Durante los últimos primaveras, TechCrunch ha analizado algunas de las peores filtraciones de datos e incidentes de seguridad mal manejados con la esperanza de… ¡tal vez! – otros gigantes corporativos prestarían atención y evitarían cometer algunas de las mismas calamidades de ayer.
Para sorpresa de nadie, aquí estamos nuevamente este año enumerando gran parte del mismo mal comportamiento de una clase completamente nueva de empresas, encima de algunas menciones (des)honrosas adicionales del año que quizás te hayas perdido.
El año pasado, el hércules de las pruebas genéticas 23andMe perdió los datos genéticos y de ascendencia de cerca de 7 millones de clientes, gracias a una filtración de datos que permitió a los piratas informáticos ceder por fuerza bruta a miles de cuentas para extraer datos de millones más. 23andMe lanzó tardíamente la autenticación multifactor, una característica de seguridad que podría tener evitado los ataques a las cuentas.
A los pocos días del nuevo año, 23andMe decidió desviar la pecado del robo masivo de datos a las víctimas, alegando que sus usuarios no protegían suficientemente sus cuentas. Los abogados que representan al rama de cientos de usuarios de 23andMe que demandaron a la compañía luego del ataque dijeron que señalar con el dedo era “sin sentido”. Las autoridades del Reino Unido y Canadá anunciaron poco a posteriori una investigación conjunta sobre la violación de datos de 23andMe el año pasado.
Change Healthcare es una empresa de tecnología sanitaria de la que pocos habían audición dialogar hasta febrero, cuando un ciberataque obligó a la empresa a cerrar toda su red, lo que provocó cortes inmediatos y generalizados en todo Estados Unidos y paralizó gran parte del sistema váter estadounidense. Change, propiedad del hércules de seguros de lozanía UnitedHealth Group, maneja la facturación y los seguros de miles de proveedores de atención médica y consultorios médicos en todo Estados Unidos, y procesa entre un tercio y la centro de todas las transacciones de atención médica de EE. UU. cada año.
El manejo del hackeo por parte de la compañía, causado por una violación de una cuenta de heredero básica con una desidia de autenticación multifactor, fue criticado por los estadounidenses que no pudieron obtener sus medicamentos ni aprobar sus estadías en el hospital, afectaron a los proveedores de atención médica que estaban quebrando y como resultado del ciberataque, y legisladores que interrogaron al director ejecutor de la compañía sobre el ataque durante una audiencia en el Congreso en mayo. Change Healthcare pagó a los piratas informáticos un rescate de 22 millones de dólares (que los federales han listo durante mucho tiempo que sólo ayuda a los ciberdelincuentes a beneficiarse de los ciberataques) solo para tener que remunerar un nuevo rescate para pedirlo. otro rama de hackers para borrar sus datos robados.
Al final, fue necesario hasta octubre (unos siete meses a posteriori) para revelar que a más de 100 millones de personas les robaron su información de lozanía privada en el ciberataque. Por supuesto, debe tener tomado un tiempo, ya que fue, según todos los indicios, la veterano filtración de datos de atención médica del año, si no nunca.
El NHS sufrió meses de interrupciones este año a posteriori de que Synnovis, un proveedor de servicios de patología con sede en Londres, fuera afectado por un ataque de ransomware en junio. El ataque, reivindicado por el rama de ransomware Qilin, dejó a los pacientes en el sureste de Londres sin poder obtener investigación de muerte de sus médicos durante más de tres meses y provocó la suspensión de miles de citas ambulatorias y más de 1.700 procedimientos quirúrgicos.
A la luz del ataque, que según los expertos podría haberse evitado si se hubiera implementado la autenticación de dos factores, Unite, el principal sindicato del Reino Unido, anunció que el personal de Synnovis hará una huelga durante cinco días en diciembre. Unite dijo que el incidente tuvo “un impacto amenazador en el personal que se vio obligado a trabajar horas adicionales y sin acercamiento a sistemas informáticos esenciales durante meses mientras se solucionaba el ataque”.
Aún se desconoce cuántos pacientes se ven afectados por el incidente. El rama de ransomware Qilin afirma tener filtrado 400 gigabytes de datos confidenciales supuestamente robados de Synnovis, incluidos nombres de pacientes, números de registro del sistema de lozanía y descripciones de investigación de muerte.
El hércules de la computación en la montón Snowflake se encontró este año en el centro de una serie de ataques masivos dirigidos a sus clientes corporativos, como AT&T, Ticketmaster y Santander Bank. Los piratas informáticos, que luego fueron acusados penalmente de las intrusiones, irrumpieron utilizando datos de inicio de sesión robados por malware antitético en las computadoras de los empleados de empresas que dependen de Snowflake. Adecuado a la desidia de uso obligatorio de seguridad multifactor por parte de Snowflake, los piratas informáticos pudieron ingresar y robar vastos bancos de datos almacenados por cientos de clientes de Snowflake y retener los datos para pedir un rescate.
Snowflake, por su parte, dijo poco sobre los incidentes en ese momento, pero admitió que las infracciones fueron causadas por una “campaña dirigida a usuarios con autenticación de un solo coeficiente”. Seguidamente, Snowflake implementó el sistema multifactor por defecto para sus clientes con la esperanza de evitar que se repita el incidente.
Cuando la ciudad de Columbus, Ohio, informó de un ciberataque durante el verano, el corregidor de la ciudad, Andrew Ginther, tomó medidas para tranquilizar a los residentes preocupados diciendo que los datos robados de la ciudad estaban “encriptados o corruptos” y que eran inutilizables para los piratas informáticos que los robaron. Mientras tanto, un investigador de seguridad que rastrea las filtraciones de datos en la web oscura para su trabajo encontró evidencia de que el equipo de ransomware de hecho tenía acercamiento a los datos de los residentes (al menos medio millón de personas), incluidos sus números de Seguro Social y licencias de conducir. , así como registros de decisión, información sobre menores y sobrevivientes de violencia doméstica. El investigador alertó a los periodistas sobre el fisco de datos.
La ciudad obtuvo con éxito una orden legislativo contra el investigador por compartir evidencia que encontró sobre la violación, una medida perspectiva como un esfuerzo de la ciudad por silenciar al investigador de seguridad en espacio de remediar la violación. Seguidamente, la ciudad abandonó la demanda.
Una ley de puerta trasera que data de hace 30 primaveras volvió a tener intención este año a posteriori de que piratas informáticos, apodados Salt Typhoon (uno de varios grupos de hackers respaldados por China que sientan las bases digitales para un posible conflicto con Estados Unidos), fueran descubiertos en las redes de algunos de las mayores empresas de telefonía e Internet de Estados Unidos. Se descubrió que los piratas informáticos accedían a llamadas, mensajes y metadatos de comunicaciones en tiempo actual de altos políticos y funcionarios de detención rango de Estados Unidos, incluidos candidatos presidenciales.
Según se informa, los piratas informáticos irrumpieron en algunos de los sistemas de escuchas telefónicas de las empresas, que las empresas de telecomunicaciones debían configurar tras la aprobación de la ley, denominada CALEA, en 1994. Ahora, gracias al acercamiento continuo a estos sistemas (y a los datos que las empresas de telecomunicaciones Las empresas almacenan en los estadounidenses: el gobierno de los EE. UU. está aconsejando a los ciudadanos estadounidenses y a las personas mayores que utilicen aplicaciones de correo cifradas de extremo a extremo para que nadie, ni siquiera los piratas informáticos chinos, pueda ceder a sus comunicaciones privadas.
MoneyGram, el hércules estadounidense de transferencias de cuartos con más de 50 millones de clientes, fue atacado por piratas informáticos en septiembre. La compañía confirmó el incidente más de una semana a posteriori de que los clientes experimentaran días de interrupciones inexplicables, revelando sólo un “problema de seguridad cibernética” no especificado. MoneyGram no dijo si se habían tomado datos de los clientes, pero el organismo de protección de datos del Reino Unido se lo dijo a TechCrunch a finales de septiembre. que había recibido un crónica de violación de datos de la empresa con sede en EE. UU., que indicaba que se habían robado datos de clientes.
Semanas más tarde, MoneyGram admitió que los piratas informáticos habían robado datos de los clientes durante el ciberataque, incluidos números de Seguro Social y documentos de identificación gubernamentales, así como información de transacciones, como fechas y montos de cada transacción. La compañía admitió que los piratas informáticos además robaron información de investigaciones criminales sobre “un número restringido” de clientes. MoneyGram aún no ha dicho a cuántos clientes les robaron datos ni a cuántos clientes había notificado directamente.
Con 57 millones de clientes afectados, la filtración de octubre del hércules minorista estadounidense Hot Topic se considera una de las mayores vulneraciones de datos minoristas de la historia. Sin confiscación, a pesar de la escalera masiva de la violación, Hot Topic no ha confirmado públicamente el incidente ni ha alertado a los clientes ni a las oficinas estatales de los fiscales generales sobre la violación de datos. El minorista además ignoró las múltiples solicitudes de comentarios de TechCrunch.
El sitio de notificación de infracciones Have I Been Pwned, que obtuvo una copia de los datos vulnerados, alertó a cerca de 57 millones de clientes afectados que los datos robados incluyen sus direcciones de correo electrónico, direcciones físicas, números de teléfono, compras, sexo y vencimiento de principio. Los datos además incluían datos parciales de la maleable de crédito, incluido el tipo de maleable de crédito, las fechas de vencimiento y los últimos cuatro dígitos del número de la maleable.
AT&T primero La violación de datos del año vio más de 73 millones de registros de clientes volcados en confín, tres primaveras a posteriori de que un pirata informático publicara una muestra más pequeña en un conocido foro sobre delitos cibernéticos. AT&T negó persistentemente que el personalidad perteneciera a la empresa, diciendo que no tenía pruebas de una violación de datos. Eso fue hasta que un investigador de seguridad descubrió que algunos de los datos cifrados encontrados en el conjunto de datos eran fáciles de descifrar. Esos registros descifrados resultaron ser códigos de acercamiento de cuentas, que podrían estilarse para ceder a las cuentas de los clientes de AT&T. El investigador alertó a TechCrunch y nosotros, a su vez, alertamos a AT&T, lo que llevó al hércules telefónico a restablecer en masa las contraseñas de las cuentas de unos 7,6 millones de clientes actuales y informar a decenas de millones más.
Ni siquiera las empresas de ciberseguridad son inmunes a las infracciones, pero la forma en que cuatro empresas manejaron sus escándalos de ciberseguridad este año llevó a los reguladores a imponer multas inusuales por su mala conducta. Las empresas, Avaya, Check Point, Mimecast y Unisys, pagaron colectivamente 6,9 millones de dólares en multas por una serie de infracciones que incluyeron restar importancia y minimizar “negligentemente” el daño de sus propias infracciones derivadas del ataque de espionaje de SolarWinds de 2019, según US Securities. y Comisión de Cambio.
En mayo, una aplicación de software informador emplazamiento pcTattletale fue pirateada y su sitio web fue desfigurado con enlaces descargables a archivos de datos robados de los servidores de la empresa, exponiendo datos de unos 138.000 clientes que se registraron para utilizar el servicio de vigilancia. En espacio de informar a las personas afectadas sobre la violación (y a aquellos cuyos dispositivos se vieron comprometidos sin su conocimiento), el fundador de la compañía le dijo a TechCrunch que “borró todo porque la violación de datos podría tener expuesto a mis clientes”. pcTattletale, que seguidamente cerró tras la infracción, es el extremo de una larga cinta de fabricantes de stalkerware y spyware que han perdido o expuesto datos sobre víctimas de spyware en los últimos primaveras.
Otro prolífico software informador, mSpy, además sufrió una importante filtración de datos este año que expuso correos electrónicos enviados en torno a y desde el sistema de correo electrónico de atención al cliente que datan de 2014. Los correos electrónicos además expusieron a la empresa ucraniana del mundo actual, Brainstack, que estaba secretamente detrás de la operación. . La empresa no cuestionó el aliciente cuando TechCrunch la contactó. Semanas más tarde, Brainstack emitió un aviso de matanza al proveedor de hosting de DDoSecrets, un colectivo de transparencia que aloja una copia de los datos filtrados de mSpy, exigiendo que el proveedor de alojamiento web elimine el sitio por introducir “datos corporativos confidenciales pertenecientes a MSpy, una marca de nuestra empresa.” El proveedor de alojamiento web, FlokiNET, negó la solicitud y en su espacio publicó el aviso de matanza, que confirmaba que Brainstack estaba detrás de la operación de mSpy, como sugería la evidencia precursor.
Evolve Bank, un hércules financiero que brinda servicios a varias nuevas empresas de tecnología financiera en crecimiento, reveló en mayo que fue pirateado por la costado de ransomware LockBit, exponiendo datos financieros privados de aproximadamente de 7,6 millones de personas. A medida que las nuevas empresas afectadas comenzaron a guerrear por comprender la escalera del impacto de la infracción en sus negocios, Evolve optó por mandar una carta de cese y dejación al escritor de un respetado boletín financiero que informaba sobre el incidente en curso, quien continuó haciéndolo a pesar de la la espuria amenaza jurídica del asiento.
