Giusto in tempo per Halloween, guardiamo la realtà inquietante delle violazioni dei dati ed evidenziiamo cinque racconti che hanno spaventato non solo il cyber-mondo
Halloween, il giorno più spaventoso dell’anno, è alle porte! Tuttavia, le osservazioni tradizionali della festa popolare possono essere ostacolate dalla pandemia che infuria all’esterno. Invece di bambini che vagano per le strade con costumi spaventosi trick-or-treat o adulti che frequentano feste in costume, All Hallows’ Eve dovrà essere celebrato in altri modi., La maggior parte di noi sarà probabilmente impacchettata in coperte nel comfort delle nostre case con tazze di bevande calde al gusto di zucca che guardano storie inquietanti e terrificanti, o meglio ancora, raccontandole.
Il cyber-mondo ha molti una storia spaventosa della propria pure. Sfortunatamente, contrariamente a quelli raccontati ad Halloween, queste storie sono molto reali.
Equifax
Nel 2017, Equifax, una delle più grandi agenzie di segnalazione di credito negli Stati Uniti, è stata vittima di una sorprendente violazione dei dati., La violazione che è durata per circa 78 giorni è stata causata da una vulnerabilità nel framework di applicazioni Web Apache Struts, per il quale era stata rilasciata una patch ma che Equifax non era riuscita ad applicare in tempo. Gli attori della minaccia dietro l’incidente sono stati in grado di sifone i dati personali di quasi 148 milioni di americani, 15,2 milioni di inglesi, e quasi 19.000 canadesi. Il tesoro di dati comprendeva una vasta gamma di informazioni personali identificabili (PII) tra cui numeri di previdenza sociale, date di nascita e indirizzi could che potrebbero essere utilizzati per condurre frodi di identità., Per quanto riguarda i danni monetari subiti da Equifax, la società stima che il conteggio attuale sia di circa US billion 1.7 miliardi di costi derivanti dall’incidente di sicurezza informatica.
Marriott
Nel 2018, Marriott International, una delle più grandi catene alberghiere al mondo, ha subito una grave violazione dei dati che ha coinvolto il suo database delle prenotazioni. Marriot inizialmente stimato che ben 500 milioni dei suoi clienti potrebbero essere stati colpiti dal cyber-incidente, ma poi ha continuato a modificare la sua stima a 383 milioni., Le informazioni sugli ospiti compromesse nell’incidente includevano una combinazione di nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sull’account Starwood Preferred Guest (SPG), data di nascita, sesso, informazioni di arrivo e partenza, data di prenotazione e preferenze di comunicazione. In alcuni casi, i numeri delle carte di pagamento e le loro date di scadenza sono stati compromessi pure. I dati compromessi potrebbero essere utilizzati in una vasta gamma di attacchi, tra cui phishing, attacchi di social engineering, frodi con carte di credito e frodi di identità., Finora, la società ha sostenuto costi di circa US million 72 milioni per la violazione, ma US million 71 milioni sono stati rimborsati dall’assicurazione. Tuttavia, Marriott potrebbe ancora essere alla ricerca di una somma pesante in sanzioni, dal momento che l’autorità per la protezione dei dati del Regno Unito sta cercando di servire la catena alberghiera con una multa di £99 milioni (US million 123 milioni).
eBay
Come uno dei più grandi mercati online del mondo, più famoso per le sue vendite in stile asta, eBay probabilmente ha bisogno di poco in termini di introduzione., Nel 2014, la società ha rivelato di essere stata vittima di un attacco in cui sono stati colpiti ben 145 milioni di utenti attivi. Secondo la società, l’origine dell’attacco è stata fatta risalire al compromesso di un piccolo numero di credenziali di accesso dei dipendenti. I dati compromessi nella violazione includevano PII dei clienti, come nomi, indirizzi e-mail e fisici, numeri di telefono e date di nascita, nonché password crittografate, che potrebbero essere utilizzate in varie forme di attacchi informatici e tentativi di frodare potenziali vittime.,
Target
Nel 2013, Target, uno dei maggiori rivenditori negli Stati Uniti, ha subito una grave violazione dei dati che ha interessato oltre 41 milioni di account di carte di pagamento dei clienti e le informazioni di contatto di oltre 60 milioni di clienti. I criminali informatici dietro l’attacco sono stati in grado di accedere ai nomi dei clienti, numeri di telefono, indirizzi e-mail, numeri di carte di credito e di debito e date di scadenza, e PIN crittografati e codici di verifica della carta di credito. Secondo Target, i codici PIN sono stati crittografati con il Triple Data Encryption Standard, che li renderebbe difficili da decifrare., Tuttavia, utilizzando le informazioni raccolte dalla violazione, i criminali informatici potrebbero commettere frodi con carta di credito e frodi di identità. All’indomani dell’incidente, Target ha offerto servizi di monitoraggio del credito e ha depositato una causa legale di 10 milioni di dollari in cui ha promesso di pagare fino a 10.000 dollari a tutti i clienti che potrebbero dimostrare di aver subito perdite a causa della violazione dei dati. Ha anche dovuto pagare un accordo multistatale di US million 18.5 milioni.
Adult Friend Finder
Nel 2016 la società di incontri per adulti e intrattenimento FriendFinder Network è stata violata, esponendo oltre 412 milioni di account utente., L’enorme violazione dei dati comprendeva 339 milioni di account dal AdultFriendFinder.com sito web così come 15 milioni di account cancellati che non erano stati eliminati dai suoi database. Il tesoro di dati consisteva in 20 anni di record dai più grandi siti Web della società e comprendeva nomi utente, indirizzi e-mail, password, dati di iscrizione al sito, informazioni sul browser, indirizzo IP utilizzato per l’ultimo accesso e persino se l’utente avesse pagato per qualsiasi elemento., Vale la pena notare che le password, che apparentemente erano state convertite in tutte le lettere minuscole, sono state archiviate in chiaro o criptate come hash SHA-1, che non è una misura di sicurezza sufficiente e la maggior parte delle password sono state facilmente e rapidamente incrinate. Mentre le persone sono più liberali in questo giorno ed età, probabilmente non vorrebbero pubblicizzare le loro visite o attività su tali siti web con molto probabilmente tenerlo segreto., Sfortunatamente, i dati trapelati consentirebbero a black hats di colpire facilmente questi individui e utilizzare i dati per rovinare la loro reputazione, ricattarli sotto la minaccia di rivelare informazioni sensibili che vorrebbero tenere nascoste o utilizzare le password incrinate in ulteriori attacchi di riempimento delle credenziali.
Per essere sicuri, queste sono solo alcune delle storie spaventose che il cyber-mondo ha da offrire. Mentre possono essere scomodi da leggere, questi cyber-incidenti dovrebbero servire come racconti cautelativi sia per i consumatori che per le aziende – che la sicurezza informatica non dovrebbe mai essere presa alla leggera.