Twitter (X) (баг в API)
4 января: в течение 2022 года данные пользователей социальной сети продавались в даркнете, и это продолжилось в 2023 году. Адреса электронной почты, принадлежавшие примерно 200 миллионам пользователей, тогда можно было купить всего за 2 доллара. Несмотря на то, что недостаток, который привел к инциденту, был устранен еще в январе 2022 года, истоки утечки случались и дальше.
Что могло бы предотвратить инцидент: тестирование безопасности API с помощью веб-сканера Invicti.
Reddit (фишинговая атака)
10 февраля: компания подтвердила, что 5 февраля она столкнулась с утечкой данных.
“После обретения учетных данных сотрудника организации злоумышленник получил доступ к некоторым внутренним документам, коду, дешбордам и бизнес-системам,” – объяснил CTO Reddit Кристофер Слоу.
Он также сообщил, что нет никаких признаков взлома основных систем продакшна (частей стека, которые запускают Reddit и хранят большинство данных), но подтвердил, что ограниченная контактная информация сотрудников (нынешних и бывших), контактов компании и рекламодателей была раскрыта.
В Reddit также заявили, что нет никаких доказательств получения доступа к непубличным данным пользователей, опубликования или продажи информации организации в сети.
19 июня: злонамеренные хакеры из киберпреступной группировки BlackCat, которая распространяет программы-вымогатели, угрожали Reddit утечкой 80 ГБ конфиденциальных данных, украденных с серверов социальной сети еще в феврале. Они потребовали от компании 4,5 миллиона долларов и отказа от новой ценовой политики.
Что могло бы предотвратить инциденты: PAM и SIEM-решение.
Atlassian (утечка информации в публичное пространство)
15 февраля: группировка злонамеренных хакеров SiegedSec сообщила о взломе системы компании Atlassian и утечки данных про персонал и планы этажей офисов в Сан-Франциско и Сиднее. Опубликованная информация включала имена, адреса электронной почты, отделы сотрудников и другие данные.
Было обнаружено, что для атаки злоумышленники использовали учетные данные работника Atlassian, ошибочно опубликованные сотрудником в общедоступном хранилище.
Что могло бы предотвратить инцидент: Endpoint Protector (DLP).
ChatGPT (баг в используемой библиотеке)
24 марта: баг в open-source библиотеке ChatGPT стал причиной утечки персональной информации пользователей, в том числе данных кредитных карт и заголовков некоторых чатов.
“За несколько часов до того, как мы перевели ChatGPT в автономный режим, некоторые пользователи могли видеть имя и фамилию другого активного пользователя, электронный и платежный адрес, последние четыре цифры номера кредитной карты и ее срок действия. Полные номера кредитных карт не были раскрыты,” – сообщили OpenAI после инцидента.
Что могло бы предотвратить инцидент: SIEM-решение, IAST в Invicti.
MSI (Micro-Star International) (кража доступов с помощью вируса)
6 апреля: поставщик компьютеров столкнулся с утечкой данных, организованной новой группировкой киберпреступников Money Message, занимающейся распространением программ-вымогателей. Злоумышленники сообщили о краже 1,5 ТВ информации из систем тайваньской компании и требовали 4 миллиона долларов за непубликацию данных.
Группировка сообщила о наличии у них исходного кода MSI, включая фреймворк для разработки BIOS, а также частных ключей, позволяющих войти в любой пользовательский модуль BIOS и установить его на ПК с этим BIOS.
Что могло бы предотвратить инцидент: SIEM-решение в случае с программой-вымогателем, PAM в случае с утраченными доступами.
Discord (уязвимость в коде, посредством которой получили доступ к базе данных)
12 мая: платформа сообщила об утечке данных пользователей, организованной злонамеренным хакером, который получил доступ к этой информации с помощью стороннего агента службы клиентов.
Инцидент касался электронных адресов, запросов в службу поддержки клиентов и отправленных документов. Компания заблокировала аккаунт вредоносного агента и начала проверку устройств и сети.
14 августа: Discord.io, сервис для создания кастомных ссылок на каналы в Discord, подвергся утечке данных, которая коснулась около 760 000 пользователей. Была изъята чувствительная информация, например пароли, юзернеймы, ID в Discord и адреса регистрации места жительства, связанные с банковскими карточками. Discord.io – сторонний сервис, который не является частью Discord Inc. В результате взлома он прекратил свою работу на неопределенное время.
Что могло бы предотвратить инциденты: Invicti и потенциально SIEM-решение.
MOVEit (классический баг, который не был замечен вовремя)
Это популярный, однако, уязвимый инструмент для передачи файлов, недостатки которого злоумышленники эксплуатировали для извлечения данных различных организаций в ряде кейсов 2023 года.
1 июня: MOVEit взломали, что привело к компрометации чувствительных данных многих компаний-клиентов, таких как Zellis, British Airways и BBC. Об этом сообщила организация Progress Software, разработчик MOVEit. Ответственность за атаку взяла на себя российская группировка киберпреступников Clop, которая распространяет программы-вымогатели.
20 июля: PokerStars, крупнейшая в мире онлайн-платформа для покера, подверглась утечке данных, которая коснулась 110 000 клиентов: их номера социального страхования, имена и адреса. Вышеупомянутые злоумышленники эксплуатировали до этого неизвестную уязвимость инструмента MOVEit для получения доступа к системам сайта. PokerStars подтвердили, что после инцидента они прекратили использование MOVEit.
27 июля: государственный подрядчик США Maximus столкнулся с утечкой данных, связанных со здоровьем 8-11 миллионов граждан США.
8 августа: были украдены медицинские данные части пациентов Missouri Medicaid, которые могли включать имена, даты рождения, возможный льготный статус и другую информацию.
11 августа: 4,1 миллиона пациентов в Колорадо столкнулись с кражей своих чувствительных медицинских данных из систем, которые управлялись технологической компанией IBM.
25 сентября: утечка данных реестра рождений Онтарио коснулась около 3,4 миллиона человек, которые пользовались услугами организации в последние 10 лет. Была раскрыта информация о состоянии здоровья более двух миллионов младенцев, рожденных в этот период.
Что могло бы предотвратить инциденты: Wazuh (модуль Vulnerability detection).
Duolingo (баг в API)
23 августа: данные 2,6 миллиона пользователей приложения были опубликованы на форуме BreachForums. Информация содержала имена, адреса электронной почты, номера телефонов, данные социальных сетей, а также языки, которые изучались пользователями на момент взлома.
Что могло бы предотвратить инцидент: веб-сканер Invicti.
Freecycle (допускают, что сотрудник украл логин и пароль директора)
4 сентября: семь миллионов пользователей Freecycle столкнулись с утечкой данных из систем этой некоммерческой организации. Когда компания это обнаружила, извлеченная информация, содержащая ID пользователей и адреса электронной почты, уже была опубликована на форумах злонамеренных хакеров. Freecycle посоветовала всем своим пользователям как можно скорее сменить пароли.
Что могло бы предотвратить инцидент: PAM-решение.
