V roce 2023, blížícím se svému konci, vzniká otázka: Co se můžeme z pohledu kybernetické bezpečnosti naučit?
Jakmile se prach roku usadí a čísla se objeví, obvykle v prvním čtvrtletí následujícího roku, se pravděpodobně ukáže, že známé trendy pokračují. Pokud budete číst dále, dokumentujeme největší a nejznámější kyberútoky roku 2023, zatímco se dějí. Nabízíme některé technické analýzy, postřehy a, pokud je to možné, zkoumáme lekce, které z nich lze vyvodit.
Tři lekce, které jsme se naučili z kyberútoků tohoto roku (zejména pro podniky):
1. Ověření softwarových nebo službových dodavatelů by mělo být prioritou a trvalým procesem.
2. Přehodnocení protokolů vašeho podniku pro řešení nejen jednoduchého bezpečnostního incidentu, ale také plnohodnotného ransomware útoku by mělo být prioritou. Procedury pro hlášení nebo zveřejňování, zapojení pojišťovacích společností, zařízení pro pohotovostní pomoc pro triáž nebo komplexní forenzní vyšetření by měly být všechny dokumentovány a přední zaměstnanci by je měli chápat.
3. Stejně jako u jakéhokoli nouzového stavu může rychlost a pochopení, která okamžitá opatření je potřeba přijmout – a která ne – znamenat rozdíl mezi rychle potlačeným incidentem a dlouhým bojem s nepředvídatelnými důsledky, jak finančními, tak reputačními.
Jak víme, kyberzločinci neustále hledají nové útočné příležitosti. Phishing a další prostředky krádeže přihlašovacích údajů zůstávají oblíbené – ale útoky na dodavatelské řetězce, kde identifikovaná slabina je periferní částí hlavní činnosti organizace, mohou být zákeřné a velmi efektivní.
Co je pro kyberzločince lákavější než software, který řídí bezpečný přenos souborů? Začneme únikem, který nás zaměstnával polovinu tohoto roku:
Číslo jedna: Move IT
Vlna kyberútoků a úniků dat začala v květnu 2023, když byla objevena zranitelnost v MOVEit, řízeném softwaru pro přenos souborů.
Zranitelnost v MOVEit umožňuje útočníkům krást soubory z organizací pomocí SQL-injekce na veřejně dostupných serverech. Ransomware skupina Clop začala zneužívat zero-day exploit softwarového nástroje MOVEit Transfer Enterprise File Transfer od Progress Software.
Útok vedl k krádeži dat z vládních, veřejných a obchodních organizací po celém světě, včetně veřejného školského systému v New York City, společnosti poskytující HR řešení a mzdy se sídlem ve Velké Británii s klienty, jako jsou British Airways a BBC, mezi jinými.
Podle probíhajícího počítání společnosti Emsisoft hlásilo přes 2 000 organizací útoky, přičemž krádež dat postihla více než 62 milionů lidí, především v USA. Patří mezi ně Sony, Microsoft, a nejstrašidelnější část je, kolik informací o zdraví lidí po celém světě bylo ohroženo.
Například BORN Ontario, které bylo napadeno v červnu, odhalilo, že data novorozenců a těhotných pacientů v Ontariu od ledna 2010 do května 2023 byla ukradena, což se dotklo přibližně 3,4 milionu lidí.
Obavy ohledně ochrany soukromí:
Zdravotní údaje jsou velmi osobní a často obsahují citlivé detaily o zdravotní historii, nemocích, léčbách a lécích osoby. Zveřejnění takových informací může narušit soukromí osoby.
Navíc lze ukradené zdravotní údaje použít pro krádež identity a pojistné podvody. Zločinci mohou informace využít k vytvoření falešných identit, podání falešných pojistných nároků nebo k využití zdravotních služeb pod jménem jiné osoby.
Číslo dvě: Kid Security:
A níže uvedené obavy jsou důvodem, proč jsme to vybrali jako číslo 2 mezi kyberútoky v roce 2023:
Široce rozšířená rodičovská kontrolní aplikace Kid Security, vytvořená pro rodiče, aby monitorovali a kontrolovali online bezpečnost svých dětí, omylem vystavila uživatelské protokoly na internetu po dobu delší než jeden měsíc, kvůli špatně nakonfigurovaným instancím Elasticsearch a Logstash.
Přes 300 milionů záznamů bylo kompromitováno, včetně 21 000 telefonních čísel a 31 000 e-mailových adres. Některé údaje o platebních kartách byly také zveřejněny. Data byla získána; Readme-bot “částečně zničil” otevřenou instanci tím, že vložil vyděračskou poznámku s bitcoinovou peněženkovou adresou, aby byla poslána platba výměnou za soubory.
Představte si, že používáte Kid Security k ochraně online aktivit vašich dětí, ale zároveň je to stejná příčina prozrazení jejich digitální identity.
Číslo tři: 23andMe:
Jedná se o spotřebitelskou genetickou a výzkumnou společnost se sídlem v Kalifornii, USA.
Důležité je, že web 23andMe obsahuje významné množství DNA dat o aškenázských Židech, milionech německých a anglických občanů a statisících Číňanů.
Na počátku října 2023 tvrdí aktér hrozeb, že vlastní 20 milionů záznamů 23andMe, což naznačuje další úniky dat.
Kdokoliv, kdo je zodpovědný za sběr dat, začal se snažit je prodávat online. Žádají 1 až 10 USD za účet, který obsahuje údaje jako jména, pohlaví, rok narození a některé detaily o genetické historii. Zdá se, že surová DNA data neunikla.
Ačkoliv je tento nedávný únik dat významný, poukazuje na to, že společnosti uchovávající citlivé údaje, jako jsou DNA profily, by v budoucnosti mohly být více cílené, protože pamatujte si: v budoucnosti, kde si otevřete dveře supermarketu svým duhovkou nebo otisky prstů, bude vaše digitální ID záviset na těchto informacích.
Skenování duhovky za peníze: Udělal/a bys to?
Již nějakou dobu se na náměstích a veřejných prostranstvích v Argentině a dalších latinskoamerických městech objevuje fenomén: dlouhé řady lidí, kteří čekají na skenování své duhovky stříbrnou koulí na stativu.
Jedná se o projekt Worldcoin, iniciativu Sama Altmana, majitele OpenAI, společnosti, která vyvinula ChatGPT, která poskytuje peníze (kryptoměny nebo dolary) výměnou za skenování vašeho oka.
Číslo čtyři: DarkBeam
DarkBeam je na třetím místě, protože je směšné a znepokojující, že firma na ochranu před kybernetickými riziky sama vystavuje riziku úniku tvých dat.
Dne 18. září CEO Bob Diachenko ze SecurityDiscovery objevil, že společnost na ochranu digitálních rizik DarkBeam “nechala nechráněné rozhraní Elasticsearch a Kibana, čímž odhalila záznamy s e-maily a hesly uživatelů z dříve nahlášených i nenahlášených úniků dat.”
Diachenko informoval DarkBeam, která okamžitě zranitelnost uzavřela.
Ačkoli většina z 3,8 miliardy odhalených záznamů pochází z předchozích narušení, které DarkBeam sestavil, aby informoval zákazníky, organizace těchto informací znamená, že kdokoli, kdo k nim získá přístup, může vytvořit věrohodné phishingové kampaně.
Pokud tuto firmu používáš, nezapomeň zkontrolovat své přihlašovací údaje na haveibeenpwned.com a podniknout opatření, jako je změna znovu použitých hesel a implementace vícefaktorového ověřování.
Číslo pět: Twitter
Tento rok se Twitter potýkal s několika PR krizemi, a jedna z nich je důsledkem kriminálního hackera ‘Ryushi’, který zveřejnil přes 220 milionů e-mailových adres uživatelů.
Podvodník původně požadoval 200 000 dolarů za vydání nebo smazání ukradených informací. O týden později, poté, co ho Twitter pravděpodobně odmítl, nabídl hacker data k prodeji na hackerském fóru Breached.
Ačkoli se zdá, že nebyly kompromitovány žádné osobní údaje nad rámec e-mailových adres, tato událost představuje významná rizika pro soukromí, zejména pro osoby, které lze snadno identifikovat podle jejich e-mailových adres, jako jsou celebrity a veřejné osobnosti.
Zatímco Twitter hovoří o svobodě projevu, experti na kybernetickou bezpečnost, jako Alon Gal z Hudson Rocks, se domnívají, že tuto databázi využijí hackeři, politické hacktivisté a vlády k tomu, aby naše soukromí ještě více poškodili.
Souhrn
Souhrnně pět hlavních kyberútoků roku 2023 zdůrazňuje přetrvávající a rozvíjející se hrozby v digitálním prostředí. Tyto incidenty odhalují zranitelnosti v různých sektorech, od aplikací pro rodičovskou kontrolu přes genetické výzkumné společnosti, firmy na ochranu digitálních rizik, giganty sociálních médií až po kritické podnikově přenosné nástroje. Úniky nejen kompromitovaly obrovské množství osobních a citlivých informací, ale také odhalily systémová slabá místa v infrastruktuře kybernetické bezpečnosti.
Tyto útoky zdůrazňují naléhavost, aby organizace prioritizovaly robustní opatření na kybernetickou bezpečnost, včetně pravidelných kontrol, včasného řešení zranitelností a školení zaměstnanců. Kromě toho musí jednotlivci zůstat ostražití a dodržovat praktiky, jako je bezpečné heslo, vícefaktorové ověřování a pravidelné kontroly možného narušení.
