5 Datenverletzungen von 2019 zum Nachweis der Bedeutung der Datensicherheit

4,8 Milliarden Datensätze gingen 2018 bei Verstößen verloren oder wurden gestohlen!

Unsplash
Hören Sie sich diesen Artikel an:

Wussten Sie das? 4,8 Milliarden Datensätze gingen verloren oder wurden gestohlen bei Verstößen im Jahr 2018 per Gemaltos Breach Level Index ?

Die so hohe Zahl sagt den Schaden voraus, den die Datenverletzungen ihren Eigentümern - Einzelpersonen oder Institutionen - zugefügt hätten.

Also, was sollst du lernen? von diesen Datenschutzverletzungen? Das musst du verstehen Datensicherheit ist sehr wichtig. Es ist nicht nur ein Jargon, sondern ein wichtiges Sicherheitskonzept, das einer Person oder einem Unternehmen hilft, ihre kritischen Daten zu schützen. Lassen Sie uns seine Bedeutung visualisieren, indem wir uns über einige Datenverletzungen in diesem Jahr informieren.

Datenschutzverletzungen - Datensicherheit

Datenschutzverletzungen - Datensicherheit

Erster Amerikaner [885 M Records]

Die First American Financial Corporation - der Titelversicherungsriese in den USA - hat im Mai 2019 Hunderte Millionen Datensätze veröffentlicht. Die digitalisierten Dokumente - die bis ins Jahr 2003 zurückreichen (schockierend!) - waren verwandt mit Hypothek oder Titel befasst sich mit einer Goldmine persönlicher Informationen über Immobilienkäufer und -verkäufer.

Die digitalisierten Aufzeichnungen - einschließlich Bankkontonummern und -auszüge, Hypotheken- und Steueraufzeichnungen, Sozialversicherungsnummern, Überweisungen von Überweisungen und Führerscheinbildern - waren ohne Authentifizierung für jedermann verfügbar mit einem Webbrowser.", schrieb KrebsOnSecurity während das Leck öffentlich gemeldet wird.

Was war das Problem? Die Website (firstam.com) hat ihre Kundendatensätze verloren. Wenn jemand den gültigen Link für ein Dokument kennt, kann er andere Dokumente anzeigen, indem er einfach die Dokumentennummer im Link ändert. Dies bedeutet, dass jeder, der einen Datensatzlink vom Unternehmen erhalten hat, auf alle Dokumente zugreifen kann.

Wie hätte es verhindert werden können? Obwohl die Spezifikationen des Problems vom Unternehmen nicht bekannt gegeben wurden, deuten die verfügbaren Informationen auf einen unbefugten Zugriff auf die Unternehmensdaten hin. Es könnte von blockiert worden sein Installieren eines Zugriffsverwaltungssystems und / oder Testen auf Schwachstellen in der App oder Site.

16 Websites [617 M Konten]

Die Daten von Hunderten Millionen Benutzerkonten von 16 gehackten Diensten wurden im Februar 2019 durchgesickert. Die Liste der gehackten Websites enthielt beliebte Namen wie Dubsmash (eine bekannte Video-Synchronisations-App), ShareThis (ein All-in-One-Widget zum Teilen von Inhalten) und 500px (eine beliebte Online-Fotografie-Community).

Die Daten wurden im Dunkeln für weniger als $20.000 in BTC zum Verkauf angeboten. „Sie bestehen hauptsächlich aus Kontoinhabernamen. E-Mail-Adressen und Passwörter… Je nach Standort gibt es noch einige andere Informationen, z Ort, persönliche Datenund Social-Media-Authentifizierungstoken.", erzählte Das Register.

Was war das Problem? Da viele Websites gehackt wurden, können die Schwachstellen jeder Website nicht besprochen werden. Der Hacker hat Sicherheitslücken ausgenutzt, Remotecodeausführung erhalten und dann Benutzerdaten gemäß The Register extrahiert. Auch einige davon gespeichert Passwörter mit einer schwachen Hash-Funktion (wie MD5).

Wie hätte es verhindert werden können? Zunächst muss jedes Unternehmen den Industriestandard für die Speicherung von Passwörtern befolgen - ein sicherer Hash wie bcrypt. Dann hätten sie es für die Schwachstellen tun sollen Regelmäßige Schwachstellentests, installierte eine Webanwendungs-Firewallund wendete die gängigen Datensicherheitstechniken an.

Canva [139 Millionen Konten]

Canva - ein in Sydney ansässiger Tech Einhorn beliebt für das Erstellen von Logos, Websites und mehr - wurde von einem oder mehreren Hackern gehackt. Er / sie / sie ist / sind als GnosticPlayers bekannt - dieselben Hacker, die für die Auflistung der Daten von 617 Millionen Benutzerkonten (wie oben erwähnt) verantwortlich sind ein Beitrag von ZDNet.

Zu den gestohlenen Daten gehörten Details wie Kundenbenutzernamen, echte Namen, E-Mail-Adressen, und Stadt- und Länderinformationen… Passwort-Hashes waren ebenfalls vorhanden… Die Passwörter wurden mit dem bcrypt-Algorithmus gehasht, gilt derzeit als einer der sichersten Passwort-Hashing-Algorithmen.”, Berichtet ZDNet.

Was war das Problem? Der Hacker hat einen unbekannten Fehler im Datenbankserver des Unternehmens verwendet, um die bis zum 17. Mai gespeicherten Daten herunterzuladen. Jedoch, Das Sicherheitsteam hat den Datenverstoß festgestellt und schloss ihre Server (zum Glück). Außerdem wurden Benutzerkennwörter mithilfe von bcrypt-Hashing mit Salting (anerkennend) gespeichert.

Wie hätte es verhindert werden können? Das Unternehmen hat den Verstoß festgestellt, aber erst als Millionen von Benutzerdaten gestohlen wurden. Es muss auf seine Sicherheitsprodukte reagieren, um Angriffe schnell zu erkennen und zu stoppen. Auch könnte es installiert haben eine Webanwendungs-Firewall und ein Zugriffsverwaltungssystem für mehr Sicherheit.

8 Websites [127 M Konten]

Die Hacker, die für die beiden oben genannten Datenschutzverletzungen verantwortlich sind, haben später im Februar 2019 weitere Dienste gehackt. Die Liste der neu gehackten Sites Dazu gehörten ixigo (ein beliebter Hotel- und Reisebuchungsservice), YouNow (ein berühmter Live-Video-Casting-Service) und Houzz (eine Community-Site über Architektur und Innendekoration).

Ixigo und PetFlow verwendeten den alten und veralteten MD5-Hashing-Algorithmus, um Passwörter zu verschlüsseln, was heutzutage leicht zu entschlüsseln ist. Ariel Ainhoren, Leiter des Forschungsteams der israelischen Sicherheitsfirma IntSights, sagte dies Der Hacker hat möglicherweise dieselbe Sicherheitslücke verwendet um gefährdete Websites anzusprechen.”, Per ein Beitrag von TechCrunch.

Was war das Problem? Das Problem ist noch nicht bekannt, aber das Problem könnte in PostgreSQL aufgetreten sein, da sechs der 16 Sites es in ihrem Backend verwendet haben. Das Team hinter dem Datenbanksystem bestritt diese Behauptungen jedoch. Das Problem könnte auch in ihren Anwendungen, ihren Backend-Systemen oder ihren Backend-Netzwerken liegen.

Wie hätte es verhindert werden können? Diese Websites sollten integriert sein Eine Webanwendungs-Firewall, ein Zugriffsverwaltungstool und ein Schwachstellenscanner. Das erste Tool hätte bei der Analyse und Blockierung eines Angriffs geholfen, das zweite beim Blockieren von nicht autorisiertem Zugriff und das letzte beim Scannen nach Schwachstellen.

Chtrbox [49 M Datensätze]

Chtrbox ist ein Influencer-Marketing-Unternehmen, das im Mai 2019 eine Datenbank durchgesickert ist und zu einem Datenverlust von 49 Millionen Datensätzen geführt hat. Die von Amazon Web Services gehostete Datenbank war im Internet offen verfügbar und konnte von jedermann genutzt werden Greifen Sie auf die Datenbank mit den Daten der Instagram-Konten zu ohne Passwort.

Jeder Datensatz enthielt öffentliche Daten, die von Influencer-Instagram-Konten stammen, einschließlich ihrer Biografie, ihres Profilbildes, der Anzahl der Follower, die sie haben, wenn sie überprüft wurden und ihres Standorts nach Stadt und Land, aber auch ihrer persönlichen Kontaktinformationen… E-Mail-Adresse und Telefonnummer. ”, schrieb TechCrunch.

Was war das Problem? Das Unternehmen hat eine Datenbank mit persönlichen Informationen der Influencer im Internet ohne Sicherheit gehostet - nicht einmal mit einem Passwort. Das heißt, es war fast dazu bestimmt, gehackt oder durchgesickert zu werden. Stimmst du nicht zu?

Wie hätte es verhindert werden können? In erster Linie sollte die Datenbank passwortgeschützt sein, dann sollte ihr Inhalt verschlüsselt sein. Dann sollte es hinten gesichert worden sein eine Firewall und ein ordnungsgemäßes Datenzugriffsverwaltungssystem hätte an Ort und Stelle gehalten werden müssen, um seine Daten zu schützen.

Hier geht es um die größten Datenverletzungen im ersten Halbjahr 2019. Die obige Liste gibt einen klaren Überblick über die Verluste, die Datenverletzungen für Ihr Unternehmen bedeuten können. Außerdem erfahren Sie, wie Sie die kritischen Daten Ihres Unternehmens oder Ihres Unternehmens schützen können.

Na sicher, Es ist viel einfacher, sich für eine zu entscheiden Sicherheit Produkt 360-Grad-Schutz wie die FlexProtect-Pläne von Imperva. Sie bieten eine Mischung aus Funktionen und Tools zum Sichern von Apps und Daten. Beispielsweise bietet es API-Sicherheit, Bot-Schutz, Datenüberwachung und -schutz, Webanwendungs-Firewall usw.

Also, was hast du gelernt? über Datensicherheit durch diesen Beitrag? Bitte hinterlassen Sie Ihr Feedback, indem Sie unten einen Kommentar schreiben oder über die Kontaktseite Kontakt aufnehmen.

de_DEGerman