net op tijd voor Halloween, kijken we naar de spookachtige realiteit van datalekken en lichten we vijf verhalen uit die niet alleen de cyberwereld bang maakten
Halloween, de engste dag van het jaar, is op ons af! Traditionele observaties van de populaire vakantie kunnen echter worden gehinderd door de pandemie die buiten woedt. In plaats van kinderen die door de straten zwerven met enge kostuums trick-or-treating of volwassenen die kostuumfeesten bijwonen, zal All Hallows’ Eve op andere manieren gevierd moeten worden., De meesten van ons zullen waarschijnlijk worden gebundeld in dekens in het comfort van onze huizen met mokken van pompoen-smaak warme dranken kijken naar griezelige en gruwelijke verhalen, of nog beter, hen te vertellen.
de cyberwereld heeft ook een eng verhaal. Helaas, in tegenstelling tot wat op Halloween verteld wordt, zijn deze verhalen heel echt.
Equifax
In 2017 was Equifax, een van de grootste kredietinformatiebureaus in de Verenigde Staten, het slachtoffer van een verbazingwekkende datalek., De inbreuk die duurde voor ongeveer 78 dagen werd veroorzaakt door een kwetsbaarheid in de Apache Struts web application framework, waarvoor een patch was uitgegeven, maar dat Equifax had niet op tijd van toepassing. De dreiging acteurs achter het incident waren in staat om de persoonlijke gegevens van bijna 148 miljoen Amerikanen, 15,2 miljoen Britten, en bijna 19.000 Canadezen over te hevelen. De gegevens trove opgenomen een breed scala van persoonlijk identificeerbare informatie (PII) met inbegrip van sofinummers, geboortedata, en adressen … die allemaal kunnen worden gebruikt om identiteitsfraude uit te voeren., Wat betreft de monetaire schade door Equifax, het bedrijf schat dat de huidige tally is ongeveer US$1,7 miljard aan kosten die voortvloeien uit de cybersecurity incident.
Marriott
in 2018 leed Marriott International, een van de grootste hotelketens ter wereld, aan een groot datalek waarbij de reserveringsdatabase betrokken was. Marriot aanvankelijk geschat dat maar liefst 500 miljoen van haar klanten zou kunnen zijn getroffen door de cyber-incident, maar vervolgens ging op de schatting te wijzigen naar 383 miljoen., De gastinformatie die in het incident werd gecompromitteerd, omvatte een combinatie van naam, postadres, telefoonnummer, e-mailadres, paspoortnummer, Starwood Preferred Guest (SPG) accountinformatie, geboortedatum, geslacht, aankomst-en vertrekinformatie, reserveringsdatum en communicatievoorkeuren. In sommige gevallen, de betaalkaartnummers en hun vervaldata werden ook gecompromitteerd. De gecompromitteerde gegevens kunnen worden gebruikt in een breed scala van aanvallen, waaronder phishing, social engineering-aanvallen, creditcardfraude en identiteitsfraude., Tot nu toe heeft het bedrijf kosten gemaakt van ongeveer US$72 miljoen voor de inbreuk, maar us$71 miljoen is terugbetaald door de verzekering. Marriott kan echter nog steeds op zoek naar een flinke som sancties, omdat de Britse Autoriteit voor gegevensbescherming is op zoek naar de hotelketen te dienen met een £99 miljoen (US$123 miljoen) boete.
eBay
als een van ‘ s werelds grootste online marktplaatsen, het meest bekend om zijn veiling-stijl verkoop, eBay heeft waarschijnlijk weinig nodig in de manier van introductie., In 2014 onthulde het bedrijf dat het het slachtoffer was geweest van een aanval waarbij maar liefst 145 miljoen van de actieve gebruikers werden getroffen. Volgens het bedrijf, de oorsprong van de aanval werd herleid tot het compromis van een klein aantal werknemers inloggegevens. De gegevens gecompromitteerd in de inbreuk opgenomen PII klanten, zoals namen, e-mail en fysieke adressen, telefoonnummers, en data van geboorte, evenals versleutelde wachtwoorden, die allemaal kunnen worden gebruikt in verschillende vormen van cyberaanvallen en pogingen om potentiële slachtoffers te bedriegen.,
Target
in 2013 had Target, een van de grootste retailers in de Verenigde Staten, te maken met een grote datalek die meer dan 41 miljoen betaalkaartrekeningen van klanten en de contactgegevens van meer dan 60 miljoen klanten trof. De cybercriminelen achter de aanval waren in staat om toegang te krijgen tot namen van klanten, telefoonnummers, e-mailadressen, credit en debit card nummers en vervaldata, en versleutelde pinnen en credit card verificatie codes. Volgens Target waren de pincodes versleuteld met de Triple data encryptie standaard, waardoor ze moeilijk te kraken zouden zijn., Echter, met behulp van de informatie verzameld uit de inbreuk, de cybercriminelen kunnen credit card fraude en identiteitsfraude plegen. In de nasleep van het incident, Target aangeboden credit monitoring diensten en schikte een US$10 miljoen class-action rechtszaak waarin het beloofde te betalen tot US$10.000 aan alle klanten die konden bewijzen dat ze geleden verliezen als gevolg van de datalek. Het moest ook een multistate settlement van US$18,5 miljoen betalen.
Adult Friend Finder
in 2016 werd het adult dating en entertainment bedrijf FriendFinder Network geschonden, waardoor meer dan 412 miljoen gebruikersaccounts werden blootgelegd., De enorme datalek opgenomen 339 miljoen accounts van de AdultFriendFinder.com website en 15 miljoen verwijderde accounts die niet waren geëlimineerd uit de databases. De data trove bestond uit 20 jaar ter waarde van records van de grootste websites van het bedrijf en opgenomen gebruikersnamen, e-mailadressen, wachtwoorden, site lidmaatschap gegevens, browser informatie, IP-adres laatst gebruikt om in te loggen, en zelfs of de gebruiker had betaald voor alle items., Het is vermeldenswaard dat de wachtwoorden, die blijkbaar was omgezet in alle kleine letters, werden opgeslagen, hetzij in de clear of versleuteld als een SHA-1 hash, dat is niet een voldoende veiligheidsmaatregel en de meeste wachtwoorden waren gemakkelijk en snel gekraakt. Terwijl mensen zijn meer liberaal in deze dag en leeftijd, zouden ze waarschijnlijk niet willen adverteren hun bezoeken of activiteiten op dergelijke websites met zeer waarschijnlijk het houden van het geheim., Helaas, de gelekte gegevens zou toestaan black hats om gemakkelijk te richten op deze personen en gebruik maken van de gegevens om hun reputatie te ruïneren, chanteren ze onder de dreiging van het onthullen van gevoelige informatie die ze willen Verborgen te houden, of het gebruik van de gekraakte wachtwoorden in verdere credential-vulling aanvallen.
om zeker te zijn, dit zijn slechts enkele van de enge verhalen die de cyberwereld te bieden heeft. Hoewel ze misschien ongemakkelijk om te lezen, deze cyber-incidenten moeten dienen als waarschuwende verhalen voor zowel consumenten als bedrijven – dat cybersecurity mag nooit lichtvaardig worden genomen.