Еще в прошлом году эксперты предсказывали, что 2018-й побьет все рекорды по количеству масштабных взломов и утечек личной информации пользователей. Предсказание сбылось. За последние три месяца мы стали свидетелями беспрецедентного числа скандалов. В них оказались заменены даже самые крупные компании и популярные ресурсы. Вот наиболее масштабные взломы и утечки, произошедшие с августа по октябрь.
Уязвимость Google Plus
В 2011 году Google запустил социальную сеть Google Plus, которая должна была конкурировать с Facebook и Twitter. Увы, популярной она так и не стала. компания, тем не менее, не закрыла проект, так что призрак Google Plus годами болтался на задворках пользовательских аккаунтов. И потихоньку сливал информацию.
Недавно на днях Wall Street Journal опубликовал информацию об уязвимости, которая позволяла разработчикам сторонних приложений получать доступ к некоторым пользовательским данным, даже если хозяин аккаунта не делал эту информацию общедоступной. Речь идет о профессии, возрасте и месте рождения пользователей. У экспертов нет информации о том, пользовался ли кто-нибудь этой “дырой” и, если пользовался, то насколько активно.
Поражает тут не столько потенциальный объем слитых данных, а тот факт, что уязвимость существовала с 2015 года и эксперты Google ее не замечали. Теперь компания наконец-то решила избавиться от бесполезной соцсети.
Уязвимость Facebook
Facebook вляпался в еще более неприятную ситуацию. В конце сентября стало известно, что хакеры скомпрометировали около 50 млн пользовательских аккаунтов. Безопасность еще 40 млн аккаунтов находится под вопросом.
Для взлома хакеры использовали дыру в функции View As. Функция позволяет проверить, как аккаунт выглядит для других пользователей сети. С помощью уязвимости хакеры похитили токены Facebook – эквивалент цифровых ключей, которые позволяют пользователям оставаться авторизованными. Из-за этого соцсеть была вынуждена приостановить работу функции View As.
Это - самая масштабная дыра в истории Facebook. Разбирательства ведутся по сей день и, по слухам, к ним привлечено правительство.
Кража данных покупателей магазина Newegg
Большой и популярный на Западе интернет-магазин электроники Newegg.com пал жертвой пятнадцати строк вредоносного кода. 13 августа злоумышленникам удалось встроить в страницу оплаты магазина парсер, сливающий платежные данные каждого пользователя, который пытался что-либо оплатить. Мошенничество вскрылось только 18 сентября. Пока неизвестно, сколько пользователей успели пострадать от этой атаки, но, по данным Similarweb, посещаемость Newegg составляет порядка 50 млн человек в месяц.
Скандал с Adware Doctor
Adware Doctor - платное приложение для macOS, долгое время занимавшее в App Store первое место среди платных продуктов для безопасности. Программа должна была защищать пользователей от вредоносного и рекламного ПО. Как выяснилось, помимо этого Adware Doctor собирал конфиденциальную информацию о своих пользователях (включая пароли и историю браузеров), а затем передавал эти данные в Китай.
Атака на T-Mobile
T-Mobile - один из крупнейших операторов мобильной связи во всем мире. В конце августа этот гигант также стал жертвой хакерской атаки. В руки неизвестных хакеров утекли имена, почтовые адреса, номера телефонов и почтовые индексы более 2 млн пользователей. Предположительно, атака была совершена через API компании.
Атака на Reddit
В августе хакерам удалось атаковать Reddit, одну из самых популярных социальных платформ мира. Хакеры использовали уязвимость в двухфакторной аутентификации и получили доступ к аккаунтам нескольких сотрудников компании. Затем они похитили самые разные данные: от исходных кодов, до email-адресов пользователей. Также известно, что в руки хакеров попал полный бэкап сайта за 2007 год. Из-за этого администрация рекомендовала всем пользователям-старожилам, зарегистрированным на Reddit до 2007 года, сменить пароли.
Атака на British Airways
Нападениям подвергаются не только интернет-компании. В период с 21 августа по 5 сентября хакеры похитили данные 400 тысяч клиентов, заказывавших авиабилеты на сайте и через мобильное приложение авиаперевозчика British Airways. Украденные данные включали персональную и финансовую информацию клиентов.
