Riepilogo della Sicurezza del Database – Giugno 2018
Dai un’occhiata ai principali incidenti di sicurezza del database di giugno 2018.
Exactis
Exactis è una società di marketing e aggregazione di dati di cui probabilmente non hai mai sentito parlare. Ma assicurati che questa azienda sappia molte cose su di te. Un ricercatore di sicurezza ha scoperto che il database di questa azienda è stato lasciato senza protezione su un server pubblicamente accessibile. Questo database contiene circa 340 milioni di record. La maggior parte di essi sono record di consumatori.
Fortunatamente, i dati nel database di Exactis non contenevano numeri di previdenza sociale (SSN) o informazioni sulle carte bancarie. Ma contenevano altri tipi di informazioni personali identificabili come telefoni, indirizzi di casa ed email. Queste informazioni possono essere facilmente utilizzate per furto d’identità.
E rimarrai sorpreso da quanto Exactis sappia su di te. Ogni record di consumatore era descritto utilizzando più di 400 variabili. Quindi l’azienda sa quali hobby hanno le persone, le loro opinioni religiose e politiche, lo stato civile, gli animali domestici (se presenti), le abitudini d’acquisto, ecc.
Ciò che è davvero sorprendente è che queste informazioni personali erano facilmente hackerabili!
Ticketfly
Ticketfly è una società che ci vende biglietti per diversi eventi. All’inizio di giugno è diventato noto che un hacker ha preso il controllo del sito web della società chiedendo un pagamento in bitcoin per rilasciarlo e condividere dettagli sulla vulnerabilità del sito web. Tuttavia, la direzione della società ha rifiutato di fare questo tipo di accordo e lo sconosciuto hacker ha pubblicato dati degli utenti su internet. Dopo questo, Ticketfly ha messo offline il proprio sito web come misura di sicurezza.
È stato riportato che questa violazione dei dati potrebbe aver esposto facilmente i dati di 26 milioni di clienti Ticketfly. I dati includono email, indirizzi di casa e di fatturazione, numeri di telefono, ecc. Si ritiene che le informazioni sulle carte bancarie e le password dei clienti di Ticketfly non siano state compromesse, ma non si può mai essere sicuri.
Questa violazione dei dati di Ticketfly e la successiva disattivazione del sito web hanno lasciato i promotori di eventi, club musicali e comici senza un quadro chiaro di quanti biglietti siano stati venduti, interrompendo ovviamente i loro affari.
Dixons Carphone
Dixons Carphone è un rivenditore e fornitore multinazionale di servizi di elettronica e telecomunicazioni con sede a Londra. All’inizio di questo mese è diventato noto che la società è stata hackerata. Sono state trapelate informazioni su quasi 6 milioni di carte bancarie. L’hacker (o gli hacker) ha ottenuto anche nomi, indirizzi email e accessi.
Questo incidente segue la violazione del 2015 per la quale la società è stata multata di £400,000 e ora le autorità stanno guardando molto da vicino il motivo per cui ciò sta accadendo di nuovo e perché non sono state adottate misure precauzionali contro le perdite di dati. Dixons Carphone è stato fortunato che questo incidente sia accaduto prima dell’introduzione del GDPR che promette multe molto più alte per incidenti di perdita di dati come questo.
Aggiornamenti sulla sicurezza dei database
SAP HANA
https://nvd.nist.gov/vuln/detail/CVE-2018-2424https://nvd.nist.gov/vuln/detail/CVE-2018-2425