بزرگترين پروندههاي نفوذ دادهاي در سال ۲۰۱۹
با نگاهي به سال ۲۰۱۹ ميلادي كه روزهاي پاياني آن را سپري ميكنيم، نفوذهاي اطلاعاتي متعددي را در سازمانهاي كوچك و بزرگ شاهد هستيم. شايد در نگاه اول طرحي كه از يك نفوذ اطلاعاتي به ذهن شما خطور كند، هكري با لباس سياه در يك اتاق تاريك باشد كه به صفحهاي تيره با كدهايي سبز، خيره شده است. البته تكراريترين تصوير سال ۲۰۱۹، چنين شكلي نداشت.
تصوير رايج امنيتي سال ۲۰۱۹ را ميتوان مجموعهاي از مديران اجرايي و متخصصان امنيت تصوير كرد كه در اتاقهايي روشن نشستهاند. آنها با وكلاي حقوقي و متخصصان روابط عمومي تماس ميگيرند و تنها بهدنبال راهي براي عذرخواهي از متخصصان هستند. خصوصيت مشترك آنها، باز گذاشتن ديوارههاي امنيتي سرورها بهروي عموم است.
كلمهي «ديتابيس ناامن» در اخبار امنيتي سال ۲۰۱۹ به دفعات ديده شد. هر ماه شاهد بيانيههاي متعدد از شركتهاي گوناگون بوديم كه از متخصصان درخواست ميكردند تا رمزهاي عبور خود را تغيير داده و هرگونه خسارت امنيتي را گزارش دهند. شركتهاي ارائهدهندهي خدمات ابري مانند آمازون AWS و ElasticSearch نام خود را در داستانهاي خبري شركتهاي قرباني ميديدند؛ شركتهايي كه در انواع حوزهها از سلامت تا خدمات دولتي و موارد ديگر، فعال بودند. شركتهايي كه اطلاعات عمومي را با كمترين حفاظهاي امنيتي در دنياي وحشي اينترنت رها كرده بودند تا هكرها با كمترين تلاش، توانايي دستيابي به آنها و خريد و فروش اطلاعات را داشته باشند.
داستانهاي امنيتي سال ۲۰۱۹، تنها تيترهاي خبري با هدف جذب مخاطب نبودند. آمارها نشان ميدهند كه سال خوبي را از لحاظ امنيت در دنياي فناوري سپري نكرديم و تعداد نفوذهاي اطلاعاتي (طبق گزارش شركت امنيتي Risk Based Security)، با افزايش ۳۳ درصدي همراه بوده است. شركتهاي خدمات پزشكي، خردهفروشيها و سازمانهاي عمومي، بيشترين آمار نفوذ اطلاعاتي را به خود اختصاص دادهاند. گزارش ادعا ميكند كه در سال ۲۰۱۹ شاهد ۵٫۱۸۳ نفوذ اطلاعاتي و افشاي ۷/۹ ميليارد داده بودهايم. شركت مذكور، در ماه نوامبر، سال ۲۰۱۹ را بدترين سال تاريخ از لحاظ امنيت اطلاعاتي نامگذاري كرد.
نفوذ اطلاعاتي بهصورت ميانگين چهمقدار هزينه براي يك سازمان دارد؟ طبق آخرين آمارهاي IBM، هزينههاي تحميلشدهي تحقيقات، كنترل خسارت، بازيابي و تعمير، پروندههاي حقوقي و جريمهها بهصورت ميانگين به ۳/۹۲ ميليون دلار ميرسد. آمار مذكور، رشد ۱۲ درصدي هزينهها را در دورهي پنج ساله نشان ميدهد كه سرعت آن نيز كاهش نمييابد.
از لحاظ آماري نميتوان هزينهاي را محاسبه كرد كه هر نفوذ اطلاعاتي به متخصصان وارد ميكند. بهعلاوه نميتوان پيشبيني مناسب نيز از اين هزينه براي سال ۲۰۲۰ داشت. اطلاعاتي همچون سريال گذرنامه، گزارشهاي پزشكي، اطلاعات حساب بانكي، اطلاعات شخصي شبكههاي اجتماعي و موارد مشابه، در سال ۲۰۱۹ به سرقت رفتند. بهبيان ديگر، حساسترين دادههاي متخصصان در معرض خطر نفوذ قرار داشت و ميليونها نفر را مجبور به قرنطينهي اطلاعاتي كرد.
زمان و پولي كه مردم براي رهايي از غفلت شرمآور برخي از شركتهاي فناوري هزينه كردند، بهراحتي محاسبه نميشود. پيشبيني هزينههاي آتي نيز بههيچوجه ممكن نيست. برخي اعتقاد دارند در دوران كنوني كه نفوذهاي اطلاعاتي روزبهروز افزايش مييابند، تعهد حفاظت از دادهها، برعهدهي خود اشخاص است. بههرحال تا زمانيكه قوانين سختگيرانهتري براي حفاظت از دادههاي متخصصان براي شركتها وضع نشود و برنامههاي جاسوسي دولتهاي گوناگون با هدفگيري شهروندان يكديگر متوقف نشود، راهي بهجز حفاظت شخصي از اطلاعات خود نداريم.
كاربران دنياي اينترنت بايد در تلاش باشند تا دادههاي شخصي خود را از انواع نفوذ حفظ كنند. ازطرفي ضعف شركتهاي فناوري را نميتوان ناديده گرفت. بههرحال امروز در وضعيت مناسبي از لحاظ نفوذ اطلاعاتي به سازمانها بهسر نميبريم. شايد دراينميان نگاهي به گذشته و بزرگترين نفوذهايي كه در سال ۲۰۱۹، شركتهاي اطلاعاتي را هدف قرار داد، چشماندازي روشنتر از وضعيت اطلاعاتي دنياي فناوري در اختيار ما قرار دهد.
ژانويه
گروه هتلهاي ماريوت سال ۲۰۱۹ را با يك ركوردشكني از لحاظ نفوذ اطلاعاتي شروع كرد. آنها در گزارشي اعتراف كردند كه مجرمان سايبري به اطلاعات ۳۸۳ ميليون ميهمان هتل شامل سريال گذرنامه و اطلاعات كارت اعتباري دست پيدا كردهاند. آمار مذكور، بيش از دو برابر تعداد افرادي بود كه در نفوذ اطلاعاتي به Equifax قرباني شدند. اگر آمارهاي مذكور بهاندازهي كافي براي ماه ژانويه عجيب و بزرگ نبودند، به گزارش محقق امنيتي، تروي هانت، دقت كنيد كه آدرس رايانامه ۷۷۳ ميليون متخصص را بههمراه مجموعهي عظيم ديگري از داده در يك سرويس ابري ذخيرهي فايل پيدا كرد.
فوريه
دومين ماه سال ميلادي، با اخباري شوكهكننده در حوزهي امنيت الكترونيك همراه بود. در بزرگترين نفوذ اطلاعاتي، ۶۱۷ ميليون حساب متخصصي از ۱۶ وبسايت به سرقت رفت و براي فروش در دارك وب عرضه شد. سرويسهايي همچون Dubsmash، Armor Games، 500px، Whitepages و ShareThis جزو قربانيهاي نفوذ اطلاعاتي بودند. اطلاعات حسابهاي متخصصي قربانيان اين وبسايتها با ارزشي كمتر از ۲۰ هزار دلار بهصورت بيتكوين در دارك وب خريد و فروش ميشد.
سرويسهاي پزشكي و خدمات دولتي، سهم عمدهاي از اخبار نفوذ امنيتي را به خود اختصاص دادند
در كنار نفوذهاي اطلاعاتي بزرگ ماه فوريه، شاهد رخدادهاي كوچكتري نيز بوديم كه توجهها را به سرويسهاي پزشكي جلب كرد. بهعنوان مثال يك مجرم سايبري اطلاعات ۱۵ هزار بيمار استراليايي را براي دريافت باج، جمعآوري كرد. در نمونهاي ديگر، دسترسي غيرمجاز رايانامهي، اطلاعات ۳۲۶ هزار بيمار را در كنتيكت در معرض نفوذ قرار داد. بيماران ساكن واشينگتن آمريكا نيز از نفوذ اطلاعاتي در امان نبودند و اطلاعات نزديك به يك ميليون نفر از آنها در ديتابيسي باز در اختيار مجرمان سايبري قرار گرفت. گزارش امنيتي ديگري نيز اعلام كرد كه ۲/۷ ميليون تماس با مراكز پزشكي سوئد، ضبطشده و در دسترس عموم قرار گرفت.
مارس
اطلاعات صدها ميليون متخصص اينستاگرام و فيسبوك بهخاطر ضعف شركت در سيستم مديريت رمز عبور، در معرض خطر قرار گرفت. گزارش امنيتي ديگري نيز در آن ماه منتشر شد. در نفوذي اطلاعاتي كه تقريبا كوچكتر از نمونهي اول بود، ۲۵۰ هزار سند حقوقي افشا شد كه در يك ديتابيس عمومي ذخيره شده بود.
آوريل
فيسبوك در ماه آوريل نيز در صدر اخبار امنيتي قرار داشت. ۵۴۰ ميليون ركورد اطلاعاتي بهخاطر قرار گرفتن نام متخصصي، اطلاعات شخصي و رمز عبور متخصصان در سرورهاي ناامن، قرباني نفوذ اطلاعاتي شد. فيسبوك در همان ماه اعتراف كرد كه رمز عبور ميليونها متخصص اينستاگرام بهصورت فايل متني و در كمترين پيكربرندي امنيتي ذخيره شده بود.
اخبار امنيتي پيرامون فيسبوك، تنها رخدادهاي نگرانكننده در ماه آوريل نبودند. بزرگترين رخداد، به افشاي ۱۲/۵ ميليون گزارش پزشكي از زنان باردار اختصاص داشت. اطلاعات مذكور از يك آژانس سلامت دولتي هند به سرقت رفته بود كه دادهها را در سرورهايي با حفاظهاي امنيتي ضعيف نگهداري ميكرد.
مه
خبر بزرگ امنيتي در ماه مه به افشاي اطلاعات صدها ميليون سند بيمهاي اختصاص داشت كه از غول املاك و مستغلات آمريكا، First American Financial Corp بهسرقت رفت. در اين ماه، برخي از بزرگان صنايع غذايي نيز دچار نفوذهاي امنيتي شدند. برگركينگ بهخاطر استفاده از يك ديتابيس ناامن، اطلاعات متخصصي ۴۰ هزار مشتري فروشگاه KoolKing را در معرض خطر قرار داد. مشتريان فروشگاه مذكور، عمومي كودكان هستند.
از اخبار مهم امنيتي ماه مه ميتوان به رقابت دو شركت تأمين تغذيهي مدرسه در آمريكا اشاره كرد كه منجر به يك جنگ سايبري شد. درنهايت مدير مالي يكي از رقبا، بهخاطر نفوذ اطلاعاتي به وبسايت رقيب و افشاي اطلاعاتي دانشآموزان آنها، دستگير شد.
ژوئن
نفوذ اطلاعاتي به شركتهاي خدمات سلامت در ميانهي سال ميلادي نيز ادامه داشت. اطلاعات ۲۰ ميليون بيمار پس از هك شدن سرورهاي شركت American Medical Collection Association بهسرقت رفت. درنتيجهي رخداد مذكور، پروندههاي حقوقي متعددي عليه AMCA و پيمانكارهاي آن به جريان افتاد. پروندههاي مذكور، بهخاطر افشاي اطلاعات پرداختي بيماران، شمارههاي شناسايي بيمه، اطلاعات پزشكي، تاريخ تولد، شمارهي تماس، آدرس و موارد ديگر، عليه سازمان مطرح شدند. درنهايت AMCA تحت فشار مالي بسيار زياد براي پرداخت جريمه، اعلام ورشكستگي كرد.
ژوئيه
جريمهي برخي از نفوذهاي امنيتي منجر به ورشكستگي سازمان قرباني شد
بانك Capital One اخبار مهم امنيتي ماه ژوئيه را به خود اختصاص داد. اطلاعات ۱۰۰ ميليون فرم درخواست كارت اعتباري، ۱۴۰ هزار شمارهي خدمات اجتماعي و ۸۰ هزار شمارهي حساب بانكي به سرقت رفت. دادههاي بهسرقت رفته شامل اطلاعات شخصي مهمي همچون نام، آدرس، كد پستي، شمارهي تماس و تاريخ تولد افراد بود. نفوذ اطلاعاتي مذكور، ضربهي سختي به بانك كپيتال وان وارد كرد و منجر به دستگير متخصص بخش متخصص آنها پيج اي تامسون شد كه طبق ادعاي FBA، در نفوذ اطلاعاتي نقش داشت.
در ماه ژوئيه چند خبر اطلاعاتي ديگر نيز در رسانهها منتشر شد كه اهميت بالايي داشت. Equifax كه در سال ۲۰۱۷ يك پروندهي نفوذ عظيم داشت، محكوم به پرداخت ۷۰۰ ميليون دلار جريمه شد. در همان ماه، فيسبوك، جريمهاي پنج ميليارد دلاري را بهخاطر رسوايي اطلاعاتي كمبريج آناليتيكا پذيرفت.
اوت
كاربران سرويس MoviePass در ماه اوت با خبري شوكهكننده روبهرو شدند. يك بازرسي امنيتي از سرويس مذكور اعلام كرد كه ۱۶۰ ميليون ركورد اطلاعاتي بهصورت رمزنگاري نشده و بدون رمز عبور در ديتابيس شركت ذخيره شده است. درنتيجهي چنين سهلانگاري امنيتي، اطلاعات كارت اعتباري متخصصان در معرض نفوذ قرار گرفته بود. در همان زمان يك نفوذ اطلاعاتي عظيم در بريتانيا رخ داد كه ۲۷/۸ ميليون اطلاعات بيومتريكي را افشا كرد. اطلاعات مذكور توسط سازمان پليس، بانكها و سازمانهاي ديگر نگهداري ميشد.
اخبار مهم ديگر در ماه اوت به سرويسهاي دوستيابي اختصاص داشت كه ضعف امنيتي آنها را در رسانهها علني ميكرد. تعدادي از سرويسهاي مشهور اين حوزه بهخاطر ضعفهاي امنيتي مجبور به پاسخ به مقامهاي حقوقي شدند.
سپتامبر
بيش از ۲۱۸ ميليون حساب متخصصي بازي Words with Friends در يك نفوذ اطلاعاتي به سرقت رفت. در ميان اطلاعات مذكور، دادههاي مهمي همچون آدرس رايانامه، نام، مشخصات ورود حساب متخصصي و دادههاي ديگر ديده ميشد. مجرم سايبري با نفوذ به يكي از ديتابيسهاي بازي، متخصصاني را هدف گرفت كه بازي را پيش از ارائهي بهروزرساني امنيتي حياتي نصب كرده بودند.
خبر مهم ديگر ماه سپتامبر در حوزهي امنيت، از لحاظ تعداد قرباني كوچكتر از خبر اول بود، اما خطر بيشتري را بههمراه داشت. يك ديتابيس دولتي با پيكربندي اشتباه امنيتي در اين ماه مورد نفوذ قرار گرفت كه دادههاي ۲۰/۸ ميليون متخصص اكوادوري را افشا كرد. شايان ذكر است جمعيت رسمي اكوادور، ۱۷/۵ ميليون نفر گزارش ميشود. در ميان اطلاعات بهسرقت رفته، دادههاي تولد، وضعيت تعهل و شمارههاي ملي افراد ديده ميشد. آدرس كامل محل سكونت، اطلاعات فرزندان، شمارههاي تماس و گزارشهاي آماري تحصيلي نيز در بخشي از اطلاعات، به سرقت رفت.
اكتبر
پيكربندي ناامن سرورهاي Elasticsearch باعث شد تا اطلاعات متخصصي چهار ميليارد متخصص رسانههاي اجتماعي افشا شود. در اين افشاسازي، اطلاعات ۱/۲ ميليارد متخصص منحصربهفرد ديده ميشد كه آماري شوكهكننده بود. نفوذ اطلاعاتي مذكور را ميتوان يكي از بزرگترين رخدادهاي امنيتي معاصر دانست.
ديتابيس ناامن، كليدواژهي اكثر نفوذهاي دادهاي بود
شركت ادوبي خبر بزرگ امنيتي ديگر را در ماه اكتبر به خود اختصاص داد. ۷/۵ ميليون اطلاعات متخصصي سرويس Creative Cloud در يك ديتابيس ناامن نگهداري ميشد كه در معرض نفوذ اطلاعاتي قرار داشت. در همين ماه، خبري از سرويس روسي Motherland به رسانهها راه يافت. گزارشهاي مالياتي ۲۰ ميليون شهروند روسيه در يك ديتابيس باز نگهداري ميشد و تقريبا هر فردي به آنها دسترسي داشت. اطلاعات مذكور، سالهاي ۲۰۰۹ تا ۲۰۱۶ را پوشش ميداد.
نوامبر
در ميان اخبار امنيتي ماه نوامبر، نمونههايي ناشي از اشتباه يا عملكرد مخرب متخصصان ديده ميشود. فيسبوك در اين ماه بار ديگر به صدر اخبار آمد. آنها دسترسي نامناسب به دادههاي متخصصي را به حدود ۱۰۰ ميليون توسعهدهندهي اپليكيشن داده بودند. در ماه نوامبر، خبر يك نفوذ سابق نيز در رسانهها منتشر شد. يكي از متخصصان خرابكار شركت امنيتي Trend Micro، اطلاعات شخصي بيش از ۷۰ هزار مشتري شركت را به سرقت برد و از آنها براي اخاذي استفاده كرد.
دسامبر
بيش از ۱۰۰ زن در دادگاهي عليه يك سياستمدار سابق هلندي شركت كردند كه اطلاعات و تصاوير شخصي آنها را بهصورت عمومي منتشر كرده بود. اين سياستمدار سابق با استفاده از اطلاعاتي كه بهخاطر نفوذهاي امنيتي قبلي به ديتابيسهاي عمومي در دسترسش قرار گرفته بود، به حساب متخصصي آيكلاد قربانيان نفوذ كرده و اطلاعات آنها را منتشر كرد. شاكيان درخواست حداقل سه سال زندان براي او داشتند كه ظاهرا دادگاه نهايي نيز رأي به همين حكم داد.
اخبار امنيتي سال ۲۰۱۹، نفوذهاي امنيتي متعددي را به شركتهاي فناوري و سازمانهايي نشان ميدهد كه از زيرساختهاي فناوري براي نگهداري دادههاي متخصصان استفاده ميكنند. دراينميان علاوه بر وظيفهي متخصصان مبني بر پيادهسازي راهكارهاي امنيتي در حسابهاي متخصصي، وظيفهي سازمانها و مديران امنيتي و فناوري آنها نيز بسيار مهم بهانديشه متخصصين ميرسد. شايد قوانين سختگيرانهتر و جريمههاي شديدتر براي سهلانگاري امنيتي شركتها، بتواند باعث پيادهسازي زيرساختهاي امنتر در آنها شود.
هم انديشي ها