خلاصه‌ای از بزرگ‌ترین رخنه‌های اطلاعاتی سال 2017

سال 2017 و وقایع مختلف آن از جمله افشای اطلاعات حدود 200 میلیون رأی‌دهنده، توسط پیمانکار کمیته ملی جمهوری‌خواهان در آمریکا یا رخنه اطلاعاتی که توسط شرکت Equifax افشا شد و بیش از 143 میلیون فرد را تحت تأثیر قرار داد، باعث شد توجه همه افراد نسبت به نشت اطلاعات و نیاز به هوشیاری در این زمینه جلب شود. بر اساس تحقیقی که در ابتدای امسال منتشر شد، میزان اطلاعات به سرقت رفته یا از بین رفته در نیمه اول سال 2017 (1.9 میلیارد رکورد) نسبت به حجم کل رخنه اطلاعاتی در سال 2016 (1.37 میلیارد رکورد) بیشتر بوده است.

اکثر رخنه‌های اطلاعاتی سال 2017 توسط مجرمین سایبری انجام گرفتند که از وجود مشکلات امنیتی در سیستم‌های ذخیره‌سازی اطلاعات، تنظیمات امنیتی اشتباه و یا عدم استفاده از راهکارهای امنیتی برای محافظت از داده‌ها به نفع خودشان استفاده کردند. این اطلاعات نشان می‌دهند که نیازی نیست مهاجمین برای سرقت اطلاعات به دنبال راهکارهایی پیچیده یا مرموز باشند چون اغلب اوقات هیچ محافظتی از داده‌ها انجام نمی‌شود.

بعلاوه بر اساس گزارشِ اعلام شده در خصوص هزینه‌های نشت داده توسط شرکت Ponemon در سال 2017، هزینه نشت داده در سال جاری 10 درصد افت کرده؛ اما با این وجود، میانگین هزینه نشت داده هنوز حدود 3.62 میلیون دلار معادل 181,952,060,000 ریال است که مبلغ قابل‌توجهی است. امیدواریم این آمار و ارقام همراه با آگاهی ایجاد شده به واسطه نشت اطلاعاتی در سال 2017 باعث افزایش آگاهی سازمان‌ها شود؛ به صورتیکه سازمان‌ها یک گام به جلو برداشته و اقدامات لازم برای محافظت از داده‌ها را انجام دهند.

با توجه به این که سال 2018 سال پیاده‌سازی مقررات حفاظت از اطلاعات عمومی ‌(GDPR) است، محافظت از داده‌ها در این سال شکل رسمی‌تری به خود می‌گیرد. اما در حال حاضر برای افزایش آگاهی در این زمینه، بهتراست خلاصه‌ای از بزرگ‌ترین و بدترین موارد نشت اطلاعات در سال 2017 را مرور کنیم.

1.اکوئیفاکس (Equifax)

مورد اول رخنه اطلاعاتی شرکت اکوئیفاکس بود که سروصدا و جنجال‌های زیادی را به دنبال داشت. در ماه سپتامبر یعنی شهریورماه 1396 “شرکت اعتبارسنجی کارت‌های اعتباری آمریکایی (اکوئیفاکس)” یک رخنه اطلاعاتی بسیار عظیم را فاش کرد که بیش از 143 میلیون نفر از مشتریان این شرکت را تحت تأثیر قرار می‌داد. گفته می‌شود که این نشت اطلاعاتی به دلیل آسیب‌پذیری موجود در یک نرم افزار اوپن سورس که شرکت اکوئیفاکس از آن استفاده می‌کرد، انجام شد. همین نقطه‌ضعف به مهاجمین، امکان دسترسی به فایل‌های حساس را داد.

اطلاعاتی که درز کردند شامل نام کامل افراد، تاریخ تولد، شماره تأمین اجتماعی (Social Security number)، آدرس و غیره بود. بعلاوه اطلاعات به سرقت رفته شامل شماره بیش از 200 هزار کارت اعتباری و حدود 200 هزار سند دیگر بود که حاوی اطلاعات شناسایی و اطلاعات شخصی افراد بودند.

با افشای این رخنه اطلاعاتی، مدیرعامل وقت شرکت اکوئیفاکس، ریچارد اسمیت یک ویدیوی عذرخواهی منتشر کرد (که بعداً در لیست بدترین عذرخواهی‌های سال 2017 رتبه شماره 1 را دریافت کرد). در مجموع انتقادهای زیادی بر نحوه مقابله با این نشت اطلاعاتی مطرح شد و این نشت اطلاعاتی نیاز به ایجاد رویه‌هایی متناسب‌تر برای اخطار درباره نشت اطلاعات را نشان داد.

2.ورایزن (Verizon)

Verizon

در ماه جولای یعنی تیرماه 1396 اطلاعات شخصی بیش از 14 میلیون مشتری شرکت ورایزن افشا شد. این اطلاعات از روی یک سرور ذخیره‌سازی اطلاعات (S3) متعلق به شرکت آمازون به سرقت رفت که تحت کنترل شرکت ارائه‌دهنده خدمات نرم‌افزاری و تکنولوژی Nice Systems بود. این اطلاعات حاوی نام، PIN و شماره تلفن افراد بودند؛ اطلاعاتی که می‌توان از آن‌ها جهت دسترسی به حساب کاربری ورایزن افراد استفاده کرد.

در گزارش ZDNet اشاره‌ای نشد که آیا یک مجرم سایبری به این اطلاعات دسترسی پیدا کرده و یا آن‌ها را به سرقت برده یا خیر، این اطلاعات در معرض خطر قرار داشتند و دسترسی به آن‌ها به سادگی حدس زدن یک URL بود. درسی که این رخنه اطلاعاتی به همه داد، این بود که بررسی درست بودن پیکربندی و تنظیم درایوها اهمیت فوق‌العاده زیادی دارد. یکی دیگر از نکاتی که از این رخنه اطلاعاتی آموختیم این بود که محافظت از داده‌ها در سیستم‌های ذخیره‌سازی مبتنی بر فناوری ابر اهمیت فوق‌العاده‌ای دارد.

3.اوبر (Uber)

سال 2017 برای شرکت اوبر سال خوبی نبود. در ماه نوامبر یعنی آبان‌ماه 1396، شرکت اوبر اعلام کرد که در یک رخنه اطلاعاتی بزرگ که در ماه اکتبر سال 2016 (مهرماه 1395) اتفاق افتاده، هکرها اطلاعات شخصی حدود 57 میلیون راننده و مسافر را به سرقت برده‌اند. هنگامی که این رخنه اطلاعاتی در سال 2016 اتفاق افتاد، شرکت اوبر به مجرمین 100 میلیون دلار پرداخت کرد تا این موضوع را فاش نکنند و امنیت داده‌ها را به خطر نیندازند.

اطلاعات به سرقت رفته شامل آدرس ایمیل، شماره تلفن و نام راننده‌ها و مسافران بود. همچنین شماره گواهینامه بعضی از راننده‌ها هم جزء اطلاعات به سرقت رفته بود. طبق اعلام مدیرعامل جدید شرکت اوبر، “دارا خسروشاهی”، معامله اوبر با سارقین، توسط مدیرعامل و مدیر امنیت قبلی شرکت انجام شده بود.

4.پیمانکار RNC

در ماه ژوئن یعنی خردادماه 1396 اطلاعات آراء حدود 200 میلیون نفر طی یک نشت اطلاعاتی بزرگ در سرور وب‌سرویس شرکت آمازون افشاء شد. خود این اطلاعات متعلق به یک شرکت بازاریابی به نام Deep Root Analytics بود که با کنوانسیون ملی جمهوری خواهان (Republican National Convention یا به اختصار RNC) قرار داد داشت. این نشت اطلاعاتی به دلیل تنظیمات نامناسب یک دیتابیس صورت گرفت که روی یک سرور ابر، ذخیره‌سازی شده بود که سرویس Simple Storage Service (S3) شرکت AWS آن را میزبانی می‌کرد و دسترسی به آن برای عموم آزاد بود.

این رخنه اطلاعاتی تمام رأی‌دهندگان آمریکایی را تحت تأثیر قرار داد و داده‌های به سرقت رفته شامل نام کامل، تاریخ تولد، آدرس، شماره تلفن و جزئیات ثبت‌نام رأی‌دهندگان بود. طبق گزارش شرکت UpGuard در رابطه با این نشت اطلاعاتی، هر کسی که به اینترنت دسترسی داشت به این اطلاعات دسترسی داشت و می‌توانست آن‌ها را دانلود کند.

5.دیلویت (Deloitte)

طبق گزارشی از سوی روزنامه The Guardian، سرور ایمیل جهانی شرکت دیلویت هک شد و مهاجمین ‌توانستند به اطلاعات بعضی از مشتریان مهم شرکت دیلویت و ایمیل‌های داخلی ارسال شده و دریافت شده توسط کارمندان بعضی شرکت‌ها دسترسی پیدا کنند.

بعلاوه، مهاجمین به اطلاعاتی مثل نام کاربری، رمز عبور و آدرس ‌آی پی کاربران دسترسی پیدا کردند. همچنین در این گزارش اعلام شد که شرکت دیلویت در ماه مارس متوجه این هک شده، در صورتیکه هکرها از اواخر سال 2016 (سفندماه 1395) به سیستم این شرکت نفوذ کرده بودند.

سرور ایمیل این شرکت روی سرویس ابر Azure میزبانی می‌شد و شرکت دیلویت اعلام کرد که در این سرویس از احراز هویت دومرحله‌ای استفاده نشده بود. در واقع دسترسی به یک اکانت ادمین، باعث به خطر افتادن این سرور شده بود.

6.شرکت Dun & Bradstreet

در ماه مارس یعنی اوایل اسفندماه 1395، در خبرها اعلام شد که یک نشت اطلاعاتی عظیم رخ داده و در آن یک دیتابیس 52 گیگابایتی حاوی 33.7 میلیون آدرس ایمیل و اطلاعات تماس افراد افشاء شده است. این اطلاعات متعلق به شرکت Dun & Bradstreet بود، کمپانی که برای کسب‌وکارهای مختلف، خدماتی مثل داده‌های تجاری و تحلیل و بررسی این داده‌ها را فراهم می‌کرد.

نام، عنوان شغلی، آدرس ایمیل کاری، شماره تلفن کارمندان و همچنین اطلاعات شرکت‌هایی مثل AT&T، Dell، IBM، WalMart و خیلی از شرکت‌ها و سازمان‌های بزرگ، جزء اطلاعات به سرقت رفته بودند. طبق گزارشات، 100 هزار عدد از رکوردهای به سرقت رفته متعلق به کارمندان وزارت دفاع امریکا بودند. اما هیچ‌وقت مشخص نشد که این اطلاعات چطور نشت کردند.

خروج از نسخه موبایل