Hvert år stoler du på virksomheder med dine data. Du stoler på, at de beskytter det, holder det ude af hænderne på cyberkriminelle og træffer passende foranstaltninger for at sikre, at dine personlige oplysninger ikke er tilgængelige for nogen freelancekriminel med en krypto-pung. Og nogle af disse virksomheder fejler, hvilket resulterer i, at kundeoplysninger sælges på det mørke web eller endda på det åbne web.
Dette år har ikke været anderledes end tidligere år - kun navnene og detaljerne på de værste lovovertrædere er ændret. Disse er de største databrud i 2022, ikke kun baseret på mængden af lækket data, men også typen af stjålet information.
1. Neopets: juli 2022
Neopets er en virtuel kæledyrsplatform med hundredvis af millioner af brugere og med to forskellige slags virtuel valuta. I lighed med tidligere tiders Tamagotchis skal Neopets-brugere logge ind regelmæssigt for at fodre og passe deres virtuelle ladninger, for at de ikke skal blive syge og dø. Neopets er moderat kontroversiel, idet den tjener penge via fordybende reklame rettet mod børn og ved at have en af dens valutaer, der kan købes for kontanter.
I juli meddelte en talsmand for Neopets på Twitter at "kundedata kan være blevet stjålet". Det viste sig senere, at omkring 69 millioner Neopets-konti kan være blevet kompromitteret. Stjålet data inklusive brugernavne, e-mails og adgangskoder, fødselsdatoer, lande, postnumre og køn blev udbydes til salg sammen med live adgang til databasen, hvor ubudne gæster kunne ændre statistik, kæledyr og in-game kreditter. Alt sammen for sølle fire Bitcoins (ca. $65.000 i dagens penge).
Hændelsen i 2022 er kun den seneste i en række af uhyggelige Neopets sikkerhedsforlegenheder, der går tilbage til 2014.
2. Kiwi Farms: September 2022
Langt fra at være en landbrugsvirksomhed for store, spiselige bær, er Kiwi Farms et samfundsforum bedst kendt som et tilflugtssted for vitriol og had, hvor brugerne frit kan organisere trolling, chikane og stalking. Kiwi Farms, der oprindeligt blev dannet for at chikanere en bestemt kunstner, kan prale af 16.000 aktive logins om dagen og har været forbundet med flere selvmord.
Den 19. september, Kiwi Farms grundlægger, Joshua Moon skrev:
Forummet blev hacket. Du bør antage følgende.
Antag, at din adgangskode til Kiwi Farms er blevet stjålet.
Antag, at din e-mail er blevet lækket.
Antag, at enhver IP, du har brugt på din Kiwi Farms-konto i den sidste måned, er blevet lækket.
Angrebet var muligt gennem misbrug af session cookies, og kan have fået nogle medlemmer af forummet til at genoverveje deres forhold til det giftige websted.
3. Los Angeles Unified School District: september/oktober 2022
Den russisk-forbundne hackergruppe, Vice Society, stod bag dette hack i september, hvor en halv terabyte data fra Los Angeles Unified School District blev holdt til løsesum.
Hverken Vice Society eller Los Angeles Unified School District afslørede mængden af løsesum, og hvornår betalingsfristen den 4. oktober gled forbi, Vice Society dumpede hele 500 GB-beholdningen på deres mørke web websted.
Oplysningerne omfattede pasoplysninger, CPR-numre, skatteformularer, kontrakter, juridiske dokumenter, økonomiske rapporter, bankkontooplysninger, helbredsoplysninger, COVID-19-testdata, tidligere domsrapporter og studerendes psykologiske vurderinger.
Crypto.com blev brudt af kriminelle i januar, og mens antallet af berørte brugere var relativt lavt på 439, tyve formåede at klare sig med svimlende $30 millioner — omfattende 4.836,26 Etherium, 443,93 Bitcoin og $66.200 i andre valutaer.
Dette markerede starten på et meget ujævnt år for kryptoinvestorer, hvor senere måneder så prisen på næsten alle mønter styrter gennem gulvet og sammenbruddet af mere end én kryptobørs.
Hacket kan have været det bedste, der kunne være sket for investorer: hvis de udbetalte deres krypto som så snart de blev refunderet af crypto.com, ville de berørte møntholdere nu være $16,3 millioner samlet bedre af.
5. Uber: september 2022
Uber kommer lige knap denne liste til september 2022-angrebet, hvor en 18-årig hacker sluttede sig til virksomhedens interne Slack, og sendte besked til alle medarbejdere, der meddelte, at det havde lidt en data brud. Rapporter på det tidspunkt indikerede, at den ubudne gæst sandsynligvis var i stand til at få adgang til og ændre Uber-skytjenesterne sammen med mail, cloud-lagring og kodelagre.
Men den største nyhed for Uber i 2022 er, at det allestedsnærværende ride-hailing-firma endelig indrømmede, at de blev hacket helt tilbage i 2016, med 57 millioner brugere berørt. Ubers tidligere sikkerhedschef, Joe Sullivan, skal stilles for retten for bruddet.
(Dis) hæderlige omtaler: SuperVPN, GeckoVPN og ChatVPN
SuperVPN, GeckoVPN og ChatVPN blev faktisk brudt i 2021 og afslørede et udvalg af fulde navne, brugernavne, land, faktureringsoplysninger, e-mailadresser, tilfældigt genererede adgangskodestrenge og mere fra omkring 21 mio brugere. Da VPN-brugere typisk anvender VPN-apps til at skjule deres tilstedeværelse, identitet og placering online, er datatabet særligt bekymrende.
Dataene blev sat til salg på det mørke web helt tilbage i 2021, men de blev dumpet gratis i adskillige Telegram-grupper i maj 2022.
Beskyt dig selv mod databrud i 2023
Selvfølgelig kan virksomheder ikke ved et uheld lække dine data eller lade dem være sårbare over for ondsindede hacks, hvis de ikke har dem til at begynde med, og du bør sørge for at give så lidt væk som muligt.
- Hvis du er bekymret for dit privatliv eller ønsker at skjule dine onlineaktiviteter, bør du bruge et velrenommeret VPN-firma.
- Brug e-mail-aliasing så virksomheder og organisationer ikke har adgang til en adresse, som kan bruges til andre formål. Hvis de til sidst lider af et databrud, vil det ikke betyde så meget for dig.
- Du kan bruge virtuelle kreditkort til at foretage engangskøb. Hvis kortnummeret er lækket, kan svindlere ikke bruge det til at tømme dine konti.
- Generer forskellige, svære at bryde adgangskoder til hvert websted og hver tjeneste, du bruger. Hvis du har problemer med at huske dem, skal du bruge en adgangskodemanager såsom Bitwarden. En forgrening af dette projekt, Vaultwarden, kan endda være selvvært på en Raspberry Pi.
Hackere vil hacke
At miste dine kontooplysninger, penge eller personlige data på grund af en virksomheds utilstrækkelige sikkerhedsprocedurer er en af de potentielle omkostninger ved at drive forretning i det tredje årti af det 21. århundrede. Prøv at bruge virtuelle kreditkort og e-mail-aliasser, når du kan.
Det er ikke kun virksomheder, der bliver hacket. Kriminelle målretter også mod enkeltpersoner, og du bør sørge for, at dine personlige enheder er så sikre som muligt.
