بزرگترین پروندههای نفوذ دادهای در سال ۲۰۱۹
با نگاهی به سال ۲۰۱۹ میلادی که روزهای پایانی آن را سپری میکنیم، نفوذهای اطلاعاتی متعددی را در سازمانهای کوچک و بزرگ شاهد هستیم. شاید در نگاه اول طرحی که از یک نفوذ اطلاعاتی به ذهن شما خطور کند، هکری با لباس سیاه در یک اتاق تاریک باشد که به صفحهای تیره با کدهایی سبز، خیره شده است. البته تکراریترین تصویر سال ۲۰۱۹، چنین شکلی نداشت.
تصویر رایج امنیتی سال ۲۰۱۹ را میتوان مجموعهای از مدیران اجرایی و متخصصان امنیت تصویر کرد که در اتاقهایی روشن نشستهاند. آنها با وکلای حقوقی و متخصصان روابط عمومی تماس میگیرند و تنها بهدنبال راهی برای عذرخواهی از کاربران هستند. خصوصیت مشترک آنها، باز گذاشتن دیوارههای امنیتی سرورها بهروی عموم است.
کلمهی «دیتابیس ناامن» در اخبار امنیتی سال ۲۰۱۹ به دفعات دیده شد. هر ماه شاهد بیانیههای متعدد از شرکتهای گوناگون بودیم که از کاربران درخواست میکردند تا رمزهای عبور خود را تغییر داده و هرگونه خسارت امنیتی را گزارش دهند. شرکتهای ارائهدهندهی خدمات ابری مانند آمازون AWS و ElasticSearch نام خود را در داستانهای خبری شرکتهای قربانی میدیدند؛ شرکتهایی که در انواع حوزهها از سلامت تا خدمات دولتی و موارد دیگر، فعال بودند. شرکتهایی که اطلاعات عمومی را با کمترین حفاظهای امنیتی در دنیای وحشی اینترنت رها کرده بودند تا هکرها با کمترین تلاش، توانایی دستیابی به آنها و خرید و فروش اطلاعات را داشته باشند.
داستانهای امنیتی سال ۲۰۱۹، تنها تیترهای خبری با هدف جذب مخاطب نبودند. آمارها نشان میدهند که سال خوبی را از لحاظ امنیت در دنیای فناوری سپری نکردیم و تعداد نفوذهای اطلاعاتی (طبق گزارش شرکت امنیتی Risk Based Security)، با افزایش ۳۳ درصدی همراه بوده است. شرکتهای خدمات پزشکی، خردهفروشیها و سازمانهای عمومی، بیشترین آمار نفوذ اطلاعاتی را به خود اختصاص دادهاند. گزارش ادعا میکند که در سال ۲۰۱۹ شاهد ۵٫۱۸۳ نفوذ اطلاعاتی و افشای ۷/۹ میلیارد داده بودهایم. شرکت مذکور، در ماه نوامبر، سال ۲۰۱۹ را بدترین سال تاریخ از لحاظ امنیت اطلاعاتی نامگذاری کرد.
نفوذ اطلاعاتی بهصورت میانگین چهمقدار هزینه برای یک سازمان دارد؟ طبق آخرین آمارهای IBM، هزینههای تحمیلشدهی تحقیقات، کنترل خسارت، بازیابی و تعمیر، پروندههای حقوقی و جریمهها بهصورت میانگین به ۳/۹۲ میلیون دلار میرسد. آمار مذکور، رشد ۱۲ درصدی هزینهها را در دورهی پنج ساله نشان میدهد که سرعت آن نیز کاهش نمییابد.
از لحاظ آماری نمیتوان هزینهای را محاسبه کرد که هر نفوذ اطلاعاتی به کاربران وارد میکند. بهعلاوه نمیتوان پیشبینی مناسب نیز از این هزینه برای سال ۲۰۲۰ داشت. اطلاعاتی همچون سریال گذرنامه، گزارشهای پزشکی، اطلاعات حساب بانکی، اطلاعات شخصی شبکههای اجتماعی و موارد مشابه، در سال ۲۰۱۹ به سرقت رفتند. بهبیان دیگر، حساسترین دادههای کاربران در معرض خطر نفوذ قرار داشت و میلیونها نفر را مجبور به قرنطینهی اطلاعاتی کرد.
زمان و پولی که مردم برای رهایی از غفلت شرمآور برخی از شرکتهای فناوری هزینه کردند، بهراحتی محاسبه نمیشود. پیشبینی هزینههای آتی نیز بههیچوجه ممکن نیست. برخی اعتقاد دارند در دوران کنونی که نفوذهای اطلاعاتی روزبهروز افزایش مییابند، تعهد حفاظت از دادهها، برعهدهی خود اشخاص است. بههرحال تا زمانیکه قوانین سختگیرانهتری برای حفاظت از دادههای کاربران برای شرکتها وضع نشود و برنامههای جاسوسی دولتهای گوناگون با هدفگیری شهروندان یکدیگر متوقف نشود، راهی بهجز حفاظت شخصی از اطلاعات خود نداریم.
کاربران دنیای اینترنت باید در تلاش باشند تا دادههای شخصی خود را از انواع نفوذ حفظ کنند. ازطرفی ضعف شرکتهای فناوری را نمیتوان نادیده گرفت. بههرحال امروز در وضعیت مناسبی از لحاظ نفوذ اطلاعاتی به سازمانها بهسر نمیبریم. شاید دراینمیان نگاهی به گذشته و بزرگترین نفوذهایی که در سال ۲۰۱۹، شرکتهای اطلاعاتی را هدف قرار داد، چشماندازی روشنتر از وضعیت اطلاعاتی دنیای فناوری در اختیار ما قرار دهد.
ژانویه
گروه هتلهای ماریوت سال ۲۰۱۹ را با یک رکوردشکنی از لحاظ نفوذ اطلاعاتی شروع کرد. آنها در گزارشی اعتراف کردند که مجرمان سایبری به اطلاعات ۳۸۳ میلیون میهمان هتل شامل سریال گذرنامه و اطلاعات کارت اعتباری دست پیدا کردهاند. آمار مذکور، بیش از دو برابر تعداد افرادی بود که در نفوذ اطلاعاتی به Equifax قربانی شدند. اگر آمارهای مذکور بهاندازهی کافی برای ماه ژانویه عجیب و بزرگ نبودند، به گزارش محقق امنیتی، تروی هانت، دقت کنید که آدرس ایمیل ۷۷۳ میلیون کاربر را بههمراه مجموعهی عظیم دیگری از داده در یک سرویس ابری ذخیرهی فایل پیدا کرد.
فوریه
دومین ماه سال میلادی، با اخباری شوکهکننده در حوزهی امنیت آنلاین همراه بود. در بزرگترین نفوذ اطلاعاتی، ۶۱۷ میلیون حساب کاربری از ۱۶ وبسایت به سرقت رفت و برای فروش در دارک وب عرضه شد. سرویسهایی همچون Dubsmash، Armor Games، 500px، Whitepages و ShareThis جزو قربانیهای نفوذ اطلاعاتی بودند. اطلاعات حسابهای کاربری قربانیان این وبسایتها با قیمتی کمتر از ۲۰ هزار دلار بهصورت بیتکوین در دارک وب خرید و فروش میشد.
سرویسهای پزشکی و خدمات دولتی، سهم عمدهای از اخبار نفوذ امنیتی را به خود اختصاص دادند
در کنار نفوذهای اطلاعاتی بزرگ ماه فوریه، شاهد رخدادهای کوچکتری نیز بودیم که توجهها را به سرویسهای پزشکی جلب کرد. بهعنوان مثال یک مجرم سایبری اطلاعات ۱۵ هزار بیمار استرالیایی را برای دریافت باج، جمعآوری کرد. در نمونهای دیگر، دسترسی غیرمجاز ایمیلی، اطلاعات ۳۲۶ هزار بیمار را در کنتیکت در معرض نفوذ قرار داد. بیماران ساکن واشینگتن آمریکا نیز از نفوذ اطلاعاتی در امان نبودند و اطلاعات نزدیک به یک میلیون نفر از آنها در دیتابیسی باز در اختیار مجرمان سایبری قرار گرفت. گزارش امنیتی دیگری نیز اعلام کرد که ۲/۷ میلیون تماس با مراکز پزشکی سوئد، ضبطشده و در دسترس عموم قرار گرفت.
مارس
اطلاعات صدها میلیون کاربر اینستاگرام و فیسبوک بهخاطر ضعف شرکت در سیستم مدیریت رمز عبور، در معرض خطر قرار گرفت. گزارش امنیتی دیگری نیز در آن ماه منتشر شد. در نفوذی اطلاعاتی که تقریبا کوچکتر از نمونهی اول بود، ۲۵۰ هزار سند حقوقی افشا شد که در یک دیتابیس عمومی ذخیره شده بود.
آوریل
فیسبوک در ماه آوریل نیز در صدر اخبار امنیتی قرار داشت. ۵۴۰ میلیون رکورد اطلاعاتی بهخاطر قرار گرفتن نام کاربری، اطلاعات شخصی و رمز عبور کاربران در سرورهای ناامن، قربانی نفوذ اطلاعاتی شد. فیسبوک در همان ماه اعتراف کرد که رمز عبور میلیونها کاربر اینستاگرام بهصورت فایل متنی و در کمترین پیکربرندی امنیتی ذخیره شده بود.
اخبار امنیتی پیرامون فیسبوک، تنها رخدادهای نگرانکننده در ماه آوریل نبودند. بزرگترین رخداد، به افشای ۱۲/۵ میلیون گزارش پزشکی از زنان باردار اختصاص داشت. اطلاعات مذکور از یک آژانس سلامت دولتی هند به سرقت رفته بود که دادهها را در سرورهایی با حفاظهای امنیتی ضعیف نگهداری میکرد.
مه
خبر بزرگ امنیتی در ماه مه به افشای اطلاعات صدها میلیون سند بیمهای اختصاص داشت که از غول املاک و مستغلات آمریکا، First American Financial Corp بهسرقت رفت. در این ماه، برخی از بزرگان صنایع غذایی نیز دچار نفوذهای امنیتی شدند. برگرکینگ بهخاطر استفاده از یک دیتابیس ناامن، اطلاعات کاربری ۴۰ هزار مشتری فروشگاه KoolKing را در معرض خطر قرار داد. مشتریان فروشگاه مذکور، عمومی کودکان هستند.
از اخبار مهم امنیتی ماه مه میتوان به رقابت دو شرکت تأمین تغذیهی مدرسه در آمریکا اشاره کرد که منجر به یک جنگ سایبری شد. درنهایت مدیر مالی یکی از رقبا، بهخاطر نفوذ اطلاعاتی به وبسایت رقیب و افشای اطلاعاتی دانشآموزان آنها، دستگیر شد.
ژوئن
نفوذ اطلاعاتی به شرکتهای خدمات سلامت در میانهی سال میلادی نیز ادامه داشت. اطلاعات ۲۰ میلیون بیمار پس از هک شدن سرورهای شرکت American Medical Collection Association بهسرقت رفت. درنتیجهی رخداد مذکور، پروندههای حقوقی متعددی علیه AMCA و پیمانکارهای آن به جریان افتاد. پروندههای مذکور، بهخاطر افشای اطلاعات پرداختی بیماران، شمارههای شناسایی بیمه، اطلاعات پزشکی، تاریخ تولد، شمارهی تماس، آدرس و موارد دیگر، علیه سازمان مطرح شدند. درنهایت AMCA تحت فشار مالی بسیار زیاد برای پرداخت جریمه، اعلام ورشکستگی کرد.
ژوئیه
جریمهی برخی از نفوذهای امنیتی منجر به ورشکستگی سازمان قربانی شد
بانک Capital One اخبار مهم امنیتی ماه ژوئیه را به خود اختصاص داد. اطلاعات ۱۰۰ میلیون فرم درخواست کارت اعتباری، ۱۴۰ هزار شمارهی خدمات اجتماعی و ۸۰ هزار شمارهی حساب بانکی به سرقت رفت. دادههای بهسرقت رفته شامل اطلاعات شخصی مهمی همچون نام، آدرس، کد پستی، شمارهی تماس و تاریخ تولد افراد بود. نفوذ اطلاعاتی مذکور، ضربهی سختی به بانک کپیتال وان وارد کرد و منجر به دستگیر کارمند بخش فنی آنها پیج ای تامسون شد که طبق ادعای FBA، در نفوذ اطلاعاتی نقش داشت.
در ماه ژوئیه چند خبر اطلاعاتی دیگر نیز در رسانهها منتشر شد که اهمیت بالایی داشت. Equifax که در سال ۲۰۱۷ یک پروندهی نفوذ عظیم داشت، محکوم به پرداخت ۷۰۰ میلیون دلار جریمه شد. در همان ماه، فیسبوک، جریمهای پنج میلیارد دلاری را بهخاطر رسوایی اطلاعاتی کمبریج آنالیتیکا پذیرفت.
اوت
کاربران سرویس MoviePass در ماه اوت با خبری شوکهکننده روبهرو شدند. یک بازرسی امنیتی از سرویس مذکور اعلام کرد که ۱۶۰ میلیون رکورد اطلاعاتی بهصورت رمزنگاری نشده و بدون رمز عبور در دیتابیس شرکت ذخیره شده است. درنتیجهی چنین سهلانگاری امنیتی، اطلاعات کارت اعتباری کاربران در معرض نفوذ قرار گرفته بود. در همان زمان یک نفوذ اطلاعاتی عظیم در بریتانیا رخ داد که ۲۷/۸ میلیون اطلاعات بیومتریکی را افشا کرد. اطلاعات مذکور توسط سازمان پلیس، بانکها و سازمانهای دیگر نگهداری میشد.
اخبار مهم دیگر در ماه اوت به سرویسهای دوستیابی اختصاص داشت که ضعف امنیتی آنها را در رسانهها علنی میکرد. تعدادی از سرویسهای مشهور این حوزه بهخاطر ضعفهای امنیتی مجبور به پاسخ به مقامهای حقوقی شدند.
سپتامبر
بیش از ۲۱۸ میلیون حساب کاربری بازی Words with Friends در یک نفوذ اطلاعاتی به سرقت رفت. در میان اطلاعات مذکور، دادههای مهمی همچون آدرس ایمیل، نام، مشخصات ورود حساب کاربری و دادههای دیگر دیده میشد. مجرم سایبری با نفوذ به یکی از دیتابیسهای بازی، کاربرانی را هدف گرفت که بازی را پیش از ارائهی بهروزرسانی امنیتی حیاتی نصب کرده بودند.
خبر مهم دیگر ماه سپتامبر در حوزهی امنیت، از لحاظ تعداد قربانی کوچکتر از خبر اول بود، اما خطر بیشتری را بههمراه داشت. یک دیتابیس دولتی با پیکربندی اشتباه امنیتی در این ماه مورد نفوذ قرار گرفت که دادههای ۲۰/۸ میلیون کاربر اکوادوری را افشا کرد. شایان ذکر است جمعیت رسمی اکوادور، ۱۷/۵ میلیون نفر گزارش میشود. در میان اطلاعات بهسرقت رفته، دادههای تولد، وضعیت تعهل و شمارههای ملی افراد دیده میشد. آدرس کامل محل سکونت، اطلاعات فرزندان، شمارههای تماس و گزارشهای آماری تحصیلی نیز در بخشی از اطلاعات، به سرقت رفت.
اکتبر
پیکربندی ناامن سرورهای Elasticsearch باعث شد تا اطلاعات کاربری چهار میلیارد کاربر رسانههای اجتماعی افشا شود. در این افشاسازی، اطلاعات ۱/۲ میلیارد کاربر منحصربهفرد دیده میشد که آماری شوکهکننده بود. نفوذ اطلاعاتی مذکور را میتوان یکی از بزرگترین رخدادهای امنیتی معاصر دانست.
دیتابیس ناامن، کلیدواژهی اکثر نفوذهای دادهای بود
شرکت ادوبی خبر بزرگ امنیتی دیگر را در ماه اکتبر به خود اختصاص داد. ۷/۵ میلیون اطلاعات کاربری سرویس Creative Cloud در یک دیتابیس ناامن نگهداری میشد که در معرض نفوذ اطلاعاتی قرار داشت. در همین ماه، خبری از سرویس روسی Motherland به رسانهها راه یافت. گزارشهای مالیاتی ۲۰ میلیون شهروند روسیه در یک دیتابیس باز نگهداری میشد و تقریبا هر فردی به آنها دسترسی داشت. اطلاعات مذکور، سالهای ۲۰۰۹ تا ۲۰۱۶ را پوشش میداد.
نوامبر
در میان اخبار امنیتی ماه نوامبر، نمونههایی ناشی از اشتباه یا عملکرد مخرب کارمندان دیده میشود. فیسبوک در این ماه بار دیگر به صدر اخبار آمد. آنها دسترسی نامناسب به دادههای کاربری را به حدود ۱۰۰ میلیون توسعهدهندهی اپلیکیشن داده بودند. در ماه نوامبر، خبر یک نفوذ سابق نیز در رسانهها منتشر شد. یکی از کارمندان خرابکار شرکت امنیتی Trend Micro، اطلاعات شخصی بیش از ۷۰ هزار مشتری شرکت را به سرقت برد و از آنها برای اخاذی استفاده کرد.
دسامبر
بیش از ۱۰۰ زن در دادگاهی علیه یک سیاستمدار سابق هلندی شرکت کردند که اطلاعات و تصاویر شخصی آنها را بهصورت عمومی منتشر کرده بود. این سیاستمدار سابق با استفاده از اطلاعاتی که بهخاطر نفوذهای امنیتی قبلی به دیتابیسهای عمومی در دسترسش قرار گرفته بود، به حساب کاربری آیکلاد قربانیان نفوذ کرده و اطلاعات آنها را منتشر کرد. شاکیان درخواست حداقل سه سال زندان برای او داشتند که ظاهرا دادگاه نهایی نیز رأی به همین حکم داد.
اخبار امنیتی سال ۲۰۱۹، نفوذهای امنیتی متعددی را به شرکتهای فناوری و سازمانهایی نشان میدهد که از زیرساختهای فناوری برای نگهداری دادههای کاربران استفاده میکنند. دراینمیان علاوه بر وظیفهی کاربران مبنی بر پیادهسازی راهکارهای امنیتی در حسابهای کاربری، وظیفهی سازمانها و مدیران امنیتی و فناوری آنها نیز بسیار مهم بهنظر میرسد. شاید قوانین سختگیرانهتر و جریمههای شدیدتر برای سهلانگاری امنیتی شرکتها، بتواند باعث پیادهسازی زیرساختهای امنتر در آنها شود.