Digest di Sicurezza del Database – Gennaio 2019
Si prega di dare un’occhiata ai maggiori incidenti di sicurezza del database di Gennaio 2019.
Tower of Salem
Mentre altre persone stavano godendo delle festività natalizie, più di 7,5 milioni di giocatori di un famoso gioco online Tower of Salem sono stati colpiti da una fuga di dati provocata dagli sviluppatori del gioco BlankMediaGames (BMG).
DeHashed, un fornitore di motori di ricerca di database hackerati, ha dichiarato in un post sul blog di aver ricevuto un’email anonima che offriva un’intera serie di dati appena trafugati.
L’azienda ha dichiarato che l’incidente è avvenuto a causa di una vulnerabilità di inclusione di file locale/remota.
I dati trapelati includono, ma non si limitano a: nomi utente, email, password, indirizzi IP, tutte le attività in-game e, cosa più importante, informazioni sui pagamenti. Il conteggio totale delle righe è: 8.388.894, con 7.633.234 indirizzi email unici.
Fortunatamente, BMG non memorizza informazioni su pagamenti e carte bancarie, ma le informazioni hackerate sopra menzionate potrebbero essere facilmente utilizzate per scatenare tentativi di phishing successivi.
Ci sono voluti alcuni giorni a BlankMediaGames per affrontare l’incidente. L’azienda si è scusata con tutti i suoi clienti, attribuendo la colpa al “momento terribile” dell’attacco.
202 Milioni di CV
Una semplice ricerca su BinaryEdge o Shodan può dare risultati molto interessanti. Per esempio, un enorme database MongoDB contenente CV dettagliati di oltre 202 milioni di cercatori di lavoro dalla Cina.
L’enorme collezione di 854GB conteneva dati su 202,7 milioni di individui cinesi in cerca di lavoro. I dati sensibili includevano numero di telefono cellulare, email, stato civile, figli, informazioni sulle opinioni politiche, altezza, peso, patente di guida, livello di alfabetizzazione, aspettative salariali e altre informazioni personali. I criminali informatici possono facilmente utilizzare e utilizzeranno queste informazioni in attacchi di phishing ben pianificati.
L’origine dei dati non è nota ma alcuni ricercatori di sicurezza informatica credono che tutte queste informazioni siano state estratte da siti di terze parti di curriculum vitae. Altri credono che questi dati provengano da un repository GitHub che conteneva il codice sorgente di un’app web con un modello simile a quello utilizzato nei CV trapelati.
Questo database è stato messo in sicurezza poco dopo che le informazioni sono state rese pubbliche su Twitter, ma non si sa per quanto tempo sia stato esposto. I ricercatori di sicurezza informatica affermano che potrebbe essere stato accessibile da almeno una dozzina di IP.
Google Multata Secondo il GDPR
In Francia, Google è stata multata per €50 milioni ($57 milioni, £44 milioni) in conformità con i requisiti normativi GDPR. Questo è successo perché l’azienda non ha notificato come vengono utilizzati i loro dati.
CNIL, il regolatore francese, ha imposto la multa dopo le denunce di due diritti, noyb e La Quadrature du Net (LQDN).
CNIL afferma di aver osservato due violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR).
Aggiornamenti di Sicurezza per i Database
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2019-2547https://nvd.nist.gov/vuln/detail/CVE-2019-2548
https://nvd.nist.gov/vuln/detail/CVE-2019-2549
https://nvd.nist.gov/vuln/detail/CVE-2019-2550
https://nvd.nist.gov/vuln/detail/CVE-2019-2552
https://nvd.nist.gov/vuln/detail/CVE-2019-2553
https://nvd.nist.gov/vuln/detail/CVE-2019-2554
https://nvd.nist.gov/vuln/detail/CVE-2019-2555
https://nvd.nist.gov/vuln/detail/CVE-2019-2545
https://nvd.nist.gov/vuln/detail/CVE-2019-2546
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2019-2529https://nvd.nist.gov/vuln/detail/CVE-2019-2537
https://nvd.nist.gov/vuln/detail/CVE-2017-18359
https://nvd.nist.gov/vuln/detail/CVE-2019-6799
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-14704https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2019-2420
https://nvd.nist.gov/vuln/detail/CVE-2019-2434
https://nvd.nist.gov/vuln/detail/CVE-2019-2435
https://nvd.nist.gov/vuln/detail/CVE-2019-2436
https://nvd.nist.gov/vuln/detail/CVE-2019-2455
https://nvd.nist.gov/vuln/detail/CVE-2019-2481
https://nvd.nist.gov/vuln/detail/CVE-2019-2482