Читать первым в Telegram-канале «Код Дурова»
В 2018 году множество онлайн-сервисов из-за внешних или внутренних вмешательств нарушили конфиденциальность персональных данных. Порой виной этому становились хакеры, а порой — сами сервисы. Мы отобрали самые громкие из этих происшествий.
MyFitnessPal
В марте мы писали новость о том, что один из крупнейших производителей спортивного питания и экипировки Under Armour Inc подвергся атаке хакеров. Как сообщила сама компания, злоумышленникам удалось похитить данные 150 миллионов аккаунтов фитнес-приложения.
Хакеры украли электронные адреса, логины и пароли пользователей приложения MyFitnessPal. При этом в компании заверили, что взломщики не смогли заполучить доступ к кредитным карточкам и водительским правам.
AADHAAR
Одной из крупнейших утечек года стал взлом индийский национального идентификатора, где хранятся данные свыше миллиарда жителей этой страны. Хакерам удалось заполучить биометрическую информацию пользователей и некоторые персональные данные.
Позднее эксперты из Индийского центра изучения интернета и общества заявили, что в общей сложности в интернет утекли данные более чем 135 млн человек, причем информация легко находится даже в Twitter через хештег #AadhaarLeaks.
Гостиничная сеть Marriott
В конце ноября стало известно, что данные порядка 500 миллионов клиентов отелей Marriot могли отечь в руки хакеров из-за взлома базы данных. Точное количество взломанных аккаунтов осталось неясным. Хакерам удалось узнать имена и фамилии жертв, номер паспорта, адреса электронной почты, дату рождения и пол, а также дату заезда/выезда в отели.
Несмотря на то, что данные о банковских картах некоторых клиентов зашифрованы — есть риск, что хакеры могли получить и эти сведения. Сеть принесла свои извинения и разослала предупреждения пользователям, которые были в базе.
За этот год самая крупная сеть несколько раз становилась объектом взлома. Самым скандальным стало незаконное использование данных 80 млн пользователей британской аналитической компании Cambridge Analytica. В ходе расследования газета The New York Times выяснила, что Cambridge Analytica собирала персональные данные пользователей Facebook для составления политических портретов.
Основатель Facebook Марк Цукерберг принёс свои извинения за неспособность отследить возможное вмешательство России в выборы в США. Кроме того, Цукерберг рассказал, что соцсеть сделала недостаточно для предотвращения утечки данных:
Мы недостаточно хорошо понимали всю свою ответственность, что было большой ошибкой. Это была моя ошибка, и я прошу прощения. Это я основал Facebook, я управляю сетью, и я несу ответственность за всё, что в ней происходит.
По словам Цукерберга, Facebook «слишком медленно отреагировал на внешнее вмешательство, чтобы дать вовремя этому отпор». Миллиардер подчеркнул, что компания продолжит сотрудничать с властями США по части российского вмешательства.
Exactis
В начале лета стало известно, что компания-агрегатор данных Exactis публиковала в открытом доступе номера телефонов пользователей, их домашние адреса и адреса электронной почты, информацию о возрасте, детях и другие данные. В общей сложности на открытом сервере было выложено 2 ТБ данных о 230 млн пользователей.
Несмотря на то, что в некоторых записях данные уже устарели или были недостоверными, каждая включала более 400 характеристик, в том числе информацию о вероисповедании, привычках и даже наличии домашних животных. Специалисты с успехом находили в базе людей, которых они знают. Wired попросила найти информацию о конкретных десяти людях, и шесть из них в базе были найдены.
Взлом баз данных британских вузов
В сентябре иранским хакерам удалось взломать базы данных лучших британских университетов, включая Кембридж и Оксфорд. Похищенные данные были позднее выложены в Даркнете или в Telegram. The Telegraph добавила, что среди похищенных файлов оказались исследования по атомной энергии и кибербезопасности. В общей сложности хакеры похитили документы из 140 университетов и 30 различных компаний.
Рособрнадзор
Хакер с «Хабрахабра» смог взломать данные Рособрнадзора и тем самым получить доступ к персональным данным 14 миллионов выпускников. Злоумышленник успел скачать таблицу дипломов, где помимо их серий и номеров были СНИЛС, ИНН и паспортные данные.
Как сообщил сам хакер, дыра в системе была обнаружена в сервисе проверки действительности дипломов о высшем образовании. Он пояснил, что в поля для проверки реквизитов можно вписать произвольный код, который исполняется сервером.
Quora
Всего три недели назад мы писали о том, что хакерам удалось заполучить и похитить персональные данные почти 100 млн пользователей. Злоумышленники заполучили доступ к именам и адресам электронных ящиков пользователей, а также данные профилей привязанных к Quora соцсетей; непубличный контент, включая личные сообщения; публичные действия, включая вопросы и ответы, опросы и комментарии. Хакеры смогли узнать и зашифрованные пароли пользователей.
Компания разослала предупреждения пострадавшим пользователям по электронной почте, а также попросила их сбросить пароли для входа. В своём сообщении Quora попросила также поменять пароли и на других сайтах, если они были схожи с паролем для аккаунта в Quora. Компания сообщила об инциденте в правоохранительные органы. Кто мог атаковать Quora и зачем — никто не знает.
ВКонтакте
В течение всего года появлялась информация, что соцсеть незаконно сливает персональные данные пользователей правоохранительным органам. Большинство из уголовных дел по статьей 282 УК РФ были возбуждены против пользователей именно этой соцсети. После волны обвинений в незаконной передачи информации силовикам, соцсеть решила закрыть профили своих пользователей.
В конце августа генеральный директор «ВКонтакте» Андрей Рогозов рассказал, что социальная сеть включает функцию приватности аккаунтов у пользователей:
Мы уже начали вводить дополнительные меры, ограничивающие доступ к материалам пользователей. В прошлом году мы перевели все альбомы с сохранёнными фотографиями в приватный режим по умолчанию, т.к. далеко не каждый понимал предназначение этого альбома. С тех пор сохраненные для личного пользования изображения больше не являются открытыми для внешних глаз. В течение ближайших двух недель мы также уберём отображение списка людей, репостящих записи, сохранив эту функцию только для их авторов.