過去数年間、TechCrunch は期待を込めて、最悪の、不適切に処理されたデータ侵害やセキュリティ インシデントのいくつかを振り返ってきました。 —他の巨大企業も注意を払って、過去と同じ惨事のようなことを避けるだろう。誰も驚くべきことではありませんが、私たちは今年も、全く新しい種類の企業による同様の悪質な行為の多くをリストアップしています。
23andMeは大規模なデータ侵害でユーザーを非難
昨年、遺伝子検査大手の 23andMe は、ハッカーが数千のアカウントにブルートフォースアクセスしてさらに数百万のアカウントのデータを収集したデータ侵害のおかげで、700 万人近くの顧客の遺伝データと祖先データを失いました。 23andMe は遅ればせながら、アカウントのハッキングを防ぐことができたセキュリティ機能である多要素認証を導入しました。
新年から数日以内に、23andMe は、ユーザーが自分のアカウントを十分に保護していないと主張し、大規模なデータ盗難の責任を被害者に転嫁しようとしました。ハッキングを受けて同社を訴えた数百人の23andMeユーザーのグループを代表する弁護士らは、非難は「ナンセンス」だと述べた。英国とカナダの当局はそのすぐ後に、昨年の23andMeのデータ侵害に関する共同調査を発表した。
23andMe は、顧客の遺伝子データを保管している膨大なバンクと同様に、苦境に立たされた同社が不確実な財務的将来に直面しているため、今年後半に従業員の 40% を解雇した。
Change Healthcare はハッカーがアメリカの医療データのほとんどを盗んだことを確認するまでに何か月もかかった
Change Healthcare は、今年 2 月にサイバー攻撃により同社のネットワーク全体が停止に追い込まれるまで、ヘルスケア技術企業であることをほとんど聞いたことがありませんでした。その結果、全米で即時かつ広範なサービス停止が発生し、米国の医療システムの大部分が停止に追い込まれました。医療保険大手 UnitedHealth Group が所有する Change は、全米の数千の医療提供者や医療行為に対する請求と保険を処理しており、毎年米国の医療取引全体の 3 分の 1 から半分を処理しています。
多要素認証が欠如した基本ユーザーアカウントの侵害によって引き起こされたハッキングに対する同社の対応は、薬を処方してもらえず、入院の承認も得られなかった米国人から批判され、破産寸前の医療提供者に影響を与えた。これはサイバー攻撃の結果であり、5月の議会公聴会でハッキングについて同社の最高経営責任者を激しく非難した議員らもいた。チェンジ・ヘルスケアはハッカーに2,200万ドルの身代金を支払ったが、連邦政府はこれはサイバー犯罪者がサイバー攻撃で利益を得ることを助けるだけだと長年警告してきたが、要求するには新たな身代金をポンと用意するだけだった。 別の ハッキンググループは盗まれたデータを削除します。
結局、1億人以上の人々がサイバー攻撃で個人の健康情報を盗まれたことが判明するまで、約7か月後の10月までかかった。確かに、これは、誰がどう見ても、史上最大ではないにしても、今年最大の医療データ侵害だったため、時間がかかったに違いありません。
シノビスのハッキングにより英国の医療サービスが数カ月にわたって混乱
今年、ロンドンを拠点とする病理サービスプロバイダーであるシノビスが6月にランサムウェア攻撃に見舞われ、NHSは数か月にわたる混乱に見舞われた。 Qilin ランサムウェア グループが主張するこの攻撃により、ロンドン南東部の患者は 3 か月以上医師から血液検査を受けることができず、数千件の外来予約と 1,700 件以上の外科手術のキャンセルにつながりました。
攻撃を踏まえると、 専門家 英国の大手労働組合ユナイトは、二要素認証が導入されていれば防げた可能性があると述べている。 発表された シノビスのスタッフは12月に5日間ストライキを行う予定だという。ユナイトは、この事件は「攻撃に対処している間、数か月間、重要なコンピューターシステムにアクセスできずに追加の時間労働を強いられてきたスタッフに憂慮すべき影響を与えた」と述べた。
この事件の影響を受ける患者の数は依然として不明である。 Qilin ランサムウェア グループは、患者名、医療システムの登録番号、血液検査の説明など、シノビスから盗まれたとされる 400 ギガバイトの機密データを漏洩したと主張しています。
Snowflake 顧客によるハッキングが雪だるま式に増加し、大規模なデータ侵害に発展
クラウド コンピューティング大手の Snowflake は今年、AT&T、Ticketmaster、Santander Bank などの企業顧客を標的とした一連の大規模ハッキングの中心に位置していることがわかりました。後に侵入の罪で刑事告訴されたハッカーらは、Snowflakeに依存している企業の従業員のコンピュータで見つかったマルウェアによって盗まれたログイン情報を使用して侵入した。 Snowflake には多要素セキュリティの使用が義務付けられていなかったため、ハッカーは数百の Snowflake 顧客が保存した膨大なデータバンクに侵入して盗み、身代金のためにデータを保持することができました。
Snowflake 側は、当時の事件についてはほとんど語らなかったが、侵害は「単一要素認証を使用するユーザーを対象とした標的を絞ったキャンペーン」によって引き起こされたことを認めた。 Snowflake はその後、インシデントの再発を避けることを期待して、デフォルトで複数の要素を顧客に展開しました。
オハイオ州コロンバス、ランサムウェア攻撃を真実に報告したとしてセキュリティ研究者を告訴
オハイオ州コロンバス市が夏にサイバー攻撃を報告したとき、同市のアンドリュー・ギンサー市長は、盗まれた市のデータは「暗号化されているか破損している」ため、盗んだハッカーには使用できないと懸念する住民を安心させるよう動いた。その間ずっと、仕事でダークウェブ上のデータ侵害を追跡しているセキュリティ研究者は、ランサムウェアのチームが実際に住民(少なくとも50万人)の社会保障番号や運転免許証を含む住民データにアクセスしていたという証拠を発見した。 、逮捕歴、未成年者、家庭内暴力の生存者に関する情報も含まれます。研究者はジャーナリストにデータの山について警告した。
都市は成功しました 差し止め命令を得た 研究者が漏洩を発見した証拠を共有することに反対したが、これは市が漏洩を修復するのではなく、セキュリティ研究者を黙らせるための取り組みとみなされている。その後の街 訴訟を取り下げた。
ソルト・タイフーン、米国のバックドア法のおかげで電話とインターネットのプロバイダーをハッキング
ソルト・タイフーンと呼ばれるハッカー(米国との紛争の可能性のためのデジタル基盤を築いている中国支援のハッカー集団の一つ)が一部の国のネットワークで発見されたことを受けて、30年前のバックドア法が今年再び猛威を振るった。米国最大の電話会社とインターネット会社。ハッカーらは、大統領候補を含む米国の政治家や高官らのリアルタイムの通話、メッセージ、通信メタデータにアクセスしていたことが判明した。
伝えられるところによると、ハッカーたちは、1994 年に CALEA と呼ばれる法律が可決された後、通信会社に設置を義務付けられた企業の盗聴システムの一部に侵入したとされています。現在、これらのシステムへのアクセスが継続されているおかげで、通信会社が収集したデータも利用できるようになりました。企業はアメリカ人を頼りにしている――アメリカ政府は、アメリカ国民とアメリカの高齢者に対し、中国のハッカーも含め誰も個人的な通信にアクセスできないように、エンドツーエンドの暗号化メッセージングアプリを使用するようアドバイスしている。
マネーグラムはデータ侵害で何人の取引データが盗まれたのかをまだ明らかにしていない
5,000万人以上の顧客を抱える米国の送金大手マネーグラムは9月にハッカーの攻撃を受けた。顧客が数日間にわたって説明のつかない障害を経験した後、同社は1週間以上後にこの事件を認め、不特定の「サイバーセキュリティ問題」のみを明らかにした。マネーグラムは顧客データが盗まれたかどうかについては明らかにしなかったが、英国のデータ保護監視機関は9月末にTechCrunchに対し、米国に本拠を置く同社から顧客データが盗まれたことを示すデータ侵害報告書を受け取ったと語った。
数週間後、マネーグラムはサイバー攻撃中にハッカーが社会保障番号や政府の身分証明書、各取引の日付や金額などの取引情報を含む顧客データを盗んだことを認めた。同社は、ハッカーらが「限られた数」の顧客の犯罪捜査情報も盗んだことを認めた。マネーグラムはまだ、データが盗まれた顧客の数や、直接通知した顧客の数については明らかにしていない。
5,700万件の顧客記録がオンラインに流出しても話題は沈黙
5,700 万人の顧客が影響を受け、10 月に米国小売大手 Hot Topic が侵害された事件は、小売業データに対する史上最大規模の侵害の 1 つとして記録されています。しかし、情報漏えいの規模が大規模であるにもかかわらず、ホットトピックはこの事件を公的に認めておらず、顧客や州の司法長官事務所にデータ漏えいについて警告もしていない。この小売店はTechCrunchの複数回のコメント要請も無視した。
侵害通知サイト 私はポーンされてしまったのか侵害されたデータのコピーを入手した同社は、影響を受けた5,700万人近くの顧客に対し、盗まれたデータには電子メールアドレス、住所、電話番号、購入内容、性別、生年月日が含まれていることを警告した。このデータには、クレジット カードの種類、有効期限、カード番号の下 4 桁などの部分的なクレジット カード データも含まれていました。
