نقض داده

پیکربندی نادرست در برنامه‌ی مدیریت پروژه‌ی سازمان ناسا و افشای اطلاعات کارکنان و پروژه‌ها

یک اشکال در پیکربندی برنامه‌ی داخلی با نام JIRA در شبکه‌ی داخلی سازمان ناسا وجود داشته و باعث شده اطلاعات حساس و مهم این سازمان به‌طور عمومی در دسترس قرار گرفته و هرکسی بتواند آن‌ها را مشاهده کند. این نرم‌افزار یک ابزار برای مدیریت پروژه محسوب می‌شود. اطلاعاتی که افشاء شده بسیار حساس و مهم هستند و از جمله‌ی آن‌ها می‌توان به اطلاعات کارکنان، جزئیات پروژه‌ها و اطلاعات شخصی کارمندان این سازمان اشاره کرد. 

 

نفوذگران در نظر دارند بخش اول از اسناد مربوط به حادثه‌ی ۱۱ سپتامبر را منتشر کنند

یک گروه نفوذ با نام Dark Overlord کلیدهای رمزگشایی برای بازیابی ۶۵۰ سند مربوط به حادثه‌ی تروریستی ۱۱ سپتامبر را منتشر کرده است. این گروه نفوذ ادعا می‌کند اسناد محرمانه‌ای را مربوط به این حادثه از یک شرکت بیمه بریتانیایی با نام Hiscox به سرقت برده است. این شرکت بیمه‌ای در ماه آوریل سال ۲۰۱۸ میلادی از وقوع یک نقض داده‌ی عظیم بر روی یکی از کارگزارهای خود خبر داده بود. در تاریخ ۳۱ دسامبر نیز این شرکت اعتراف کرد که در داده‌هایی که به سرقت رفته، اطلاعاتی در مورد حادثه‌ی یازده سپتامبر وجود دارد.

رسوایی دیگر برای فیس‌بوک: ارسال اطلاعات کاربران برنامه‌های اندرویدی برای فیس‌بوک

یک بار دیگر، رسوایی دیگری برای غول شبکه‌های اجتماعی فیس‌بوک رقم خورده است. در کنفرانس نفوذ 35C3  که در آلمان برگزار شده، گزارشی ارائه شده که نشان می‌دهد برنامه‌های شخص ثالث کاربران را ردیابی کرده و اطلاعات ردیابی و اطلاعات شخصی کاربران را برای فیس‌بوک ارسال می‌کنند. این فهرست دارای بیش از ۱۰ برنامه‌ی کاربردی اندرویدی است که از جمله‌ی آن‌ها می‌توان به برنامه‌های Shazam، Yelp و Kayak اشاره کرد. محققان اعلام کردند این جاسوسی با استفاده از کیت توسعه‌ی نرم‌افزاری فیس‌بوک که در اختیار توسعه‌دهندگان برنامه‌های کاربردی قرار گرفته، رخ می‌دهد.

نقض داده‌ای دیگر در کارگزارهای سازمان ناسا

نقض داده‌ای دیگر در کارگزارهای سازمان ناسا رخ داده است. در این نقض داده تمامی کارکنان فعلی و سابق این سازمان تحت تاثیر قرار گرفته‌اند و اطلاعات شخصی و قابل شناسایی آن‌ها افشاء شده است. آژانس اعلام کرد در تاریخ ۲۳ اکتبر این نقض داده را کشف کرده و از آن زمان به امن‌سازی کارگزارهای سازمان پرداخته ولی همچنان این روند ادامه دارد. لازم به ذکر است که در این نقض داده هیچ از مأموریت‌های فضایی ناسا تحت تاثیر قرار نگرفته است.

 

نقض داده‌ای دیگر در شبکه‌ی توییتر توسط مهاجمانِ تحت حمایتِ نهادهای دولتی

شبکه‌ی اجتماعی توییتر یک نقض داده‌ی جدید را تجربه کرده است. مسئولان این شبکه معتقدند این حمله توسط مهاجمانی انجام شده که توسط عوامل دولتی پشتیبانی می‌شوند. توییتر روز دوشنبه در یک پست وبلاگی این نقض داده را اطلاع‌رسانی کرد. گزارش‌ها حاکی از آن است این حمله با بهره‌برداری از یک آسیب‌پذیری در فرم‌های پشتیبانی توییتر و اشکال در واسط‌های برنامه‌نویسی آن رخ داده است. این آسیب‌پذیری مورد بهره‌برداری قرار گرفته و مهاجمان به اطلاعات کاربران دسترسی پیدا کرده‌اند. این فرم پشتیبانی برای ارسال مسائل و مشکلات مربوط به شبکه توسط کاربران ارائه شده بود. 

۳۰ درصد از حساب‌های رایانامه‌ی مدیرعامل‌ها در نفوذها آشکار شده‌اند

آدرس‌های رایانامه و گذرواژه‌های ۳۰ درصد از مدیرعامل‌های بزرگترین سازمان‌های دنیا، به‌واسطه‌ی یک سرویس آسیب‌دیده به سرقت رفته‌اند. با توجه به این‌که کاربران تمایل دارند که گذرواژه‌های ساده به کار برده و از گذرواژه‌های یکسان در حساب‌های کاربری متفاوت استفاده کنند، می‌فهمیم که حداقل برخی از مدیرعامل‌ها در معرض خطر جرایم سایبری یا گروه‌های نفوذ خارجی هستند و ممکن است حساب‌های رایانامه‌ی خود را از دست بدهند.

 

نمونه داده‌های Equifax که برای کلاه‌برداری استفاده می‌شوند، احتمالا از کارگزارهای شخص ثالث به دست آمده‌اند

کلاه‌برداران ماه پیش نمونه داده‌هایی را ارائه دادند که سعی می‌کنند با این ادعا که  این داده‌ها مربوط به سازمان اعتبارسنجی آمریکا، Equifax، است، از این داده‌ها سود ببرند. این داده‌ها ممکن است که از نمونه‌های خدمات وب محافظت‌نشده‌ی آمازون که متعلق به شرکت دیگری است، به دست آمده باشند. نفوذگران از یک آسیب‌پذیری آپاجی استراتس برای نفوذ در سامانه‌های Equifax استفاده کرده‌اند. آن‌ها از اواسط ماه می تا اواخر ماه ژوئیه به داده‌های این شرکت دسترسی داشته‌اند و احتمالا اطلاعات بیش‌از ۱۴۵ میلیون مصرف‌کننده در آمریکا، کانادا و انگلیس را به سرقت برده‌اند.

وب‌گاه Equifax کاربران را به یک به‌روزرسانی جعلی فلش که یک بدافزار تبلیغی برخط است، هدایت می‌کند

رندی آبرامز، تحلیل‌گر مستقل امنیتی، کشف کرد که سرویس سازمان اعتبارسنجی Equifax که برای دریافت گزارش‌های رایگان و تخفیف‌یافته‌ی اعتباری تنظیم شده بود، کاربران را به وب‌گاه‌هایی هدایت می‌کند که یک برنامه‌ی نصب فلش‌پلیر جعلی را ارائه می‌دهند. آبرامز در یک پست وبلاگی گفت: «زمانی‌که من سعی کردم تا گزارش اعتباری خود را از وب‌گاه Equifax پیدا کنم، روی یک پیوند Equifax کلیک کردم و به یک URL مخرب هدایت شدم.

شرکت Equifax ادعا می‌کند داده‌های ۷۰۰ هزار مشتری انگلیسی به سرقت رفته است

شرکت اعتباری Equifax بار دیگر مجبور شد تا تعداد مشتریانی که تحت تاثیر یک افشاء اطلاعاتی بزرگ قرار گرفتند را تصحیح کند. این شرکت این بار مدعی شده تقریبا اطلاعات شخصی ۷۰۰ هزار مشتری انگلیسی به سرقت رفته است. این شرکت در ابتدا ادعا کرد که تقریبا ۴۰۰ مشتری انگلیس در معرض افشاء قرار گرفتند که هفته گذشته گفت ۱۴۵٫۵ میلیون کاربر تحت تاثیر قرار گرفتند، یعنی ۲٫۵ میلیون بیش از چیزی که فکر می‌کردند.

 

اطلاعات Accenture از طریق مخزن‌های ذخیره‌سازی ابری محافظت‌نشده، افشاء شد

خدمات مشاوره‌ای و فناوری بزرگ Accenture اطلاعات حساسی را به‌طور ناخواسته با قراردادن آن‌ها در ۴ مخزن S3 وب سرویس آمازون افشاء کرد. مخزن‌های ذخیره‌سازی ابری در ۱۷ سپتامبر توسط کریس ویکرری از شرکت مقاومت سایبری UpGuard کشف شدند و چند روز پس از آن که ویکری از این یافته‌اش به Accenture اطلاع‌ داد، محافظت شدند. 

 

صفحه‌ها