnička imena, lične legitimacije, lozinke, debitne i kreditne kartice korisnika, ali i source code nekoliko Adobeovih proizvoda.
Adobe je morao da plati 1.1 milion dolara za pravne troškove i još 1 milion dolara korisnicima kao odštetu za povredu privatnosti i nesavesno poslovanje.
6. Stuxnet | 2010.
Napad na iranski nuklearni energetski program i krađa industrijskih tajni.
Stuxnet je kompjuterski crv, prvi put otkriven 2010, ali se pretpostavlja da je razvijen još 2005. Stuxnet je odgovoran je za napad na iranski nuklearni program. Napad Stuxnet crva je prvi sajber napad koji je imao fizičke posledice.
Malver je dizajniran tako da napada samo Siemens SCADA sisteme. Stuxnet je kompromitovao iranske programabilne logičke kontrolere (PLC) i sakupio informacije o industrijskom sistemu, ali i izazvao da se centrifuge za obogaćenje uranijuma samounište.
Veruje se da je Stuxnet sajber oružje koje su zajedno osmislili Amerika i Izrael, ali niko nije zvanično preuzeo odgovornost za napade. Osim Irana, na udaru Stuxneta našle su se i Indonezija i Indija, a u manjoj meri i Azerbejdžan, Pakistan i SAD.
5. JP Morgan Chase | 2014.
Kompromitovani podaci o 76 miliona domaćinstava i 7 miliona malih preduzeća.
Najveća američka banka je bila žrtva hakerskog napada u kome su kompromitovani podaci više od polovine svih domaćinstava u SAD-u (76 miliona) i oko 7 miliona preduzeća. U pitanju su bili sledeći podaci: imena, adrese, brojevi telefona, imejl adrese, kao i interne informacije o korisnicima.
Banka je objavila da nije bilo krađe novca „niti da ima dokaza da su kompromitovani podaci poput brojeva računa, lozinki, datuma rođenja i brojeva socijalnog osiguranja“. Ipak, hakeri su stekli “root“ privilegije u više od 90 servera banke što znači da su mogli da obave operacije poput transfera novca i zatvaranja računa. JP Morgan inače troši 250 miliona dolara godišnje na sajber bezbednost.
Novembra 2015. godine 4 osobe su optužene za hakovanje JP Morgan banke i još nekoliko finansijskih institucija. Optuženi su po 23. tačke optužnice, između ostalog za neautorizovan pristup računarima, krađu identiteta i pranje novca koje im je donelo oko 100 miliona dolara profita. Trojica hakera je uhapšeno, dvojica su priznali krivicu, a četvrti još nije identifikovan.
4. Target prodavnice | 2013.
Kompromitovani su podaci sa kreditnih i debitnih kartica i/ili kontakt informacije čak 110 miliona ljudi.
Napad je započeo nekoliko nedelja ranije, ali nije odmah otkriven. Maloprodajni gigant Target je objavio da su hakeri dobili pristup POS čitačima kartica preko vendora HVAC i prikupili oko 40 miliona brojeva kreditnih i debitnih kartica. Već u januaru kompanija je iznela procenu da je kompromitovano 70 miliona ličnih informacija o kupcima koje uključuju imena, adrese, imejl adrese i brojeve telefona. Konačna procena je čak 110 miliona kompromitovanih podataka o kupcima.
Ubrzo po otkrivanju razmera kompromitovanja podataka ostavke su podneli IT direktor i izvršni direktor.
Ukupni gubitak Targeta zbog ovog incidenta iznosi blizu 300 miliona dolara!
3. eBay | 2014.
Kompromitovano je 145 miliona korisnika.
U napadu na eBay kompromitovani su podaci svih 145 miliona korisnika (imena, adrese, datumi rođenja i lozinke). Kompanija je objavila da su hakeri ušli u sistem koristeći kredencijale troje zaposlenih i da su imali potpuni pristup sistemu čak 229 dana. eBay je zatražio od svojih korisnika da promene lozinke, ali je napomenuto da finansijske informacije (informacije sa kreditnih kartica) nisu kompromitovane jer su čuvane odvojeno.
2. Sony PlayStation Network | 2011.
77 miliona naloga. Gubitak od 171 miliona dolara jer sajt nije radio mesec dana.
Od više od 77 miliona naloga koji su kompromitovani, 12 miliona je imalo nekriptovan broj kreditne kartice. Hakeri su dobili pristup imenima, lozinkama, imejlovima, kućnim adresama, istoriji kupovine i kreditnim karticama.
Sony se nagodio da plati 15 miliona dolara korisnicima koji su podigli zajedničku tužbu zbog povrede bezbednosti podataka.
Sony PlayStation Network Outage
1. Yahoo | 2013. i 2014.
1.5 milijardi korisničkih naloga.
U septembru 2016. godine, u toku pregovora o prodaji Yahooa kompaniji Verizon, objavljeno je da se u 2014. godini dogodilo najveće kompromitovanje podataka u istoriji iza koga najverovatnije stoji neka država. U napadu je kompromitovano 500 miliona naloga (podaci o imenima, imejl adresama, datumima rođenja i brojevima telefona). Kompanija je objavila da je velika većina lozinki hakovana pomoću robusnog bcrypt algoritma.
Nekoliko meseci kasnije, otkriveno je da je kompanija pokušala da zataška kompromitovanje čak milijardu naloga koje se dogodilo u 2013. godini. Pored imena, datuma rođenja, imejl adresa i lozinki, kompromitovana su i sigurnosna pitanja i odgovori. Ovi napadi su oborili prodajnu cenu Yahooa za oko 350 miliona dolara. Verizon je na kraju kupio Yahoo za 4.48 milijardi dolara. Yahoo je inače nekada vredeo 100 milijardi dolara.
Kako da zaštitite infomacije i preživite napad što bezbolnije
- Identifkujte najvažnije podatke - Prvi korak u prevenciji jeste da definišete koji su podaci osetljivi, gde smeju da se čuvaju i ko sme da im pristupa. Počnite od najvažnijih, onih za koje smatrate da bi neko želeo da ih ukrade ili od kojih bi neko mogao da ima koristi. Kada identifikujete najvažnije, pređite na sledeći nivo važnosti i tako redom.
- Zaštitite najvažnije podatke - Klasifikacija podataka je najjednostavnija bezbednosna mera koju organizacija može i treba da preduzme. Kada definišete koji su podaci osetljivi označite ih kao „poverljivo“, „samo za internu upotrebu“ i slično. Najosetljivije podatke zaštitite enkripcijom i/ili rešenjima za prevenciju gubitka podataka (kao što je Symantec DLP), koja vam omogućavaju kreiranje i primenu posebnih pravila za korišćenje ovih podataka.
- Redovno ažurirajte operativni sistem i softver za zaštitu - Nemojte zanemariti svoj softver. Nije dovoljno da ga samo instalirate, već morate da vodite računa da uvek imate aktuelnu verziju operativnog sistema i ostalog softvera, kao i bezbednosne i druge zakrpe.
- Zaštitite laptopove i mobilne uređaje - Koristite lozinke za laptopove i mobilne uređaje. Ako na ovim uređajima čuvate osetljive podatke, postarajte se da ti podaci budu kriptovani.
- Podignite svest zaposlenih - Zaposleni su najslabija karika u lancu bezbednosti. Organizujte redovne obuke za zaposlene, od direktora do recepcionera i upoznajte ih s pravilima i procedurama koje se odnose na korišćenje osetljivih podataka.