Twitter (X) (баг в API)
4 січня: протягом 2022 року дані користувачів соціальної мережі продавалися в даркнеті, і це продовжилося у 2023 році. Адреси електронної пошти, що належали приблизно 200 мільйонам користувачів, тоді можна було купити всього за 2 долари. Попри те, що недолік, який призвів до інциденту, було виправлено ще в січні 2022 року, витоки даних траплялися і далі.
Що могло б запобігти інциденту: тестування безпеки API за допомогою вебсканера Invicti.
Reddit (фішингова атака)
10 лютого: компанія підтвердила, що 5 лютого вона зазнала витоку даних.
“Після отримання облікових даних співробітника організації зловмисник одержав доступ до деяких внутрішніх документів, коду, дешбордів і бізнес-систем”, – пояснив CTO Reddit Крістофер Слоу.
Він також повідомив, що немає жодних ознак злому основних систем продакшну (частин стека, які запускають Reddit і зберігають більшість даних), але підтвердив, що обмежена контактна інформація співробітників (наявних і колишніх), контактів компанії та рекламодавців була викрита.
В Reddit також заявили, що немає жодних доказів отримання доступу до непублічних даних користувачів, або оприлюднення чи продажу інформації організації у мережі.
19 червня: зловмисні хакери, які належать до кіберзлочинного угрупування BlackCat, що поширює програми-вимагачі, погрожували Reddit витоком 80 ГБ конфіденційних даних, вкрадених з серверів соціальної мережі ще в лютому. Вони вимагали від компанії 4,5 мільйона доларів і відмови від нової цінової політики.
Що могло б запобігти інцидентам: PAM та SIEM-рішення.
Atlassian (витік інформації в публічний простір)
15 лютого: угрупування зловмисних хакерів SiegedSec повідомило про злам системи компанії Atlassian і вилучення даних про персонал і плани поверхів офісів у Сан-Франциско та Сіднеї. Опублікована інформація включала імена, адреси електронної пошти, відділи співробітників та інші дані.
Було виявлено, що для атаки зловмисники використали облікові дані працівника Atlassian, які були помилково опубліковані співробітником у загальнодоступному сховищі.
Що могло б запобігти інциденту: Endpoint Protector (DLP).
ChatGPT (баг у використовуваній бібліотеці)
24 березня: баг в open-source бібліотеці ChatGPT спричинив витік персональної інформації користувачів, в тому числі даних кредитних карток та заголовків деяких чатів.
“За кілька годин до того, як ми перевели ChatGPT в автономний режим, деякі користувачі могли бачити ім’я та прізвище іншого активного користувача, електронну на платіжну адресу, останні чотири цифри номера кредитної картки та її термін дії. Повні номери кредитних карток не були викриті,” – повідомили OpenAI після інциденту.
Що могло б запобігти інциденту: SIEM, IAST в Invicti.
MSI (Micro-Star International) (викрадення доступів за допомогою вірусу)
6 квітня: постачальник комп’ютерів зазнав витоку даних, що був організований новим угрупуванням кіберзлочинців Money Message, яке займається розповсюдженням програм-вимагачів. Зловмисники стверджували про викрадення 1,5 ТБ інформації з систем тайваньської компанії та вимагали 4 мільйони доларів за неоприлюднення даних.
Угрупування повідомило про наявність у них вихідного коду MSI, включаючи фреймворк для розробки BIOS, а також приватних ключів, що дозволяють увійти до будь-якого користувацького модуля BIOS і встановити його на ПК з цим BIOS.
Що могло б запобігти інциденту: SIEM у випадку з програмою-вимагачем, PAM-рішення у випадку з втраченими доступами.
Discord (вразливість в коді, через яку отримали доступ до бази даних)
12 травня: платформа Discord повідомила про витік даних користувачів, спричинений зловмисним хакером, що отримав доступ до цієї інформації через стороннього агента служби клієнтів.
Інцидент зачепив електронні адреси, запити в службу підтримки клієнтів і надіслані документи. Компанія заблокувала акаунт зловмисного агента та почала перевірку пристроїв і мережі.
14 серпня: Discord.io, сервіс для створення кастомних посилань на канали в Discord, зазнав витоку даних, що стосувався близько 760 000 користувачів. Була вилучена чутлива інформація, як-от паролі, юзернейми, ID в Discord і адреси реєстрації місця проживання, пов’язані з банківськими картками. Discord.io є стороннім сервісом, що не є частиною Discord Inc. Внаслідок зламу він припинив свою роботу на невизначений час.
Що могло б запобігти інцидентам: Invicti та потенційно SIEM-рішення.
MOVEit (класичний баг, який не помітили вчасно)
Це популярний, проте вразливий інструмент для передачі файлів, недоліки якого зловмисники експлуатували для вилучення даних різних організацій у ряді кейсів 2023 року:
1 червня: MOVEit було зламано, що призвело до компрометації чутливих даних багатьох компаній-клієнтів, як-от Zellis, British Airways і BBC. Про це повідомила організація Progress Software, розробник MOVEit. Відповідальність за атаку взяло на себе російське угрупування кіберзлочинців Clop, що поширює програми-вимагачі.
20 липня: PokerStars, найбільша у світі онлайн-платформа для покеру, зазнала витоку даних, що стосувався 110 000 клієнтів: їх номери соціального страхування, імена та адреси. Вищезгадані зловмисники експлуатували до цього не відому вразливість інструмента MOVEit для одержання доступу до систем сайту. PokerStars підтвердили, що після інциденту вони припинили використання MOVEit.
27 липня: державний підрядник США Maximus стикнувся з витоком даних, пов’язаних зі здоров’ям 8-11 мільйонів громадян США.
8 серпня: було викрадено медичні дані частини пацієнтів Missouri Medicaid, що могли включати імена, дати народження, можливий пільговий статус та іншу інформацію.
11 серпня: 4,1 мільйона пацієнтів у Колорадо стикнулися з викраденням своїх чутливих медичних даних з систем, якими керувала технологічна компанія IBM.
25 вересня: витік даних реєстру народжень Онтаріо зачепив близько 3,4 мільйона осіб, що користувалися послугами організації протягом останніх 10 років. Було викрито інформацію про стан здоров’я понад двох мільйонів немовлят, народжених у цей період.
Що могло б запобігти інцидентам: Wazuh (модуль Vulnerability detection).
Duolingo (баг в API)
23 серпня: дані 2,6 мільйона користувачів додатка були опубліковані на форумі BreachForums. Вилучена інформація містила імена, адреси електронної пошти, номери телефонів, дані соціальних мереж, а також мови, які користувачі вивчали на момент злому.
Що могло б запобігти інциденту: вебсканер Invicti.
Freecycle (припускають, що співробітник вкрав логін та пароль директора)
4 вересня: сім мільйонів користувачів Freecycle зазнали витоку даних з систем цієї некомерційної організації. Коли компанія це виявила, вилучена інформація, що містила ID користувачів та адреси електронної пошти, вже була опублікована на форумах зловмисних хакерів. Freecycle порадила всім своїм користувачам якомога швидше змінити паролі.
Що могло б запобігти інциденту: PAM-рішення.
