Прошлый год ознаменовался множеством скандалов с утечками данных. Представители компании SmartLine Inc, которая занимается защитой от таких инцидентов, составили список подобных случаев. Вот самые крупные утечки данных прошлого года.
Январь: Рособрнадзор
С сайта Федеральной службы по надзору в сфере образования и науки утекли данные о дипломах около 14 млн бывших студентов. Размер базы составил 5 Гб. В списке информации: cерия и номер диплома, год поступления, год окончания, СНИЛС, ИНН, серия и номер паспорта, дата рождения, национальность, учебная организация, выдавшая документ.
Февраль: Swisscom
Швейцарский оператор сотовой связи Swisscom сообщил, что данные около 800 тыс. клиентов оказались скомпрометированы. Утекли имена, адреса, номера телефонов и даты рождения клиентов.
Март: MBM Company Inc
В открытом доступе было обнаружено общедоступное хранилище Amazon S3 (AWS), содержащее резервную копию базы данных MS SQL с персональной информацией 1,3 млн человек жителей США и Канады. База данных принадлежала ювелирной компании MBM Company Inc и содержала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, IP-адреса и текстовые пароли. Кроме того, там находились внутренние списки рассылки MBM Company, зашифрованные данные кредитных карт, данные оплаты, промо-коды и заказы на товарные позиции.
Апрель: Panera Bread
Файл с персональными данными более чем 37 млн клиентов просто лежал в открытом виде на сайте сети популярных кафе-пекарен. Данные содержали имена клиентов, адреса электронной почты, даты рождения, почтовые адреса и последние четыре цифры номеров кредитных карт.
Май: ЮАР
На общедоступном веб-сервере, принадлежащем компании, которая обрабатывает электронные платежи за дорожные штрафы, была обнаружена база данных, содержащая персональные данные примерно 1 млн южноафриканцев. В базе содержались имена, идентификационные номера, адреса электронной почты и пароли в текстовом виде.
Июнь: Exactis
Маркетинговая компания Exactis держала в открытом доступе базу данных Elasticsearch размером около 2 Тб, содержащую более 340 млн записей. В базе было обнаружено около 230 млн персональных данных физических лиц (совершеннолетних) и около 110 млн контактов различных организаций.
Стоит отметить, что всего в США проживает около 249,5 млн совершеннолетних — то есть база данных содержит информацию о каждом взрослом американце.
Июль: Timehop Сервис
Timehop, который собирает «воспоминания» из соцсетей, обнаружил утечку данных 21 млн пользователей. Утекли имена пользователей, адреса электронной почты и токены авторизации в социальных сетях.
Август: Huazhu Hotels Group
Утечка данных из китайских отелей затронула около 130 млн человек и 13 отелей, принадлежащих управляющей компании Huazhu Hotels Group.
Сентябрь: Veeam Software
В открытом доступе в облаке Amazon была обнаружена база данных MongoDB, принадлежащая компании Veeam. В базе размером 200 Гб содержалось 445 млн записей, с именами, адреса электронной почты и в некоторых случаях IP-адреса. Данные были собраны за период с 2013 по 2017 год.
Октябрь: Google
Ошибка в API социальной сети Google+ позволяла разработчикам получать доступ к данным 500 тыс. пользователей, в частности, к такой информации, как логины, адреса электронной почты, места работы, даты рождения, фотографии из профиля и т. п.
Представители Google утверждают, что никто из 438 разработчиков, имевших доступ к API, не знал об ошибке и не мог ею воспользоваться.
Ноябрь: Marriott
Marriott International заявила, что хакеры получили доступ к базе данных ее подразделения Starwood Hotels, содержащей персональные данные клиентов начиная с 2014 года. Всего утекли данные 500 млн клиентов Starwood Hotels, при этом 327 млн утекших записей содержат номера паспортов, адреса электронной почты, почтовые адреса, а в некоторых случаях и реквизиты банковских карт.
Декабрь: Google
Еще один баг в Google+ привел к утечке данных 52,5 млн пользователей. Уязвимость позволяла приложениям получать из профилей пользователей информацию (имя, адрес электронной почты, пол, дату рождения, возраст и т. п.), даже если эти данные были приватными. Кроме того, через профиль одного пользователя можно было получать данные других пользователей.
