10 نقص امنیتی مهم در سال 2020

براساس داده های جدید انتشار یافته توسط Risk Based Security  در سال 2020 تعداد رکورهایی که توسط حملات سایبری انتشار یافته اند بالغ بر 36 بیلیون می باشد که باعث شده است سال 2020 بعنوان بدترین سال در افشای اطلاعات رکورد شکنی کند.

تعدادی زیادی  نقض های قابل توجه داده ها وجود دارد که در این سال رخ داده است. کریس هالنبک ، مدیر ارشد امنیت اطلاعات (CISO) برای قاره آمریکا در Tanium می گوید: اما به خطر افتادن حساب های توییتر چندین چهره مشهور ، بیشترین خبرها را به خود اختصاص داده است.

سه نوجوان موفق شدند با متقاعد کردن کارمندان شرکت رسانه های اجتماعی و با استفاده از مهندسی اجتماعی به حساب شخصیت های عمومی دسترسی پیدا کنند. گرچه این ساده به نظر می رسد ، مهندسی اجتماعی بیش از آنچه مردم تصور می کنند موفقیت آمیزتر است و رایج است.

هالن بک می گوید ، این افزایش نگران کننده مهندسی اجتماعی و پیشرفت روزافزون آن به ما می آموزد که آموزش کارمندان و ایجاد فرهنگ امنیت سایبری به همان اندازه مهم است که هر شکل دیگری از فناوری مهم  است.

او استدلال می کند که شرکت ها باید کارمندان را تشویق کنند تا از این ایده که دروازه بان اطلاعات شرکت ها هستند و نقش بسزایی در ایمن نگه داشتن اطلاعات دارند ، استقبال کنند. “سیستم های مهم و حساب هایی که به آنها دسترسی دارند باید با احراز هویت چند عاملی محافظت شوند.
اعتماد صفر نقش بسیار بزرگتری در محافظت از سیستم ها و داده های کلیدی بازی خواهد کرد.

در ادامه با لیستی از 10 مورد برتر نقض داده ها در سال 2020 و پیش بینی هاید فضای امنیت سایبری در سال 2021 همراه باشید.

10-مایکروسافت – 250 میلیون رکورد

در 22 ژانویه ، مایکروسافت نقض داده ای را اعلام کرد که در دسامبر 2019 اتفاق افتاد. در یک پست وبلاگ ، این شرکت گفت که تغییری که در 5 دسامبر سال 2019 در گروه امنیت شبکه پایگاه داده ایجاد شد ، بدلیل قوانین امنیتی نادرست پیکربندی شده ، باعث انتشار و افشای داده ها شده است.

طبق اعلام  ZDNet ، این سرورها شامل 250 میلیون ورودی با اطلاعاتی مانند آدرس های ایمیل ، آدرس های IP و جزئیات پرونده پشتیبانی می شوند.

مهندسان در 31 دسامبر 2019 پیکربندی را برای محدود کردن پایگاه داده و جلوگیری از دسترسی غیر مجاز اصلاح کردند. مایکروسافت می گوید ، این پیکربندی اشتباه مختص یک پایگاه داده داخلی است که برای تجزیه و تحلیل استفاده می شود و نمایانگر مواجهه با سرویس های ابری تجاری آن نیست.

تحقیقات مایکروسافت نشان داد هیچ استفاده مخربی را نشان نداد و اکثر مشتریان اطلاعات قابل شناسایی شخصی (PII) را در معرض دید قرار ندادند. باب دیاچنکو ، محقق امنیت ، این نقص امنیتی پایگاه داده در معرض خطر را به مایکروسافت اعلام کرد.

9- Wattpad – 268 million records

در ژوئن سال 2020 ، وب سایت داستان های تولید شده توسط کاربر Wattpad مورد نقض گسترده داده ها قرار گرفت که تقریباً 268.745.495 میلیون رکورد را آشکار کرد.

به گفته BleepingComputer ، داده ها در ابتدا در فروش خصوصی بیش از 100000 دلار فروخته می شد و سپس در یک انجمن هک عمومی منتشر می شد که به صورت رایگان به اشتراک گذاشته می شد.

این حادثه اطلاعات گسترده شخصی را شامل نام و نام کاربری ، آدرس ایمیل و IP ، جنسیت ، موقعیت جغرافیایی عمومی ، تاریخ تولد و رمزهای عبور ذخیره شده به عنوان هش های bcrypt در معرض دید قرار داد.

8- Broadvoice – 350 million records

باب دیاچنکو ، محقق امنیت ، افشای مجموعه ای از پایگاه های داده متعلق به  Voice over IP (VoIP) Broadvoice را کشف کرد که حاوی سوابق بیش از 350 میلیون مشتری بود.

دیاچنکو در تاریخ 1 اکتبر اطلاعات پایگاه داده را مورد بررسی قرارداد و دریافت که در آن اطلاعات نام اسامی تماس گیرنده ، شماره تلفن و مکان نیز وجود دارد. یک پایگاه داده شامل رونوشت صدها هزار پست صوتی بود که بسیاری از آنها شامل اطلاعات حساس مانند جزئیات نسخه های پزشکی و وام های مالی بودند. بیش از 2 میلیون رکورد پست صوتی در این زیر مجموعه داده ها گنجانده شده بود که متن 200000 مورد آنها رونویسی شده بود.

بیشتر این سوابق شامل نام تماس گیرنده (نام کامل ، نام تجاری یا نام عمومی مانند “تماس گیرنده بی سیم”) ، شماره تلفن تماس گیرنده ، نام یا شناسه صندوق پستی صوتی (به عنوان مثال ، یک نام یا برچسب عمومی ، مانند به عنوان “پرسنل بالینی” یا “ویزیتورها”) و شناسه های داخلی.

7- Estée Lauder – 440 million records

در تاریخ 30 ژانویه ، جرمیا فاولر ، محقق امنیت ، پایگاه داده ای را به صورت آنلاین کشف کرد که حاوی آنچه که وی می گوید “تعداد زیادی سوابق” بود. این پایگاه داده به غول لوازم آرایشی Estée Lauder تعلق داشت و در مجموع 440،336،852 رکورد داشت.

در بیانیه ای ، این شرکت خاطرنشان کرد که این پایگاه داده  یک “سیستم آموزشی” است که حاوی داده های مصرف کننده نبود. هیچ مدرکی در مورد استفاده غیر مجاز از داده ها یافت نشد.

فاولر به فوربس گفت که کل پایگاه داده برای هر کسی که دارای اتصال به اینترنت است قابل دسترسی است ، بنابراین هر کسی می تواند به طور بالقوه دسترسی داشته باشد یا داده را دزدیده در حالی که از آن محافظت نشده است. سوابق حاوی ایمیل های کاربر در متن ساده ، ارجاع به گزارش ها و سایر اسناد داخلی ، آدرس IP ، پورت ها ، مسیرها و اطلاعات ذخیره سازی بود.

6- Sina Weibo – 538 million records

در ماه مارس ، خبری منتشر شد مبنی بر اینکه اطلاعات شخصی بیش از 538 میلیون کاربر شبکه اجتماعی چینی Weibo برای فروش آنلاین در دسترس است. یک هکر سپس ادعا کرد که در اواسط سال 2019 Weibo را هک نموده و پایگاه داده ای را به دست آورده است که گویا حاوی اطلاعات 538 میلیون کاربر است و داده ها را به قیمت 250 دلار در وب تاریک می فروخت.

گفته می شود که این پایگاه داده از نظر “پتانسیل هک” از اهمیت خاصی برخوردار نبود ، زیرا هیچ رمز عبوری برای اطلاعات پرداخت ندارد. با این حال ، سوابق مانند نام های واقعی ، نام کاربری سایت ، جنسیت ، مکان و همچنین شماره تلفن برای 172 میلیون کاربر بود. اطلاعات افشا شده می تواند منجر به کلاهبرداری و انواع دیگر تلاش برای جعل هویت شود.

5-Whisper – 900 million records

یک پایگاه داده محافظت نشده ، حاوی 900 میلیون پست Whisper ، و تمام فراداده مربوط به آن پست ها ، در اوایل ماه مارس به صورت آنلاین پیدا شد.

یک برنامه “به اشتراک گذاری مخفی” ، Whisper ، که خود را “امن ترین مکان در اینترنت” خواند ، اطلاعات و پست های کاربران جمله اعترافات شخصی ، سن ، مکان ها و سایر جزئیات در معرض دید قرار داد و به همه اجازه دسترسی به تمام اطلاعات مرتبط را به صورت ناشناس داد.

سوابق افشا شده شامل اسامی واقعی نبوده است اما شامل سن ، قومیت ، جنسیت ، زادگاهش ، نام مستعار و عضویت در گروه توسط یک کاربر است که بسیاری از آنها به اعترافات جنسی و بحث در مورد گرایش و تمایلات جنسی اختصاص دارد.

به گزارش واشنگتن پست ، این پایگاه داده توسط محققان و مشاوران مستقل متیو پورتر و دن ارلیچ کشف شد و آنها گفتند قادر به دسترسی به تقریباً 900 میلیون رکورد مربوط به اطلاعات از سال 2012 تا به امروز کاربر بوده اند.

4- BlueKai – billions of records

در ژوئن 2020 ، محقق امنیتی Anurag Sen یک پایگاه داده BlueKai نا امن را پیدا کرد که از طریق اینترنت باز قابل دسترسی است. این پایگاه داده میلیاردها رکورد حاوی نام ، آدرس خانه ، آدرس ایمیل و فعالیت مرور وب مانند خریدها و لغو اشتراک خبرنامه را در خود جای داده است.

BlueKai در آغاز کار ، بیش از 400 میلیون دلار در سال 2019 توسط Oracle خریداری شد. TechCrunch گزارش داد که این برنامه با استفاده از کوکی های وب سایت و سایر فناوری های ردیابی برای دنبال کردن کاربران در سراسر وب ، یکی از بزرگترین بانک های داده ردیابی وب را در خارج از دولت فدرال جمع کرده است.

طبق گزارش Cyware   شرکت ، BlueKai  تعداد 1.2%  از کل ترافیک وب را ردیابی می کند و برخی از بزرگترین وب سایتهای جهان را ردیابی می کند: آمازون ، ESPN ، فوربس ، Glassdoor ، Healthline ، MSN.com ، Levi’s ، Rotten Tomatoes و نیویورک تایمز. با توجه به حجم اطلاعات موجود در این سرور نا امن ، این یکی از بزرگترین موارد نقض امنیت سایبری در سال 2020 بود.

3- Keepnet Labs – 5 billion records

در مارس 2020 ، باب دیاچنکو گزارش داد که با استفاده از گواهی SSL و DNS  معکوس ، با یک پایگاه اطلاعاتی دارای نشتی الاستیک سرچ روبرو شده است که به نظر می رسد توسط یک شرکت امنیتی مستقر در انگلیس مدیریت می شود.

اگرچه داده های شرکت و سوابق مشتری در معرض دید قرار نگرفت ، اما این حادثه مربوط به مجموعه های نقض داده ای بود که قبلا گزارش شده بود. دیاچنکو کشف کرد که داده ها توسط BinaryEdge نمایه سازی شده اند و خوشه Elasticsearch دارای دو مجموعه بود: leaks_v1 با 5،099،635،374 رکورد و leaks_v2 با بیش از 15 میلیون رکورد ، به روزرسانی در زمان واقعی. دیاچنکو اظهار داشت که داده ها “بسیار خوب ساختار یافته” و شامل موارد زیر است:

hashtype (نحوه ارائه رمز ورود: MD5 / hash / plaintext و غیره)

– تاریخ نشت (سال)
-رمز عبور (هش شده ، رمزگذاری شده یا متن ساده ، بسته به نشت)
-پست الکترونیک
-دامنه ایمیل
-منبع نشت (دیاچنکو توانست چندین مورد برجسته را تأیید کند: Adobe ، Last.fm ، Twitter ، LinkedIn ، Tumblr ، VK و دیگران).

در ماه ژوئن ، آزمایشگاه های Keepnet با انتشار بیانیه ای عمومی ، به نشت داده ها اعتراف کردند. طبق این بیانیه ، در مارس 2020 ، آنها با یک سرویس دهنده جدید شروع به کار کردند ، “که تعمیر و نگهداری برنامه ریزی شده را انجام می داد و در حال انتقال پایگاه داده ElasticSearch بود … متأسفانه ، در طی این عملیات ، مهندس مسئول اعلام می کند که برای مدت 10 دقیقه باید دیوار آتش را غیرفعال کند تا سرویس نمایه سازی اینترنت ، BinaryEdge این داده ها را با سرعت بالاتری ایندکس نماید”

2. Advanced Info Service (AIS) – 8.3 billion records

جاستین پین ، محقق امنیت و رئیس اعتماد و ایمنی در Cloudflare ، در 7 ماه مه هنگام مرور BinaryEdge و Shodan یک پایگاه داده باز ElasticSearch را کشف کرد که به نظر می رسید این پایگاه داده توسط یک شرکت تابعه از تلفن همراه اصلی مستقر در تایلند کنترل می شود اپراتور شبکه به نام Advanced Info Service (AIS). AIS یک اپراتور بزرگ تلفن همراه GSM با 39.87 میلیون مشتری است.

این پایگاه داده حاوی ترکیبی از گزارش های جستجوی DNS و سیاهه های مربوط به NetFlow مربوط به مشتری های AWN هستند. براساس داده های موجود در BinaryEdge ، پین می گوید که این پایگاه داده برای اولین بار در اول ماه مه سال 2020 مشاهده و در دسترس عموم قرار گرفت. در طول سه هفته که پایگاه داده در معرض دید قرار گرفت ، حجم داده ها به میزان قابل توجهی رشد کرد و تقریباً 200 میلیون به آن افزوده شد. ردیف های جدید داده هر 24 ساعت.

AIS  نشت داده را تأیید کرد و از پین به دلیل اهتمام در پرداختن به موضوع و تماس با AIS و همچنین تیم ملی CERT تایلند تشکر کرد.

این شرکت همچنین تأیید کرد که داده های درز شده مربوط به الگوی استفاده از اینترنت بوده و حاوی PII (اطلاعات قابل شناسایی شخصی) نبوده که می تواند برای شناسایی هر مشتری استفاده شود.

1. CAM4 – 10.88 billion records

آنوراگ سن ، کارگاه خصوصی امنیت ، نشت قابل توجهی از اطلاعات مربوط به وب سایت پخش زنده بزرگسالان CAM4.com را کشف کرد. این وب سایت متعلق به شرکت ایرلندی Granity Entertainment است.

به گفته تیم تحقیق ، پایگاه داده بیش از 7 ترابایت با ثبت تولید از 16 مارس 2020 و افزایش روزانه ، شامل 10.88 میلیارد رکورد با PII ، از جمله:

نام و نام خانوادگی
آدرس ایمیل
کشور مبدا
تاریخ ثبت نام
ترجیح جنسیت و گرایش جنسی
اطلاعات دستگاه
جزئیات متفرقه کاربر مانند زبان گفتاری
نام های کاربری
گزارش های پرداخت از جمله نوع کارت اعتباری ، مبلغ پرداخت شده و ارز قابل اجرا
مکالمات کاربر
رونوشت مکاتبات ایمیل
مکالمات بین کاربر
رونوشت چت بین کاربران و CAM4
اطلاعات رمز
هش رمز عبور
آدرسهای IP
سیاهههای مربوط به کشف تقلب
سیاهههای مربوط به شناسایی هرزنامه

این گزارش ها اطلاعات رمز عبور کاربر را نشان می دهد و تعداد ایمیل از چندین میلیون نفر فراتر رفته است. طبق داده های SafetyDetectives ، این داده ها می توانند برای به خطر انداختن افراد و گروه های دیگر مورد استفاده قرارگیرد  و نام های کامل ، ایمیل ها و رمزعبورهای رمزعبور نیز می تواند برای شناسایی هویت واقعی کاربران و ارتکاب انواع مختلف فریب و کلاهبرداری استفاده شود.

 

نمودار زیر نوع داده های افشاء شده در سه ماهه سوم سال 2020 را نمایش می دهد.

اطلاعات افشاء شده در سه ماهه سوم سال 2020گزارش کامل مربوط به افشای اطلاعات در سال 2020 را از لینک ذیل دانلود نمایید

گزارش افشای اطلاعات در سه ماهه سوم سال 2020

 

حمله های باج افزار جهانی در سال 2020 و 4 تا از خطرناکترین آنها

4000 حمله روزانه سایبری از زمان شیوع ویروس کوید 19 در آمریکا

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code