Las 10 filtraciones de datos más importantes de 2018

El año 2018 vio algunas violaciones masivas de datos. Las noticias de una nueva brecha eran tan frecuentes que incluso las personas sin conocimientos técnicos comenzaron a preocuparse por sus datos en línea. Muchas empresas aumentaron su presupuesto para la seguridad en línea. Pero la postura general de seguridad para Internet se mantuvo casi igual en términos de empresas víctimas de los ataques cibernéticos. Aunque estamos en una mejor posición en términos de conocimiento y disponibilidad de soluciones de seguridad. Aún así, hay mucho por hacer.

Entre todos los ataques cibernéticos, elegir las 10 principales violaciones de datos requirió la consideración de muchos parámetros. Por lo tanto, la lista de las 10 principales violaciones de datos aquí tiene en cuenta estos factores: número de personas afectadas , reputación de la organización , estado de seguridad de la organización y eficiencia de respuesta a una violación .

1. Incumplimiento de Aadhaar

La Autoridad de Identificación Única de India (UIDAI) sufrió una brecha en 2018 que puso en problemas todos los registros de los titulares de la Tarjeta Aadhaar (una tarjeta que sirve como identificador único para un ciudadano). Casi 1.100 millones de personas se vieron afectadas y su información personal, como número de teléfono, fecha de nacimiento, etc. Esta información se vendía en WhatsApp por 500 INR por registro. Las autoridades involucradas, como UIDAI y TRAI, siguieron negando tales incidentes inicialmente, pero luego tomaron el asunto en consideración.
También hay un incidente divertido del presidente de TRAI que afirma que ningún dato está comprometido. El presidente dio su número de teléfono móvil en un tuit en el que desafiaba encontrar su dirección y otra información personal. Pronto, algunos investigadores de seguridad encontraron toda su información y la publicaron en los comentarios. Una persona incluso hizo un pedido desde su número en una plataforma de comercio electrónico mediante la ingeniería social de un ejecutivo de atención al cliente. Sin embargo, no estaba claro si los datos se obtuvieron mediante la información de los detalles filtrados de Aadhaar o simplemente utilizando OSINT.

2. Incumplimiento de Starwood

Starwood es una string hotelera cuya marca es propiedad de Mariott International. La compañía descubrió en 2018 que una violación de datos en 2014 provocó el robo de datos de alrededor de 500 millones de usuarios. Estos datos contenían información personal, incluidos números de pasaporte, correos electrónicos, números de teléfono, direcciones y números de tarjetas de crédito. Los atacantes tuvieron acceso a la base de datos desde 2014 hasta septiembre de 2018. Casi todos los que hicieron alguna reserva durante este período de tiempo se vieron afectados por la violación.

3. Incumplimiento exacto

En junio de 2018, un investigador de seguridad llamado Vinny Troia descubrió que la empresa de intermediación de datos Exactis, con sede en EE. UU., tenía una de sus bases de datos comprometida para que fuera pública. La base de datos constaba de 3 TeraBytes de datos relacionados con alrededor de 340 millones de usuarios . Estos datos contenían información de identificación personal, como nombres, números de teléfono y direcciones residenciales. Aunque estos datos no tenían información de pago o información de identificación del gobierno. Sin embargo, tiene datos personales sobre alrededor de 30 variables como afiliaciones religiosas, orientación política, intereses, etc. Dado que la empresa recopila datos de muchas fuentes y algunos de los registros de datos pertenecían a empresarios conocidos, Exactis enfrentó muchas demandas por la filtración.

4. Incumplimiento de Under Armour

La aplicación de nutrición «MyFitnessPal» fue pirateada y se filtró información personal con correos electrónicos y contraseña cifrada. 150 millones de usuarios se vieron afectados. La empresa declaró que la información de pago del usuario aún está segura ya que la empresa utiliza un canal separado para el procesamiento de pagos. El incumplimiento ocurrió a fines de febrero y la empresa lo notó en marzo. La compañía declaró que, además de que la información de pago era segura, no se había filtrado información confidencial. También declaró que no almacena identificaciones gubernamentales como SSN.

5. Incumplimiento de Quora

Quora es una conocida plataforma para compartir conocimientos y experiencias. Este sitio informó a sus usuarios en diciembre de 2018 que un tercero obtuvo acceso no autorizado a datos confidenciales de alrededor de 100 millones de usuarios. Estos datos contenían nombres, correos electrónicos, números de teléfono y contraseñas cifradas.

6. Violación de MyHeritage

MyHeritage es una plataforma de genealogía en línea que ayuda a las personas a determinar sus antepasados ​​y encontrar parientes en función de su ADN. En 2018, algunos investigadores encontraron datos confidenciales relacionados con los usuarios de MyHeritage en un servidor de terceros. Los datos confidenciales contenían principalmente correos electrónicos y contraseñas codificadas de alrededor de 92 millones de usuarios. La empresa, después de la verificación, informó a los usuarios y les solicitó que cambiaran sus contraseñas.

7. Incumplimiento de Facebook

En octubre de 2018, Facebook anunció una violación de datos en sus sistemas y cerró la sesión de alrededor de 90 millones de personas de sus cuentas . Los atacantes se habían aprovechado de un error en la función » ver como » para recopilar tokens de autorización que les permitían tener una visibilidad completa de los datos del usuario. Se estimó que se podrían haber filtrado alrededor de 50 millones de datos de usuarios. Facebook hizo de esta predicción la base de la cantidad de usuarios que usaron la función «ver como» desde que se agregó al sitio web. Aquellos que usaron la función al menos una vez e iniciaron sesión en Facebook fueron desconectados para evitar más problemas.

8. Incumplimiento de Elasticsearch

Elasticsearch es un motor de búsqueda basado en Java y utiliza una biblioteca de código abierto llamada Lucene. La empresa tenía tres grupos de direcciones IP mal configurados que exponían la información alojada al público. Los investigadores de seguridad utilizaron el motor de búsqueda de IoT Shodan para demostrar lo fácil que era descubrir estos servidores mal configurados. Estos expusieron alrededor de 73 GB de datos de usuarios que incluyen datos personales generales, así como datos confidenciales de los usuarios afectados.

9. Incumplimiento de Newegg

La empresa de soluciones de seguridad Volexity descubrió que el sitio web de la tienda de productos electrónicos contenía un código JavaScript malicioso inyectado por los atacantes en algún momento que enviaba los datos del usuario a un sitio web propiedad de los atacantes. Los atacantes habían registrado un sitio web con un nombre de dominio que contenía la frase “ newegg ” para no levantar sospechas. También proporcionaron un certificado SSL al sitio web para integrarse aún más. La empresa descubrió que el código era sospechoso durante su auditoría de los archivos JS que el sitio web estaba importando durante el proceso de pago. Para confirmarlo, realizaron la verificación de Whois contra el dominio y verificaron la fecha de emisión del certificado SSL. El ataque fue revelado al público por la empresa en septiembre de 2018 y alrededor deSe sospecha que se filtró la información de la tarjeta de crédito de 50 millones de usuarios .

10. Incumplimiento del pan de Panera

Panera Bread es una string de panaderías/cafeterías en los EE. UU. y Canadá con más de 2000 tiendas. La compañía notificó a la prensa en abril de 2018 que recientemente corrigió una vulnerabilidad que resultó en la filtración de algunos datos de los clientes. También afirmó que se han filtrado alrededor de 40.000 registros . Esto se produjo en respuesta a una publicación en un blog llamado «Krebs on Security» que afirmaba que un punto final vulnerable ha estado filtrando datos de clientes durante 8 meses.y el error se ha corregido recientemente. La publicación del blog también incluía las capturas de pantalla de la conversación por correo electrónico que tuvo lugar entre la empresa y el investigador que primero notificó a la empresa sobre la filtración. Se sospechaba que la filtración comprometía una cantidad mucho mayor de registros de lo que Panera afirmaba. La información al respecto era pública en una publicación de Pastebin, por lo que era difícil predecir el número exacto. Aunque Brian Krebs, el autor escribió que ronda los 37 millones .