بزرگ‌ترين پرونده‌هاي نفوذ داده‌اي در سال ۲۰۱۹

با نگاهي به سال ۲۰۱۹ ميلادي كه روزهاي پاياني آن را سپري مي‌كنيم، نفوذهاي اطلاعاتي متعددي را در سازمان‌هاي كوچك و بزرگ شاهد هستيم. شايد در نگاه اول طرحي كه از يك نفوذ اطلاعاتي به ذهن شما خطور كند، هكري با لباس سياه در يك اتاق تاريك باشد كه به صفحه‌اي تيره با كدهايي سبز، خيره شده است. البته تكراري‌ترين تصوير سال ۲۰۱۹، چنين شكلي نداشت.

تصوير رايج امنيتي سال ۲۰۱۹ را مي‌توان مجموعه‌اي از مديران اجرايي و متخصصان امنيت تصوير كرد كه در اتاق‌هايي روشن نشسته‌اند. آن‌ها با وكلاي حقوقي و متخصصان روابط عمومي تماس مي‌گيرند و تنها به‌دنبال راهي براي عذرخواهي از متخصصان هستند. خصوصيت مشترك آن‌ها، باز گذاشتن ديواره‌هاي امنيتي سرورها به‌روي عموم است.

داستان‌هاي امنيتي سال ۲۰۱۹، تنها تيترهاي خبري با هدف جذب مخاطب نبودند. آمارها نشان مي‌دهند كه سال خوبي را از لحاظ امنيت در دنياي فناوري سپري نكرديم و تعداد نفوذهاي اطلاعاتي (طبق گزارش شركت امنيتي Risk Based Security)، با افزايش ۳۳ درصدي همراه بوده است. شركت‌هاي خدمات پزشكي، خرده‌فروشي‌ها و سازمان‌هاي عمومي، بيشترين آمار نفوذ اطلاعاتي را به خود اختصاص داده‌اند. گزارش ادعا مي‌كند كه در سال ۲۰۱۹ شاهد ۵٫۱۸۳ نفوذ اطلاعاتي و افشاي ۷/۹ ميليارد داده بوده‌ايم. شركت مذكور، در ماه نوامبر، سال ۲۰۱۹ را بدترين سال تاريخ از لحاظ امنيت اطلاعاتي نام‌گذاري كرد.

نفوذ اطلاعاتي به‌صورت ميانگين چه‌مقدار هزينه براي يك سازمان دارد؟ طبق آخرين آمارهاي IBM، هزينه‌هاي تحميل‌شده‌ي تحقيقات، كنترل خسارت، بازيابي و تعمير، پرونده‌هاي حقوقي و جريمه‌ها به‌صورت ميانگين به ۳/۹۲ ميليون دلار مي‌رسد. آمار مذكور، رشد ۱۲ درصدي هزينه‌ها را در دوره‌ي پنج ساله نشان مي‌دهد كه سرعت آن نيز كاهش نمي‌يابد.

از لحاظ آماري نمي‌توان هزينه‌اي را محاسبه كرد كه هر نفوذ اطلاعاتي به متخصصان وارد مي‌كند. به‌علاوه نمي‌توان پيش‌بيني مناسب نيز از اين هزينه براي سال ۲۰۲۰ داشت. اطلاعاتي همچون سريال گذرنامه، گزارش‌هاي پزشكي، اطلاعات حساب بانكي، اطلاعات شخصي شبكه‌هاي اجتماعي و موارد مشابه، در سال ۲۰۱۹ به سرقت رفتند. به‌بيان ديگر، حساس‌ترين داده‌هاي متخصصان در معرض خطر نفوذ قرار داشت و ميليون‌ها نفر را مجبور به قرنطينه‌ي اطلاعاتي كرد.

زمان‌ و پولي كه مردم براي رهايي از غفلت شرم‌آور برخي از شركت‌هاي فناوري هزينه كردند، به‌راحتي محاسبه نمي‌شود. پيش‌بيني هزينه‌هاي آتي نيز به‌هيچ‌وجه ممكن نيست. برخي اعتقاد دارند در دوران كنوني كه نفوذهاي اطلاعاتي روز‌به‌روز افزايش مي‌يابند، تعهد حفاظت از داده‌ها، برعهده‌ي خود اشخاص است. به‌هرحال تا زماني‌كه قوانين سخت‌گيرانه‌تري براي حفاظت از داده‌هاي متخصصان براي شركت‌ها وضع نشود و برنامه‌هاي جاسوسي دولت‌هاي گوناگون با هدف‌گيري شهروندان يكديگر متوقف نشود، راهي به‌جز حفاظت شخصي از اطلاعات خود نداريم.

كاربران دنياي اينترنت بايد در تلاش باشند تا داده‌هاي شخصي خود را از انواع نفوذ حفظ كنند. ازطرفي ضعف شركت‌هاي فناوري را نمي‌توان ناديده گرفت. به‌هرحال امروز در وضعيت مناسبي از لحاظ نفوذ اطلاعاتي به سازمان‌ها به‌سر نمي‌بريم. شايد دراين‌ميان نگاهي به گذشته و بزرگ‌ترين نفوذهايي كه در سال ۲۰۱۹، شركت‌هاي اطلاعاتي را هدف قرار داد، چشم‌اندازي روشن‌تر از وضعيت اطلاعاتي دنياي فناوري در اختيار ما قرار دهد.

ژانويه

گروه‌ هتل‌هاي ماريوت سال ۲۰۱۹ را با يك ركوردشكني از لحاظ نفوذ اطلاعاتي شروع كرد. آن‌ها در گزارشي اعتراف كردند كه مجرمان سايبري به اطلاعات ۳۸۳ ميليون ميهمان هتل شامل سريال گذرنامه و اطلاعات كارت اعتباري دست پيدا كرده‌اند. آمار مذكور، بيش از دو برابر تعداد افرادي بود كه در نفوذ اطلاعاتي به Equifax قرباني شدند. اگر آمارهاي مذكور به‌اندازه‌ي كافي براي ماه ژانويه عجيب و بزرگ نبودند، به گزارش محقق امنيتي، تروي هانت، دقت كنيد كه آدرس رايانامه ۷۷۳ ميليون متخصص را به‌‌همراه مجموعه‌ي عظيم ديگري از داده در يك سرويس ابري ذخيره‌ي فايل پيدا كرد.

فوريه

دومين ماه سال ميلادي، با اخباري شوكه‌كننده در حوزه‌ي امنيت الكترونيك همراه بود. در بزرگ‌ترين نفوذ اطلاعاتي، ۶۱۷ ميليون حساب متخصصي از ۱۶ وب‌سايت به سرقت رفت و براي فروش در دارك وب عرضه شد. سرويس‌هايي همچون Dubsmash، Armor Games، 500px، Whitepages و ShareThis جزو قرباني‌هاي نفوذ اطلاعاتي بودند. اطلاعات حساب‌هاي متخصصي قربانيان اين وب‌سايت‌ها با ارزشي كمتر از ۲۰ هزار دلار به‌صورت بيت‌كوين در دارك وب خريد و فروش مي‌شد.

مارس

اطلاعات صدها ميليون متخصص اينستاگرام و فيسبوك به‌خاطر ضعف شركت در سيستم مديريت رمز عبور، در معرض خطر قرار گرفت. گزارش امنيتي ديگري نيز در آن ماه منتشر شد. در نفوذي اطلاعاتي كه تقريبا كوچك‌تر از نمونه‌ي اول بود، ۲۵۰ هزار سند حقوقي افشا شد كه در يك ديتابيس عمومي ذخيره شده بود.

آوريل

فيسبوك در ماه آوريل نيز در صدر اخبار امنيتي قرار داشت. ۵۴۰ ميليون ركورد اطلاعاتي به‌خاطر قرار گرفتن نام متخصصي، اطلاعات شخصي و رمز عبور متخصصان در سرورهاي ناامن، قرباني نفوذ اطلاعاتي شد. فيسبوك در همان ماه اعتراف كرد كه رمز عبور ميليون‌ها متخصص اينستاگرام به‌صورت فايل متني و در كمترين پيكربرندي امنيتي ذخيره شده بود.

اخبار امنيتي پيرامون فيسبوك، تنها رخدادهاي نگران‌كننده در ماه آوريل نبودند. بزرگ‌ترين رخداد، به افشاي ۱۲/۵ ميليون گزارش پزشكي از زنان باردار اختصاص داشت. اطلاعات مذكور از يك آژانس سلامت دولتي هند به سرقت رفته بود كه داده‌ها را در سرورهايي با حفاظ‌هاي امنيتي ضعيف نگه‌داري مي‌كرد.

مه

خبر بزرگ امنيتي در ماه مه به افشاي اطلاعات صدها ميليون سند بيمه‌اي اختصاص داشت كه از غول املاك و مستغلات آمريكا، First American Financial Corp به‌سرقت رفت. در اين ماه، برخي از بزرگان صنايع غذايي نيز دچار نفوذهاي امنيتي شدند. برگركينگ به‌خاطر استفاده از يك ديتابيس ناامن، اطلاعات متخصصي ۴۰ هزار مشتري فروشگاه KoolKing را در معرض خطر قرار داد. مشتريان فروشگاه مذكور، عمومي كودكان هستند.

از اخبار مهم امنيتي ماه مه مي‌توان به رقابت دو شركت تأمين تغذيه‌ي مدرسه در آمريكا اشاره كرد كه منجر به يك جنگ سايبري شد. درنهايت مدير مالي يكي از رقبا، به‌خاطر نفوذ اطلاعاتي به وب‌سايت رقيب و افشاي اطلاعاتي دانش‌آموزان آن‌ها، دستگير شد.

ژوئن

نفوذ اطلاعاتي به شركت‌هاي خدمات سلامت در ميانه‌ي سال ميلادي نيز ادامه داشت. اطلاعات ۲۰ ميليون بيمار پس از هك شدن سرورهاي شركت American Medical Collection Association به‌سرقت رفت. درنتيجه‌ي رخداد مذكور، پرونده‌هاي حقوقي متعددي عليه AMCA و پيمانكارهاي آن‌ به جريان افتاد. پرونده‌هاي مذكور، به‌خاطر افشاي اطلاعات پرداختي بيماران، شماره‌هاي شناسايي بيمه، اطلاعات پزشكي، تاريخ تولد، شماره‌ي تماس، آدرس و موارد ديگر، عليه سازمان مطرح شدند. درنهايت AMCA تحت فشار مالي بسيار زياد براي پرداخت جريمه، اعلام ورشكستگي كرد.

ژوئيه

در ماه ژوئيه چند خبر اطلاعاتي ديگر نيز در رسانه‌ها منتشر شد كه اهميت بالايي داشت. Equifax كه در سال ۲۰۱۷ يك پرونده‌ي نفوذ عظيم داشت، محكوم به پرداخت ۷۰۰ ميليون دلار جريمه شد. در همان ماه، فيسبوك، جريمه‌اي پنج ميليارد دلاري را به‌خاطر رسوايي اطلاعاتي كمبريج آناليتيكا پذيرفت.

اوت

كاربران سرويس MoviePass در ماه اوت با خبري شوكه‌كننده روبه‌رو شدند. يك بازرسي امنيتي از سرويس مذكور اعلام كرد كه ۱۶۰ ميليون ركورد اطلاعاتي به‌صورت رمزنگاري نشده و بدون رمز عبور در ديتابيس شركت ذخيره شده است. درنتيجه‌ي چنين سهل‌انگاري امنيتي، اطلاعات كارت اعتباري متخصصان در معرض نفوذ قرار گرفته بود. در همان زمان يك نفوذ اطلاعاتي عظيم در بريتانيا رخ داد كه ۲۷/۸ ميليون اطلاعات بيومتريكي را افشا كرد. اطلاعات مذكور توسط سازمان پليس، بانك‌ها و سازمان‌هاي ديگر نگه‌داري مي‌شد.

اخبار مهم ديگر در ماه اوت به سرويس‌هاي دوست‌يابي اختصاص داشت كه ضعف امنيتي آن‌ها را در رسانه‌ها علني مي‌كرد. تعدادي از سرويس‌هاي مشهور اين حوزه به‌خاطر ضعف‌هاي امنيتي مجبور به پاسخ به مقام‌هاي حقوقي شدند.

سپتامبر

بيش از ۲۱۸ ميليون حساب متخصصي بازي Words with Friends در يك نفوذ اطلاعاتي به سرقت رفت. در ميان اطلاعات مذكور، داده‌هاي مهمي همچون آدرس رايانامه، نام، مشخصات ورود حساب متخصصي و داده‌هاي ديگر ديده مي‌شد. مجرم سايبري با نفوذ به يكي از ديتابيس‌هاي بازي، متخصصاني را هدف گرفت كه بازي را پيش از ارائه‌ي به‌روزرساني امنيتي حياتي نصب كرده بودند.

خبر مهم ديگر ماه سپتامبر در حوزه‌ي امنيت، از لحاظ تعداد قرباني كوچك‌تر از خبر اول بود، اما خطر بيشتري را به‌همراه داشت. يك ديتابيس دولتي با پيكربندي اشتباه امنيتي در اين ماه مورد نفوذ قرار گرفت كه داده‌هاي ۲۰/۸ ميليون متخصص اكوادوري را افشا كرد. شايان ذكر است جمعيت رسمي اكوادور، ۱۷/۵ ميليون نفر گزارش مي‌شود. در ميان اطلاعات به‌سرقت رفته، داده‌هاي تولد، وضعيت تعهل و شماره‌هاي ملي افراد ديده مي‌شد. آدرس كامل محل سكونت، اطلاعات فرزندان، شماره‌هاي تماس و گزارش‌هاي آماري تحصيلي نيز در بخشي از اطلاعات، به‌ سرقت رفت.

اكتبر

پيكربندي ناامن سرورهاي Elasticsearch باعث شد تا اطلاعات متخصصي چهار ميليارد متخصص رسانه‌هاي اجتماعي افشا شود. در اين افشاسازي، اطلاعات ۱/۲ ميليارد متخصص منحصربه‌فرد ديده مي‌شد كه آماري شوكه‌كننده بود. نفوذ اطلاعاتي مذكور را مي‌توان يكي از بزرگ‌ترين رخدادهاي امنيتي معاصر دانست.

نوامبر

در ميان اخبار امنيتي ماه نوامبر، نمونه‌هايي ناشي از اشتباه يا عملكرد مخرب متخصصان ديده مي‌شود. فيسبوك در اين ماه بار ديگر به صدر اخبار آمد. آن‌ها دسترسي نامناسب به داده‌هاي متخصصي را به حدود ۱۰۰ ميليون توسعه‌دهنده‌ي اپليكيشن داده بودند. در ماه نوامبر، خبر يك نفوذ سابق نيز در رسانه‌ها منتشر شد. يكي از متخصصان خراب‌كار شركت امنيتي Trend Micro، اطلاعات شخصي بيش از ۷۰ هزار مشتري شركت را به سرقت برد و از آن‌ها براي اخاذي استفاده كرد.

دسامبر

بيش از ۱۰۰ زن در دادگاهي عليه يك سياست‌مدار سابق هلندي شركت كردند كه اطلاعات و تصاوير شخصي آن‌ها را به‌صورت عمومي منتشر كرده بود. اين سياست‌مدار سابق با استفاده از اطلاعاتي كه به‌خاطر نفوذهاي امنيتي قبلي به ديتابيس‌هاي عمومي در دسترسش قرار گرفته بود، به حساب متخصصي آي‌كلاد قربانيان نفوذ كرده و اطلاعات آن‌ها را منتشر كرد. شاكيان درخواست حداقل سه سال زندان براي او داشتند كه ظاهرا دادگاه نهايي نيز رأي به همين حكم داد.

اخبار امنيتي سال ۲۰۱۹، نفوذهاي امنيتي متعددي را به شركت‌هاي فناوري و سازمان‌هايي نشان مي‌دهد كه از زيرساخت‌هاي فناوري براي نگه‌داري داده‌هاي متخصصان استفاده مي‌كنند. دراين‌ميان علاوه بر وظيفه‌ي متخصصان مبني بر پياده‌سازي راهكارهاي امنيتي در حساب‌هاي متخصصي، وظيفه‌ي سازمان‌ها و مديران امنيتي و فناوري آن‌ها نيز بسيار مهم به‌انديشه متخصصين مي‌رسد. شايد قوانين سخت‌گيرانه‌تر و جريمه‌هاي شديدتر براي سهل‌انگاري امنيتي شركت‌ها، بتواند باعث پياده‌سازي زيرساخت‌هاي امن‌تر در آن‌ها شود.