2014 eddigi legnagyobb adatlopásai

Az első félévben sem szűkölködtünk adatbiztonsági incidensekben. Milliószámra veszett nyoma személyes, pénzügyi és egészségügyi adatoknak.
 

Az Identity Theft Resource Center szerint idén csak az Egyesült Államokban 395 adatbiztonsági incidenst jelentettek be az arra kötelezett szervezetek, intézmények és vállalatok. Noha a tényleges számok ennél minden bizonnyal sokkal lehangolóbbak, azért így is elmondható, hogy az adatlopással járó támadások mennyisége 21 százalékkal emelkedett a megelőző év hasonló időszakához képest.

Azt gondolhatnánk, hogy mindig a kiberbűnözés áll egy-egy nemkívánatos biztonsági esemény bekövetkezése mögött. Ezzel szemben a valóság kicsit más, ugyanis az adatok kiszivárgása gyakorta az emberi felelőtlenségnek, a szabályok be nem tartásának és a védelmi intézkedések hiányának tudható be. Jó példát szolgáltatott minderre egyebek mellett a St. Vincent Breast Center is, amely személyes adatokkal teletűzdelt e-maileket küldött ki a pacienseknek, csak éppen nem megfelelő e-mail címekre. Egy csapásra 63 ezer levél landolt rossz postafiókokba, és váltak az adatok teljesen kiszolgáltatottá. 

Hasonlóan járt a stanfordi Federal Credit Union is, amelynek egyik alkalmazottja egy e-mailhez véletlenül hozzácsatolt egy fájlt, majd elküldte azt egy nem illetékes tagszervezetnek. Az állományban 18 ezer ügyfél adata volt megtalálható. 

Mindezek mellett idén is többször előfordult már, hogy nem kellően védett pendrive-oknak és hordozható számítógépeknek veszett nyoma tele értékes adatokkal. Egy kaliforniai egészségügyi szervezethez februárban törtek be, és a tolvajok nyolc olyan laptopot is magukkal vittek, amelyek összességében 400 ezer személy egészségügyi információit tartalmazták. 

Ezek az esetek nem kerültek be a Top 5 közé, de most lássuk a legkomolyabb incidenseket.

1. eBay

Az eBay rendszerét február végén, illetve március elején komoly támadás érte, amelynek során az elkövetők néhány alkalmazott bejelentkezési adatait szerezték meg, és éltek vissza azokkal. Hozzáférést szereztek a felhasználói adatbázishoz, amelyből neveket, e-mail címeket, lakcímeket, telefonszámokat, születési dátumokat, titkosított jelszavakat kaparintottak meg. Az eBay még nem tette közzé a végleges, hivatalos jelentését, de az első hírek 145 millió érintett felhasználóról szóltak, akiket a cég arra kért, hogy mihamarabb változtassák meg a jelszavukat.
2. Michaels Stores

A 2013 májusa és 2014 januárja között összesen 54 Michaels és Aaron Brothers áruház esett áldozatául az adattolvajoknak, akik megközelítőleg 3 millió bank-, illetve hitelkártya számát, valamint lejárati dátumát szerezték meg. A kiberbűnözők egy meglehetősen kifinomult kártékony program segítségével hajtották végre a nagymennyiségű adatszivárogtatást.

3. Egészségügyi minisztérium - Montana

A montanai egészségügyi minisztérium szakemberei május közepén egy furcsaságra lettek figyelmesek, és azonnali vizsgálatot kezdeményeztek. Hamar kiderült, hogy az egyik szervert feketekalapos hackerek vették össztűz alá. A kiszolgálón egy olyan adatbázis is megtalálható volt, amely 1,3 millió személy nevét, címét, születési dátumát, társadalombiztosítási számát tárolta. Az eddigi vizsgálatok nem találtak arra utaló jelet, hogy a szerveren lévő adatokat bárki jogosulatlanul felhasználta volna.

4. VALIC biztosító

A VALIC (Variable Annuity Life Insurance Company) biztosítónak egy korábbi alkalmazottjával gyűlt meg a baja. Az egyik pénzügyi tanácsadója ugyanis úgy gondolta, hogy amíg a cégnél dolgozik, addig lement magának különféle adatokat egy pendrive-ra. Ez a pendrive aztán a tanácsadónál lefolytatott házkutatás során előkerült. Az adathordozón a biztosító több mint 770 ezer ügyfelének legfontosabb adatai is megtalálhatóak voltak. Arra egyelőre nincs bizonyíték, hogy ezekkel az adatokkal bárki visszaélt volna, de az biztos, hogy a cég a saját hibáiból sem tanul. 2006-ban ugyanis már volt egy hasonló, pendrive-os adatszivárgási esete. 

5. Egy borkereskedő története

Az amerikai Spec's borkereskedelmi vállalat idén egy súlyos biztonsági incidenst leplezett le, amelyről kiderült, hogy 17 hónappal korábban vette kezdetét. A rendszereit ért támadások 2012 októberében indultak, és egészen idén márciusig tartottak. Ebben az időszakban a cégtől több mint 550 ezer ügyfél adata kerülhetett illetéktelen kezekbe. Egyebek mellett nevekhez, bank- és hitelkártya információkhoz, bankszámlákkal kapcsolatos adatokhoz és jogosítványokhoz köthető adatokhoz is hozzáférhettek az elkövetők, akik hónapokon keresztül észrevétlenül és zavartalanul lopkodtak.

A fenti tanulságos esetek csak a jéghegy csúcsát jelentik. Megannyi, napvilágra talán soha nem kerülő biztonsági incidenssel kell számolni, ha azt akarjuk megtudni, hogy az adataink a valóságban mennyire kiszolgáltatottak.