Bezpečnostní novinky

10 největších úniků dat v roce 2018

Martin Hron, 9. ledna 2019

V uplynulém roce došlo k celé řadě úniků dat. Pojďme se podívat na ty největší.

Při ohlédnutí za uplynulým rokem si nelze nepovšimnout, že neuplynul ani jeden týden, kdy by médii neproběhla nějaká zpráva o závažném úniku dat. Na internet unikly tajné a citlivé údaje o doslova stovkách milionů lidí a mnohé z nich se poté někdo pokoušel prodat na darkwebu. Úniky dat jsou významným a hrozivým trendem v oblasti kybernetického zločinu, u kterého se v dohledné době nedá očekávat žádný ústup.

Pokud jste se nedopatřením stali jejich obětí, níže v článku si přečtěte, co dělat, a vyhněte se potížím.

Zajímavostí je, že zatímco některé úniky dat na internet byly důsledkem cílených útoků, k jiným došlo kvůli prosté nedbalosti a odhalili je až bezpečnostní auditoři. V níže uvedeném seznamu najdete oba tyto druhy úniků. Sepsali jsme pro vás přehled některých z největších úniků dat za uplynulý rok a seřadili jej podle jejich závažnosti.

top-data-breaches-2018

10. místo – Panera

Počet obětí: 37 milionů
Cíl útoku: Účty všech zákazníků na PaneraBread.com
Jaká data unikla: Jména, e-mailové a poštovní adresy, data narození a poslední čtyři číslice platebních karet zákazníků
Kdy k tomu došlo: Oznámeno v dubnu 2018
K čemu došlo: IT tým služby Panera 8 měsíců ignoroval varování od kybernetického experta, které dostal v srpnu 2017. Teprve poté únik oznámil a firemní web z bezpečnostních důvodů odstavil.

9. místo – Newegg

Počet obětí: 50 milionů
Cíl útoku: Nakupující na webu Newegg
Jaká data unikla: Údaje o platebních kartách
Kdy k tomu došlo: 14. srpna 2018 až 18. září 2018
K čemu došlo: Tento online obchod byl hacknut hackerskou skupinou Magecart, která přímo na jeho web umístila kód na sbírání údajů o platebních kartách. Pokaždé, když si nějaký zákazník koupil něco online, příslušné platební údaje šly přímo na řídicí server Magecartu.

8. místo – Elasticsearch

Počet obětí: 82 milionů (57 milionů spotřebitelů, 26 milionů firem)
Cíl útoku: Uživatelé a online firmy po celém internetu
Jaká data unikla: Uživatelům unikly údaje jako jména, e-mailové a poštovní adresy, telefonní čísla, IP adresy, jména zaměstnavatelů a pracovní pozice. Firmám unikly údaje jako jména a další podrobnosti, PSČ, trasy dopravců, souřadnice a další zeměpisné údaje, telefonní čísla, webové a e-mailové adresy, počty zaměstnanců, údaje o tržbách, kódy NAICS, kódy SIC a mnohem více.
Kdy k tomu došlo: Zjištěno 14. listopadu 2018
K čemu došlo: Toto je jeden z případů zmiňovaných výše, kdy IT pracovník při pravidelném bezpečnostním auditu objevil více než 80 milionů záznamů s agregovanými citlivými údaji. Není známo, jak dlouho byly tyto databáze volně přístupné ani kdo si je případně mohl zkopírovat pro sebe. Kybernetičtí experti se domnívají, že zdrojem úniku byla firma, která data spravovala. Její jméno ale nebylo oficiálně zveřejněno a ona samotná skončila v úpadku.

7. místo – Facebook

Počet obětí: 87 milionů
Cíl útoku: Uživatelé Facebooku
Jaká data unikla: Profilové údaje, politické názory, sítě přátel, soukromé zprávy
Kdy k tomu došlo: Oznámeno v září 2018
K čemu došlo: Jedná se o notoricky známý skandál spojený s firmou Cambridge Analytica, která nezákonně sbírala osobní údaje bez svolení uživatelů. Její činnost byla politicky motivovaná. Měla za cíl ovlivnit kampaň k americkým prezidentským volbám v roce 2016. Přestože k tomuto úniku údajů došlo už před dvěma lety, teprve letos vyšly najevo výsledky vyšetřování a mohli jsme si udělat obrázek, k čemu doopravdy došlo.

6. místo – MyHeritage

Počet obětí: 92 milionů
Cíl útoku: Uživatelé MyHeritage
Jaká data unikla: E-mailové adresy a hashovaná hesla
Kdy k tomu došlo: Oznámeno v červnu 2018
K čemu došlo: Bezpečnostní výzkumníci v červnu 2018 upozornili genealogický web MyHeritage, že objevili externí server s jeho citlivými údaji. Firma věrohodnost údajů potvrdila a své uživatele upozornila, že pokud si své účty vytvořili před 26. říjnem 2017, měli by si z bezpečnostních důvodů změnit heslo.

5. místo – Quora

Počet obětí: 100 milionů
Cíl útoku: Uživatelé Quory
Jaká data unikla: Jména, e-mailové adresy, hashovaná hesla, profilové údaje, veřejné a neveřejné akce
Kdy k tomu došlo: Zjištěno 3. prosince 2018
K čemu došlo: Tento únik dat je zahalený mnoha tajemstvími, protože služba pouze oznámila svým uživatelům, že se do jednoho z jejích systémů dostal někdo neoprávněně, ale žádné další vysvětlení k tomu neposkytla.

4. místo – Under Armour

Počet obětí: 150 milionů
Cíl útoku: Uživatelé MyFitnessPal
Jaká data unikla: Uživatelská jména, e-mailové adresy, hashovaná hesla
Kdy k tomu došlo: Koncem února 2018
K čemu došlo: Firma oznámila, že její aplikace na sledování stravy byla hacknuta a výše uvedené údaje se dostaly do rukou hackerů. Žádné platební údaje naštěstí neunikly, protože je Under Armour zpracovává odděleně.

3. místo – Exactis

Počet obětí: 340 milionů (230 milionů spotřebitelů, 110 milionů firem)
Cíl útoku: Uživatelé a firmy po celém internetu
Jaká data unikla: Více než 400 kategorií údajů, jako jsou telefonní čísla, e-mailové a poštovní adresy, zájmy, věk, víra, vlastnictví domácího mazlíčka atd.
Kdy k tomu došlo: Červen 2018
K čemu došlo: Firma Exactis zabývající se sběrem údajů nechtěně zveřejnila na webu 2 TB dat. Neví se, kdo a kolik lidí se k těmto datům dostalo, než se na problém přišlo.

2. místo – Starwood

Počet obětí: 500 milionů
Cíl útoku: Hosté Starwoodu
Jaká data unikla: Jména, e-mailové a poštovní adresy, telefonní čísla, čísla pasů, informace o účtech, data narození, pohlaví, cestovní údaje a údaje o ubytování. Některá uniklá data obsahovala také hashované údaje o platebních kartách.
Kdy k tomu došlo: Zjištěno 10. září 2018, ale mohlo k tomu docházet už od roku 2014
K čemu došlo: Stejně jako v ostatních podobných případech vydal hotelový řetězec ve vlastnictví skupiny Marriott oficiální oznámení, že se na jeho servery někdo dostal neoprávněně. Nedávno se však přišlo na to, že za únikem stojí čínské úřady a že jde o politicky motivovaný útok.

1. místo – Aadhaar

Počet obětí: 1,1 miliardy
Cíl útoku: Indičtí občané
Jaká data unikla: Čísla Aadhaar, jména, e-mailové a poštovní adresy, telefonní čísla a fotografie
Kdy k tomu došlo: Srpen 2017 až leden 2018
K čemu došlo: Anonymní prodejci nabízeli za 500 indických rupií či menší částky přístup k portálu indického identifikačního úřadu, kde jsou uchovávány záznamy o prakticky všech občanech.

Co dělat, když vaše heslo uniklo na internet

Máte-li obavu, že jste se stali obětí některého z takových incidentů:

  • Neprodleně si změňte všechna hesla, která se vašemu uniklému heslu podobají (a přestaňte jedno či podobné heslo používat pro všechny své účty). Nastavte neprolomitelné heslo. A nikdy nikomu neposkytujte své kódy pro dvoustupňové ověřování.
  • Dávejte pozor na podezřelé SMS či e-maily, které se tváří, jako by byly od vaší banky, pojišťovny či jiné služby, kterou využíváte. Oběti úniků dat se totiž velmi často stávají cílem phishingových podvodů.
  • Při zakládání online účtů nezadávejte údaje, které nejsou nezbytně nutné (například číslo pasu, když si rezervujete pokoj v hotelu).

Jak se tedy chránit v roce 2019

Na to, že k únikům dat dochází velmi často, si za žádnou cenu nesmíme zvyknout, protože na ochraně vašich osobních údajů nyní záleží víc než kdy dříve. Pokud jste někdy nějaké online či offline firmě předali své osobní údaje, musíme bohužel konstatovat, že jste potenciálním cílem kybernetických zločinců.

Každá nechráněná organizace se dříve či později dostane do spárů nějakého hackera – ať už zkušeného, nebo jen dostatečně vytrvalého. Pouze důvěřovat něčím zásadám ochrany soukromí proto není radno. Je třeba se mít na pozoru a své osobní údaje jen tak někomu nesvěřovat. Podívejte se, co můžete udělat, abyste i v roce 2019 byli před úniky údajů chráněni.

Používejte správce hesel

Správce hesel fungují na stolních počítačích, mobilních telefonech i tabletech. Díky nim můžete na každém svém online účtu používat jedinečné a komplexní heslo a zároveň vám stačí pamatovat si jen jediné heslo. Když pak nějaké vaše přihlašovací údaje uniknou na internet, vaše ostatní účty nebudou ohroženy.

Pokud někdy budete mít pocit, že vaše přihlašovací údaje unikly na internet, můžete si to ověřit zadáním vaší e-mailové adresy na webu s databází uniklých údajů, jako je Avast Hack Check. Jistota je jistota a riskovat se nevyplácí.

Kdykoli je to možné, zapněte si dvoustupňové ověřování

Když budete mít dvoustupňové ověřování zapnuté, hackeři se vám nedostanou na účet, ani když se nějak zmocní vašeho uživatelského jména a hesla. Chraňte si tak především svůj email!

Přejeme vám bezpečný nový rok!