การละเมิดข้อมูลที่ใหญ่ที่สุดของปี 2021 และสิ่งที่เราเรียนรู้จากพวกเขา

เผยแพร่แล้ว: 2021-09-16

2021 เป็นปีที่ไม่ดีสำหรับความปลอดภัยในโลกไซเบอร์

ด้วยความไม่แน่นอนเกี่ยวกับโรคระบาด พนักงานใหม่ที่อยู่ห่างไกล และการขาดการคุ้มครองที่เหมาะสมสำหรับธุรกิจหลายพันรายทั่วประเทศอย่างชัดเจน เรามีสภาพแวดล้อมที่พร้อมจะฉวยโอกาสจากผู้มุ่งร้าย

และอาชญากรไซเบอร์ก็ทำอย่างนั้น การไล่ตามความกลัวและความวิตกกังวลของผู้คน การโจมตีแบบฟิชชิ่ง แรนซัมแวร์ และเวกเตอร์การโจมตีอื่นๆ ที่อาศัยวิศวกรรมสังคมเพิ่มขึ้นอย่างมาก นอกเหนือจากเวกเตอร์อื่นๆ เช่น การฉีด SQL การใช้ประโยชน์จากซีโร่เดย์ และการโจมตีแบบปฏิเสธบริการ (DDoS)

แม้ว่าจะเป็นการโจมตีครั้งใหญ่ที่ได้รับความคุ้มครองมากขึ้น แต่ SMB ก็ตกเป็นเป้าหมายด้วยความถี่ที่มากพอๆ กัน และไม่มีธุรกิจใดที่เล็กเกินกว่าจะตกเป็นเหยื่อของอาชญากรรมทางอินเทอร์เน็ตในสภาพแวดล้อมการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน

จากรายงานปี 2020 พบว่า 55% ของ SMB ประสบกับการโจมตีทางไซเบอร์

วันนี้ เราจะมาดูการละเมิดข้อมูลที่ใหญ่ที่สุดของปี สาเหตุที่ทำให้เกิดการรั่วไหล และสิ่งที่เราสามารถเรียนรู้ได้จากการละเมิด

โพสต์ที่เกี่ยวข้อง: การโจมตีทางไซเบอร์ที่แพร่ระบาดกำลังผลักดันการยอมรับเทคโนโลยี

ข่าวดี

ไม่ควรละเลยที่จะรับทราบว่าการละเมิดข้อมูลได้ลดลงจริงในปี 2564 เมื่อเทียบกับปี 2020 โดย 24%

อย่างไรก็ตาม นี่ไม่ได้หมายความว่ามีการปรับปรุงมากพอที่จะปลอดภัยจากการถูกโจมตี

พนักงานที่กลับไปที่สำนักงานและการลงทุนด้านการรักษาความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นกำลังขับเคลื่อนแรงผลักดันที่อยู่เบื้องหลังการปรับปรุงนี้ แต่ธุรกิจต่างๆ ควรระมัดระวัง และผู้ที่ไม่ได้ลงทุนในการป้องกันความปลอดภัยควรพิจารณาใช้กลยุทธ์อย่างจริงจัง ไม่ว่าจะผ่านการ ทีมเจ้าบ้านหรือโดยใช้ MSSP

ในช่วงครึ่งแรกของปี 2564 มีการรายงานการละเมิดต่อสาธารณะ 1,767 รายการ โดยเปิดเผยข้อมูลทั้งหมด 18.8 พันล้านรายการ

ตอนนี้โดยไม่ต้องกังวลใจต่อไป มากระโดดกันเถอะ!

เวกเตอร์การโจมตีทางไซเบอร์ที่พบบ่อยที่สุด | การละเมิดข้อมูลที่ใหญ่ที่สุดของปี 2021 | อิมแพ็ค เน็ตเวิร์ค

T-Mobile

เกิดอะไรขึ้น

เมื่อวันที่ 17 สิงหาคม บริษัทโทรคมนาคมยักษ์ใหญ่ T-Mobile ถูกโจมตีทางไซเบอร์ที่ทำลายข้อมูลที่สำคัญของผู้คนมากกว่า 54 ล้านคน รวมถึง SSN ชื่อ ที่อยู่ วันเกิด และหมายเลขใบขับขี่และหมายเลขประจำตัว ตลอดจนหมายเลข IMEI และ IMSI

T-Mobile ตอบสนองต่อการละเมิดอย่างรวดเร็ว ปิดเซิร์ฟเวอร์และเริ่มต้นการตรวจสอบอย่างเต็มรูปแบบ

มันเกิดขึ้นได้อย่างไร?

แฮ็กเกอร์ที่อ้างความรับผิดชอบในการโจมตี John Binns วัย 21 ปีบอกกับ Wall Street Journal ว่าเขาสามารถเข้าถึงโครงสร้างพื้นฐานภายในของ T-Mobile ผ่านเราเตอร์ที่ไม่ปลอดภัย โดยอธิบายว่าการรักษาความปลอดภัยของบริษัทนั้น “แย่มาก”

เราเรียนรู้อะไร?

นี่ไม่ใช่ครั้งแรกที่ T-Mobile ถูกละเมิดข้อมูล โดยก่อนหน้านี้ถูกแฮ็กในปี 2018, 2019 และ 2020 นอกเหนือจากปีนี้

การละเมิดครั้งล่าสุดเป็นครั้งที่ห้าในรอบสี่ปี

หากบัญชีของ Binns เกี่ยวกับการแฮ็กเราเตอร์ที่ไม่ปลอดภัยนั้นเป็นเรื่องจริง นี่เป็นเพียงตัวอย่างอีกตัวอย่างหนึ่งของธุรกิจที่ไม่สามารถระบุและรักษาความปลอดภัยอุปกรณ์ทั้งหมดของตนได้อย่างถูกต้องด้วยการป้องกันปลายทาง

องค์กรควรตรวจสอบและจัดเตรียมอุปกรณ์ทุกเครื่องที่เชื่อมต่อกับเครือข่ายของตน มิฉะนั้นอาจเสี่ยงที่จะปล่อยให้แฮ็กเกอร์เปิดช่องโหว่เหมือนที่ T-Mobile ทำ

SocialArks

เกิดอะไรขึ้น

SocialArks เป็นแพลตฟอร์มภาษาจีนที่ใช้สำหรับจัดการข้อมูลและแคมเปญโซเชียลมีเดีย

ในปี พ.ศ. 2564 มีการรั่วไหลของข้อมูลครั้งใหญ่—บันทึกบัญชีโซเชียลมีเดียมากกว่า 300 ล้านรายการจากแพลตฟอร์มเช่น Facebook, Instagram และ LinkedIn ถูกขโมย

ข้อมูลบัญชีส่วนตัวทั้งหมด 400GB ที่เกี่ยวข้องกับผู้ใช้โซเชียลมีเดียมากกว่า 200 ล้านคนทั่วโลกถูกบุกรุก

มันเกิดขึ้นได้อย่างไร?

การละเมิด SocialArks เกิดขึ้นเนื่องจากฐานข้อมูล ElasticSearch ที่พวกเขาเป็นเจ้าของได้รับการกำหนดค่าผิด

ข้อมูลที่ละเอียดอ่อนในฐานข้อมูลถูก "ขูด" จากเว็บไซต์โซเชียลมีเดียและเซิร์ฟเวอร์ที่ข้อมูลถูกจัดเก็บโดยขาดโปรโตคอลความปลอดภัยที่เหมาะสม ตามการตรวจสอบที่อยู่ IP ที่ตามมา

การเข้าถึงเซิร์ฟเวอร์ไม่มีแม้แต่การป้องกันด้วยรหัสผ่าน ซึ่งหมายความว่าแทบทุกคนสามารถเข้าถึงข้อมูลส่วนบุคคลจำนวนมหาศาลได้ ซึ่งเป็นวิธีที่ถูกขโมยไป

เราเรียนรู้อะไร?

หลายองค์กรที่เก็บข้อมูลผู้บริโภคทำในสถานที่ที่ไม่ปลอดภัย

จากมุมมองของผู้บริโภค พวกเขาควรระมัดระวังอย่างยิ่งกับผู้ที่พวกเขากำลังแบ่งปันและอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของพวกเขา

สำหรับธุรกิจ สิ่งสำคัญคือต้องตระหนักว่าการปกป้องข้อมูลลูกค้าด้วยความรับผิดชอบเป็นสิ่งสำคัญในปัจจุบัน ผู้คนจะสูญเสียความมั่นใจอย่างรวดเร็วหากข้อมูลที่ไม่ปลอดภัยของพวกเขาถูกขโมย

ด้วยเหตุนี้ จึงควรตรวจสอบให้แน่ใจว่าศูนย์ข้อมูลที่ใช้มีความปลอดภัยสูงและมีความซ้ำซ้อนในระดับที่ยอมรับได้ เช่น ศูนย์ข้อมูลระดับ Tier III และ Tier IV

Volkswagen

เกิดอะไรขึ้น

การละเมิดข้อมูลที่ผู้จำหน่ายของ Volkswagen ส่งผลกระทบต่อลูกค้ามากกว่า 3.3 ล้านคนในอเมริกาเหนือ และปรากฏให้เห็นในเดือนพฤษภาคม 2564

ลูกค้ามากกว่า 90,000 รายในสหรัฐอเมริกาและแคนาดาได้รับข้อมูลที่ละเอียดอ่อนมากขึ้น ซึ่งรวมถึงข้อมูลเกี่ยวกับสิทธิ์ในการขอสินเชื่อ ตลอดจนบันทึกวันเดือนปีเกิดและหมายเลขประกันสังคม

แฮ็กเกอร์ที่ระบุโดยนามแฝง “000” เขียนว่าพวกเขาต้องการขายเนื้อหาของฐานข้อมูลในราคาประมาณ 5,000 ดอลลาร์

มันเกิดขึ้นได้อย่างไร?

ผู้จำหน่าย Volkswagen ที่ไม่มีชื่อโดยบริษัท ทิ้งข้อมูลลูกค้าในช่วงปี 2014 ถึง 2019 โดยไม่มีการป้องกัน

ผู้ขายรวบรวมข้อมูลลูกค้าในนามของ Volkswagen เพื่อช่วยในการริเริ่มการขายและการตลาด

จนถึงตอนนี้ Volkswagen ปฏิเสธที่จะแสดงความคิดเห็นว่าผู้ขายรายนี้ถูกแฮ็กอย่างไร โดยกล่าวว่าเป็นเพราะ “ข้อมูลอิเล็กทรอนิกส์ไม่ปลอดภัยในบางจุดระหว่างเดือนสิงหาคม 2019 ถึงพฤษภาคม 2021”

มีการสอบสวนหลายครั้งและโฟล์คสวาเกนถูกดำเนินคดีแบบกลุ่มเมื่อเดือนมิถุนายน พ.ศ. 2564

เราเรียนรู้อะไร?

ธุรกิจจำนวนมากจ้างหน่วยงานภายนอกในด้านต่างๆ ของการดำเนินงาน รวมถึงบริการด้านการตลาด

ก่อนที่จะเป็นพันธมิตรกับผู้ขาย องค์กรควรมั่นใจว่าพวกเขาจะปกป้องข้อมูลที่ได้รับมอบหมาย โดยเฉพาะอย่างยิ่งหากเกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า (PII)

สำหรับธุรกิจที่ดำเนินการในอุตสาหกรรมที่มีระเบียบข้อบังคับที่เข้มงวด เช่น การดูแลสุขภาพ พวกเขาควรระมัดระวังเป็นสองเท่าว่าใครเป็นพันธมิตรกับบริการ

กาเซยะ

เกิดอะไรขึ้น

ในเดือนกรกฎาคม พ.ศ. 2564 บริษัทซอฟต์แวร์ Kaseya พบว่าผู้ให้บริการที่มีการจัดการจำนวนหนึ่งและลูกค้าของพวกเขาตกเป็นเป้าหมายของแรนซัมแวร์ที่ส่งผลต่อโซลูชันการตรวจสอบและการจัดการระยะไกล (RMM) ของ Kaseya

Kaseya ระบุว่าระหว่าง 800 ถึง 1,500 ธุรกิจที่ใช้ซอฟต์แวร์ของตนได้รับผลกระทบจากการโจมตี โดยแฮกเกอร์เรียกร้องค่าไถ่ 70 ล้านดอลลาร์สำหรับข้อมูลที่เข้ารหัสเพื่อส่งคืนไปยัง MSP

Kaseya ตอบโต้ด้วยการปิดระบบก่อนที่จะมอบเครื่องมือตรวจจับการประนีประนอมให้กับผู้ใช้ ซึ่งช่วยให้พวกเขาทราบว่าพวกเขาได้รับผลกระทบหรือไม่

พวกเขาระบุว่าไม่มีการจ่ายค่าไถ่ให้กับแฮกเกอร์

มันเกิดขึ้นได้อย่างไร?

แฮกเกอร์ใช้ช่องโหว่ซีโร่เดย์เพื่อเลี่ยงผ่านโปรโตคอลการพิสูจน์ตัวตน และรันการดำเนินการคำสั่งตามอำเภอใจในผลิตภัณฑ์ตรวจสอบ VSA ระยะไกลของ Kaseya

สิ่งนี้ทำให้พวกเขาสามารถผลักดันการอัปเดตที่มีมัลแวร์ไปยังลูกค้า MSP ของ Kaseya และทำให้ติดไวรัสแรนซัมแวร์

เราเรียนรู้อะไร?

การหาประโยชน์แบบ Zero-day ซึ่งหมายถึงการใช้ประโยชน์จากช่องโหว่ใหม่ก่อนที่จะได้รับการแก้ไขและอัปเดต ยังคงเป็นปัญหาในการรักษาความปลอดภัยทางไซเบอร์

ปี 2564 เป็นปีที่ใหญ่ที่สุดเป็นประวัติการณ์สำหรับการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์

การโจมตีซีโร่เดย์เป็นเกมที่ต่อเนื่องของ whack-a-mole ที่วิศวกรเล่นกับแฮกเกอร์เพื่อป้องกันช่องโหว่เหล่านี้

เทคนิคการรักษาความปลอดภัยที่ใหม่กว่า โดยเฉพาะอย่างยิ่งที่ใช้รูปแบบพฤติกรรมและการเรียนรู้ของเครื่องเพื่อระบุภัยคุกคาม เป็นสิ่งจำเป็นในการหยุดการโจมตีซีโร่เดย์

ธุรกิจที่ยังไม่ได้ดำเนินการดังกล่าวควรพิจารณาลงทุนในเทคโนโลยีการไล่ล่าภัยคุกคาม เพื่อปกป้องระบบของตนอย่างแข็งขันด้วยเครื่องมือความปลอดภัยทางไซเบอร์เชิงรุกขั้นสูง

แพร่หลาย

เกิดอะไรขึ้น

Ubiquiti เป็นผู้ผลิตเทคโนโลยีสำหรับผู้บริโภคระดับไฮเอนด์ ซึ่งรวมถึงเราเตอร์ กล้องรักษาความปลอดภัย และอุปกรณ์ Internet of Things (IoT) อื่นๆ โดยเน้นที่ความปลอดภัย

ในเดือนมกราคม 2564 บริษัทแนะนำให้ผู้ใช้รีเซ็ตรหัสผ่านหลังจากประสบปัญหาการละเมิดที่เกี่ยวข้องกับผู้ให้บริการคลาวด์บุคคลที่สาม

ในเวลาต่อมา Ubiquiti บอกลูกค้าว่าชื่อ ที่อยู่อีเมล ข้อมูลประจำตัวที่แฮช และหมายเลขโทรศัพท์ถูกบุกรุก แต่ไม่ได้ให้รายละเอียดว่าลูกค้าได้รับผลกระทบกี่ราย

เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นเป็นประจำปรากฏเด่นชัดขึ้นอย่างมากเมื่อผู้แจ้งเบาะแสอ้างว่าเมื่อปลายเดือนมีนาคม พ.ศ. 2564 ว่าเหตุการณ์ดังกล่าวถูกมองข้ามและในความเป็นจริง "หายนะ"

มันเกิดขึ้นได้อย่างไร?

ผู้แจ้งเบาะแสอ้างว่าในความเป็นจริงแล้ว Ubiquiti โฮสต์ข้อมูลบนแพลตฟอร์ม AWS ของ Amazon แทนที่จะเป็นความผิดของผู้ขายรายอื่น

เห็นได้ชัดว่าแฮกเกอร์เข้าถึงฐานข้อมูลของผู้ดูแลระบบผ่านข้อมูลรับรอง LastPass ที่ถูกขโมย

หลังจากที่ข้อมูลถูกขโมย แฮกเกอร์ได้เรียกร้อง 50 bitcoin (BTC) (ประมาณ 2-3 ล้านเหรียญสหรัฐ) จาก Ubiquiti ซึ่งไม่ได้มีส่วนร่วมกับพวกเขา

อันเป็นผลมาจากการละเมิดและการสื่อสารที่สับสนและการส่งข้อความถึงลูกค้า ราคาหุ้นของ Ubiquiti ลดลง 25% และยังไม่ฟื้นตัว

เราเรียนรู้อะไร?

การควบคุมการเข้าถึงและนโยบายสำหรับซอฟต์แวร์ของบุคคลที่สามภายในองค์กรควรได้รับการตรวจสอบและบำรุงรักษา

ใครสามารถเข้าถึงอะไรและทำไม? นี่เป็นคำถามที่ธุรกิจถามตัวเองบ่อยเกินไป และมักจะนำไปสู่เวกเตอร์การโจมตีสำหรับอาชญากรไซเบอร์ที่เพิ่มขึ้น

นอกจากนี้ ในหลายกรณีเหล่านี้ การตรวจสอบสิทธิ์แบบหลายปัจจัยไม่ได้ใช้ ในกรณีนี้ ต้องใช้รหัสผ่านอย่างง่าย ซึ่งแฮกเกอร์สามารถเข้าถึงได้

หากพวกเขาต้องตรวจสอบสิทธิ์ผ่านโทรศัพท์ของพนักงานด้วย การโจมตีก็คงจะหยุดตายในเส้นทางนั้น

มิฉะนั้น การละเมิดของ Ubiquiti แสดงให้เห็นถึงความจำเป็นที่บริษัทต่างๆ จะต้องเผชิญหน้าอย่างตรงไปตรงมากับการโจมตี เนื่องจากความเสียหายต่อชื่อเสียงที่อาจมาจากเหตุการณ์ต่างๆ เช่น ผู้แจ้งเบาะแสที่เปิดเผยต่อสาธารณะอาจสร้างความเสียหายได้ โปรดระบุให้ชัดเจนและเปิดเผยให้ลูกค้าทราบอย่างชัดเจนถึงสิ่งที่พวกเขาจำเป็นต้องรู้ เป็นข้อมูลของพวกเขาและพวกเขาสมควรได้รับอะไรน้อย

บรรทัดล่าง

เราได้ตรวจสอบการรั่วไหลของข้อมูลที่ใหญ่ที่สุดในปี 2564

อย่างที่คุณเห็น การรั่วไหลของข้อมูลสามารถเกิดขึ้นได้เนื่องจากเวกเตอร์การโจมตีที่หลากหลาย และแต่ละอันเป็นอันตรายต่อการดำเนินธุรกิจอย่างมาก

การละเมิดแต่ละข้อที่เราตรวจสอบในวันนี้สามารถป้องกันได้ และมีวิธีแก้ไขที่สามารถทำให้ธุรกิจอยู่ในตำแหน่งที่ยอดเยี่ยมในการป้องกันการจู่โจม

องค์กรที่ไม่แน่ใจเกี่ยวกับโปรไฟล์ความปลอดภัยทางไซเบอร์ควรพิจารณาให้มีการประเมินความเสี่ยงเพื่อให้ได้รับแนวคิดที่ชัดเจนว่าต้องดำเนินการแก้ไขปัญหาใด เพื่อไม่ให้ตกเป็นเหยื่อเหมือนที่บริษัทเหล่านี้ทำในปี 2564

หากคุณต้องการความปลอดภัยทางไซเบอร์แต่ไม่แน่ใจว่าจะเริ่มต้นจากที่ใด ให้พิจารณาตรวจสอบความเสี่ยงโดย Impact ติดต่อวันนี้เพื่อรับลูกบอลกลิ้งในการรักษาความปลอดภัยในอนาคตของคุณ