Kiber-armageddon: legalább 20 milliárd rekordnyi adat szivárgott ki idén
2020 alighanem a digitális armageddon kezdete lehet. Michel de Nostredame alias Nostradamus 2020-ra vonatkozó hírhedt jóslatai bekövetkezni látszanak.
Kevesen tudják, de Nostradamus néhány jóslata az internetre és a kibertérre vonatkozik, amelyek alapján feltételezhetjük, hogy hamarosan bekövetkezik a digitális világvége.
A nagy városra gyors és hirtelen roham,
Meglepve éjszaka, az őrség félbeszakítva:
Az őrködőket és virrasztókat övükkel felkötik,
Az őrséget megölik, és a kapukat betörik. (Konsztantyin A. Szimonov ferdítése)
Minden idők legsúlyosabb kibertámadása rázza meg éppen Amerikát, de persze a hatás nem csak az USA-ra korlátozódik, az egész világ érzi és még egy jó ideig érezni fogja az ellátási lánc egyik fontos szereplőjének, a SolarWinds vállalatnak kompromittálódásából kiindult eseményeket.
Egyértelműek a máskor oly homályos nostradamusi utalások:
- A nagy város nem más mint New York, a Nagy Alma, amely egyértelműen az Egyesült Államokat szimbolizálja.
- Az orosz hackerek hirtelen rohanták le az USA-t, teljesen meglepve az amerikai védelmi ügynökségeket, az NSA-t, illetve a szövetségi kibervédelmi intézményeket.
- Az övükkel felkötik kifejezés pedig nem másra utal, mint egy jellegzetes csillagképre, az ORION-ra. ORION öv.
Értjük, ugye? :)
A SolarWinds ORION nevű hálózatfelügyeleti eszközét kompromittálták a feltehetően orosz állami támogatásból működő támadók, és a 33 ezer ügyfélből 18 ezer válhatott hozzáférhetővé a hackerek számára.
A SolarWinds ügyféllistáján a legnagyobb szervezetek és a Fortune 500 legtöbb szereplője megatalálható. Az érintettek között volt például a Microsoft is (aki jelenleg állítja, hogy az Office 365 platform nem érintett, de azért 40 fontos ügyfelet mégis kiértesítettek), illetve az USA atomfegyver-készleteiért felelős Nukleáris Biztonsági Ügynökség is.
Pokoli év volt, és ideje, hogy az év vége közeledtével visszatekintsünk, hogy mennyire is volt pokoli. Nostradamus meg dugja fel magának a hüje jóslatait!
Egy nehéz év krónikája
Kezdjük mindjárt az összesítéssel: 2020-ban több mint 20 milliárd felhasználói és szenzitív adatrekord szivárgott ki. Azt hiszem ez a szám önmagában is sokkoló, de ha mellé nézzük az elmúlt évek statisztikáját, akkor világosan látszik, a teljes pusztulás felé rohanunk.
A tavalyi évben a kiszivárgott adatrekordok száma már meghaladta a 12 milliárdot, és idén elérkeztünk ahhoz, hogy kimondjuk a 20 milliárdos bűvös számot!
Ráadásul idén decemberre még nincsenek is hivatalos adatok, így a 20 milliárd idei kiszivárgott adatrekordot már novemberig sikerült összehozni.
Biztos vagyok benne, hogy ha meglesznek a decemberi adatok, akkor jócskán 20 milliárd felett fogjuk zárni az évet.
Látható, hogy két hónap viszi a prímet, a május és az június, és egy-egy brutális méretű adatszivárgásnak köszönhetjük a kiugrást.
A legcsendesebb hónap az augusztus volt, amikor még a kiberbűnözők és a szoftverhibák is a hasukat süttették valami kevésbé fertőzött tengerparton, és alig 36 millió adatrekord kompromittálódott, illetve szomorú kimondani, hogy a 77,7 millió rekordos július is a nyugodt nyári napokhoz tartozott.
Ha a tavalyival akarjuk összehasonlítani a gyászos 2020-as évet, a trendgrafikon és persze az összesítés is elárulja, hogy sokkal rosszabb volt az idei év, mint a tavalyi.
Míg tavaly 12 304 182 843 (12,3 milliárd) kiszivárgott adatrekordról beszélhetünk, idén novemberig a data breachek eredménye már 20 065 871 612 (20 milliárd) rekord.
A tavalyhoz képest tehát több mint a másfélszeresére ugrott meg a kiszivárgott adatrekordok száma.
Ha visszafelé haladunk az időben, érdemes egy pillantást vetni három éves viszonylatban az adatszivárgással kapcsolatos statisztikákra.
A 2017-es lehetett az utolsó boldog békeév, akkor ugyan brutálisnak tűnt, ma viszont a 826 millió rekordnyi adat csak egy vacak hónapot jelentene. Idén 5 olyan hónap is volt (január, március, május, június), amelyekben havonta több adat kompromittálódott, mint amennyi 2017-ben összesen.
2018-ban több mint két és félszeresére nőtt a kiszivárgott adatok száma a 2017-es évhez képest, a 2019-es év pedig már egy galaktikus ugrással 2,3 milliárdról 12,3 milliárdra növelte a számokat, azaz egy év alatt ötszörösére nőtt a kiszivárgott adatrekordok száma. Amikor már azt hihettük, hogy ennél rosszabb már nem is lehet, jött a 2020-as év:
- Na fogd meg a söröm!
Jól látható tehát, hogy 2020-ra több mint huszonnégyszeresére (24,2) nőtt a kiszivárgott adatmennyiségek száma a 2017-es évhez viszonyítva, 2019-hez képest pedig a másfélszeresére!
Na de nézzük, hogy is sikerült mindezt összehoznunk?
Január
2020 januárja mindjárt egy szolid másfél milliárdos data breach-el indult, amelyet alig 61 incidensből sikerült összehozni.
Egy amerikai egészségügyi szolgáltatótól 1,1 milliárd rekordnyi adat került ki, ehhez hozzájött a Microsoft 250 000 ügyfélrekordja, a CheckPeople 56 millió rekordja, a LimeLeads 49 millió rekordja és egy jó kis UK kormányzati adatszivárgás a maga szolid 28 millió rekordjával (gyermekek személyes adatai ráadásul!).
Ez utóbbi különösen gáz, mert nem csak hogy a gyermekek adatait érintette, de nagyon komoly adatkezelési problémát is felvet: az adatokat nem hackerek szerezék meg, hanem az Oktatási Minisztérium meglehetősen homályos és megkérdőjelezhető indokok alapján engedélyezett külső cégeknek hozzáférést az adatokhoz.
A hónap végén még ott rezgett a hűtőben a karácsonyi kocsonnya, de máris sikerült a 2018-as szivárgások eredményének több mint felét összehozni, illetve csaknem a másfélszeresét a 2017-es évnek. Jól indult az év, de a java még csak ez után következett.
Február
Egy nyugis, farsangolással eltöltött február jött, amikor ugyan 102 incidens következett be, de csak alig 600 millió rekord szivárgott ki.
Az Estee Lauder 440 millió rekordja mellé érkezett a Tetrad 120 millió kiszivárgott rekorddal, a Pabbly 51 millió, illetve a MGM Resorts 10 millió kiszivárgott adatrekorddal. 28 nap alatt nem is rossz.
Március
Márciusban már beütött a COVID, egyes elemzők szerint ennek köszönhető a megugrott, 67 incidensből összehozott, 832 milliós szám.
A kínai Weibo 538 millió felhasználói adata 250 dollárért lett megvásárolható a DarkWeb-en.
Azonosthatatlan forrásból 201 millió amerikai háztulajdonos adatai szivárogtak ki, és kerültek egy védtelen Google Cloud szerverre.
Az Antheus Technology 16GB-nyi, közte titkosítatlan biometrikus adatokat hagyott egy védtelen és sebezhető szerveren, amely 81,5 millió rekordot jelentett.
A holland kormányzattól csaknem 7 millió rekord került ki, míg az indiai PropTiger ingatlanplatform meghackelésével 3,4GB adat, több mint kétmillió rekord kompromittálódott.
Április
Áprilisra alábbhagyott a hackelési kedv, mindenki a koronával volt elfoglalva, csak ezzel magyarázható, hogy csak alig 216 millió felhasználói adatrekord kompromittálódott a 49 lejelentett incidensben.
A homeoffice felfutásakor sokkolta a világot, hogy a Zoomtól elloptak és a DarkWeb-en értékesíteni kezdtek 500 000 felhasználó nevet és a hozzájuk tartozó jelszót.
Az olasz Email.it szolgáltató sem járt különbül, nekik 600 000 felhasználói adatuk és az egyébként cleartextben tárolt jelszavaik kerültek értékesítésre a DarkWeb bugyraiban.
A marketing automatizálásban utazó Maropost 95 millió rekordja mellett persze ezek eltörpülnek, ahogyan a Quidd online piactér 4 milliós data breache is.
A hónap nyertese egyértelműen egy pakisztáni telekommunikációs vállalat lett, a 115 milliós mobilelőfizetői adatbázisuk 300 Bitcoinért (2,1 millió dollár) lett megvásárolható.
Május
A májusi adateső aranyat ér – tartja a népi kiberbölcsesség. Valami brutálisra sikeredett a május, a maga 8,8 milliárdos kiszivárgott adatrekord mennyiségével.
A 105 lejelentett eseményből egy incidens viszi a prímet, a thai AIS mobil és internet szolgáltatónak sikerült egy Elastic szervert nyitva hagyni, amelyben 4,7GB adatot tároltak, például a felhasználók internetforgalmi adatait, DNS, HTTPS és egyéb kéréseit, eszközazonosítókat és típusokat, stb. Az adatbázist megtaláló kutató május 7-én riportolta először az eseményt a szolgáltató felé, akik természetesen nem válaszoltak a megkeresésekre. Végül megelégelve a sikertelen próbálkozásokat, kutató május 21-én a ThaiCERT segítségét kérte, így sikerült május 23-ra lezárni a szivárgást. Az AIS nem kapkodta el, végül is csak 8,1 milliárd rekord adatról volt szó.
Az AIS mellett a Roblox online játék platform 100 milliós data breach-e majdnem elhanyagolható. Csak egyetlen eseményből több adat szivárgott ki, mint 2017-ben és 2018-ban összesen.
Június
A június sem hozott sokkal jobb helyzetet. 92 lejelentett eseményből több mint 7 milliárd kiszivárgott rekordot sikerült összehozni.
Ahogyan májusban, itt is egy cégnek sikerült nagyot gurítani. A KeepNet Labs hagyott nyitva egy Elastic adatbázist, benne 5 milliárd rekordnyi, 867GB mennyiségű adattal. Ami miatt ez az eset különösen szimpatikus nekem, hogy ezt az Elastic szervert is Bob Diachenko találta meg, aki az ilyen szivárgások specialistája és nem mellesleg az egyik személyes hősöm.
A hónap második befutója az Oracle BlueKai divíziója (400 millió dollárt fizetett 2014-ben az Oracle a BlueKai cégért), akik a felhasználók webes mozgásának és forgalmának követésével foglalkoznak. A BlueKai csak körülbelül a webes forgalmak 1,2%-át követi, de el lehet képzelni, hogy milyen adatbányán ücsörögnek. 2 milliárd rekordnyi adat azonban mások számára is megismerhetővé válhatott, amikor az egyik szerverük mindenféle jelszó nélkül engedélyezte a hozzáféréseket.
Aztán hogy legyen már egy bank is a sztoriban, a dél-afrikai Postbanknak kellett 12 millió bankkártyát kicserélnie (58 millió dolláros költségen), mert feltehetőleg belsős közreműködéssel kompromittálódott a mesterkulcs, amivel aztán 8-10 millió bankszámla is kompromittálódott. A sztorihoz hozzátartozik, hogy a mesterkulcsot feltehetőleg 2018-végén szerezék meg a csalók, de a bank csak 2019 decemberében kezdte el kapizsgálni, hogy valami nem stimmel, és 25 000 csaló tranzakció után kezdték el felgöngyölíteni a szálakat.
Július
Mindenki nyaral. A kiberbűnözők és az áldozatok is pihenőre vonultak kiélvezni a karantén enyhítését. 86 incidensből alig 77,7 millió adatrekord szivárgott ki.
A Promo.com videó platform 22 millió felhasználói rekordját vitte el és publikálta egy támadó. A digitális bankalkalmazás-fejlesztő és pénzügyi szolgáltató Dave.com 7 millió felhasználói adatrekordját szerezte meg egy hacker, szerencsére jelszavak bcrypt hashelve voltak.
A beuty-iparban ismert luxusparfümös Scentbird felhasználói adatait nyúlta le egy hacker. Ahogyan a jó Vespasianus császár soha nem mondotta: Notita non olet – azaz az adatnak nincs szaga, még akkor sem, ha 5,8 millió rekordról van szó.
Az Swvl egyiptomi buszfoglalási és utazási rendszert is támadás érte, 4 millió felhasználói adatrekordjuk bánta, de összességében a július csendesnek volt mondható.
Augusztus
Még mindig mindenki nyaralni van. A kiberbűnözők is, akiknek az elmúlt hónapok alapján van is miből.
Az augusztus volt adatszivárgási szempontból az év legcsendesebb hónapja, 99 incidensből alig 36 millió kiszivárgott adatrekordot írhatunk a statisztikába.
Az Experian SA dél-afrikai hitelintézetnek azért sikerült összehoznia 24 millió kiszivárgott adatrekordot, bár állításuk szerint ezek személyes adatok, és nem tartalmaztak banki, illetve egyéb pénzügyi adatot.
A grafikákban és fotókban utazó Freepik 8,3 millió felhasználói adatrekordját vitte el SQL injection támadáson keresztül egy hacker. A jelszavak többség sózott MD5-volt, illetve ahol nem volt jelszó ott valamilyen más rendszerrel federáltatva (pl. Facebbok, google, stb) történt a bejelentkezés, így jelszó ott sem került ki.
A mesterséges intelligenciában és folyamat- és feladatautomatizálásban utazó Cense érdekesebb történet, náluk 2,4 millió igencsak szenzitívnek számító személyes adat, orvosi és egészségügyi adat, orvosi diagnosztikai adat, biztosítási adat, stb. kompromittálódott. Bár konkréten nincs kimondva, de a leírások alapján ebben az esetben is egy nyitva hagyott adatbázis miatt következett be az incidens.
Szeptember
Láthatóan visszatértek az emberek a szabadságról. Mindenki jól kipihente magát, a kiberbűnözők is aktivizálták magukat. 102 incidensből 267 millió adatrekord kompromittálódott.
Hajrába kapcsolt az amerikai elnökválasztási kampány, és Joe Biden Vote Joe fantáziadús névre hallgató kampányalkalmazása szivárogtatott ki adatokat, mégpedig legalább 191 millió rekord bizalmassága sérülhetett.
A legnagyobb webmester fórum, a Digital Point is megszenvedte a szeptembert, szintén egy nyitva felejtett adatbázis miatt több mint 863 ezer felhasználójuk kompromittálódott, de a szivárgás teljes mérete csaknem 63 millió rekord.
A börtöntelefon rendszerekben utazó Telmate ugyancsak egy nyitva hagyott adatbázis miatt szenvedett el egy 11 millió rekordos adatszivárgást. Ismét Bob Diachenko vette észre az adatbázist, amelyben a fogvatartottak illetve a kapcsolataik adatai (nevek, elkövetett bűncselekmények, vallási és egészségügyi adatok, telefonszámok, stb.) voltak megtalálhatók, illetve mellette még 227 millió üzenetet is tartalmazott.
Október
Elindulhatott a COVID második hullám, mivel ugyan 117 lejelentett, nagyobb incidens következett be, de alig 88 millió rekordnyi adat kompromittálódott.
Az év egyik legnagyobb visszhangot kapó eseménye azonban októberben következett be, híres emberektől, politikusoktól (például Bill Gates, Barack Obama, Joe Biden, Jeff Bezos, Elon Musk) furcsa üzenetek érkeztek a Twitterről, hogy aki az üzenetben szereplő Bitcoin számlára 1 000 dollárt utal, dupla ekkora összeget kap vissza.
A hackernek vagy hackereknek a teljesen valószínűtlen sztori ellenére is sikerült 120 vagy 180 ezer dollárnyi Bitcoint begyűjteni. Nagyobb probléma, hogy posztolás mellett a támadók a Twitter fiókok üzeneteihez is hozzáférhettek. A Twitter szerint 130 fiók kompromittálódott, de csak 36 fiók üzenetmappájához fértek hozzá és 7 fiók üzeneteit töltötték le.
A támadók (fiatal elkövetők, itt és most nem az oroszok voltak a spájzban) social enginnering módszerekkel a Twitter munkatársait becsapva szereztek olyan belső hozzáférést, amellyel hozzáférhettek a Twitter fiókokhoz és az adatokhoz. Összességében az esemény 10 millió adatrekord kompromittálódását jelentette.
Érdekes történet még a Nitro PDF szoftvergyártót érintő esemény, amelyben 1TB adatot szereztek meg a támadók. A Nitro ügyfelei közé tartozik a Microsoft, Google, Apple és a Citibank, a rengeteg dokumentum és egyéb adat mellett több mint 70 millió ügyféladatot is megszereztek a támadók. A hackerek teljes Nitro dumpot 80 000 dollárért kínálták fel megvételre.
November
Az idei évből csak novemberig áll rendelkezésre statisztika. 103 nagyobb, lejelentett esemény ismert, amelyekből összesen 586,7 millió adatrekord kompromittálódott.
A méltán népszerű Spotify streaming szolgáltatónál nem az első alkalommal fordult elő mostanában, hogy jelszócserét kényszerítettek ki. Egy kutató megtalált egy Elastic adatbázist, amely 380 millió adatrekordot tartalmazott, amely 300-350 ezer Spotify felhasználóhoz köthető. A 300-350 ezer felhasználó esetében a jelszavak bizalmassága is sérült.
A Go SMS Pro esete is hasonló horderejű, a privát üzenetküldő szolgáltatásban találtak olyan sérülékenységet, amely miatt 100 millió felhasználó és üzeneteik bizalmassága sérülhetett.
A webhostingban utazó Cloud Cluster szolgáltatónál fedeztek fel egy nyitva hagyott adatbázist, amelyben többek között felhasználó nevek és jelszavak is megtalálhatók voltak. Az adatbázis továbbá olyan nyalánkságokat is tartalmazott, mint a mentések, monitoring adatok, email címek, stb. A jelszavak ráadásul mind titkosítás nélkül kerültek tárolásra. A Cloud Cluster esetében 63 millió szenzitív adatrekord kompromittálódott.
Az Animal Jam játékoldal hackelésével 46 millió rekord felhasználói rekordot szereztek meg a támadók, ami már csak azért is nagyon rázós, mivel az oldal játékosai jellemzően 9-11 év közötti gyermekek, illetve természetesen a szülők adataihoz is hozzájutottak a támadók.
Emberi mulasztás miatt következett be egy 27 millió adatrekordot kompromittáló esemény a biztosítási rendszerekkel foglalkozó Veratfore esetében. Az eset hátteréről annyi ismert, hogy a cég három olyan adatbázis állományt mentett le egy nem biztonságos, külső tárolási helyre (nincs leírva, de az ilyen eufemizmusok gyakran az AWS-t szokták jelenteni), amelyben a 2019 február előtti texasi vezetői engedélyek nyilvántartása, és az azokhoz kapcsolódó adatok voltak megtalálhatók.
Még nincs vége az évnek
Eddig tart a statisztika, a decemberi hónapra még nincsenek számaink. Azonban hacsak nem fohászkodott mindenki a Télapóhoz, Jézuskához vagy akár Shengdan Laorenhez, valószínűleg bőven 20 milliárd kiszivárgott, bizalmasságában sérült adatrekorddal fogjuk zárni az évet.
Végül is van még rá 10 napunk.
UPDATE
2021.01.04
Közben megjöttek a 2020 decemberi számok, decemberben 143 millio rekord szivárgott ki 131 incidensből, ezzel pedig a 2020-as évet lezártnak tekinthetjük 20 milliárd 214 millió kiszivárgott rekorddal. BUÉK NEKÜNK!