Database Security Digest – Luglio 2018
Dai un’occhiata ai maggiori incidenti di sicurezza dei database avvenuti a giugno 2018.
Typeform
Typeform è una nota azienda di software-as-a-service situata in Spagna. L’azienda aiuta a realizzare sondaggi online fornendo diversi moduli online. Tuttavia, l’azienda ha subito una violazione del suo database. Tutto ciò ha comportato il fatto che tutte le informazioni raccolte dai clienti di Typeform sono finite nelle mani di hacker sconosciuti che hanno avuto accesso a un file di backup datato 3 maggio. Questo database violato conteneva nomi, indirizzi email e tutte le informazioni inviate dagli utenti utilizzando i moduli di Typeform.
Typeform vanta circa 30.000 clienti paganti tra cui il servizio bancario mobile del Regno Unito, Monzo, che ha dichiarato che porrà fine ai rapporti con Typeform a seguito dell’incidente. Altri clienti includono o hanno incluso aziende ben note come Apple, Uber, Facebook, Adobe, Airbnb, WeTransfer, BBC, Trello, HubSpot, Indiegogo, Forbes e Freshdesk.
Sebbene Typeform affermi di fare tutto il possibile per affrontare la fonte di questa violazione dei dati, l’immagine dell’azienda è stata gravemente danneggiata.
Timehop Comunica una Violazione dei Dati che Ha Colpito 21 Milioni di Utenti
Nel luglio 2018 la startup Timehop ha informato di una violazione del database che ha compromesso i dati personali di tutta la sua base utenti (circa 21 milioni di utenti). Qualcuno è riuscito ad accedere a un database nell’ambiente di cloud computing di Timehop non protetto da autenticazione a più fattori. Le informazioni rubate potrebbero non sembrare particolarmente sensibili, ma rendono il cosiddetto furto d’identità solo una questione di tempo. Al momento, l’azienda è nel processo di adozione dell’identificazione a due fattori a livello generale e crittografia dei suoi database. Ovviamente, Timehop avrebbe dovuto prendere più seriamente la sicurezza dei dati!
1,5 Milioni di Pazienti Colpiti + un Primo Ministro
In una recente serie di attacchi ai fornitori di servizi sanitari in tutto il mondo, il più grande gruppo sanitario di Singapore, SingHealth, è stato vittima di hacker sconosciuti. Il database dell’azienda contenente informazioni su circa 1,5 milioni di pazienti è stato copiato. Anche le cartelle cliniche del primo ministro di Singapore sono state rubate. I seguenti dati personali sensibili sono stati rubati per ciascuno dei pazienti: nome, numero della Carta di Identità Nazionale, indirizzo, razza e genere, data di nascita. Gli investigatori affermano che l’attacco è stato accuratamente pianificato e condotto in modo professionale. L’attacco informatico è iniziato su una workstation front-end, dopo di che i criminali si sono impossessati di un account privilegiato e successivamente del database stesso.
Questo caso dimostra che tutti, anche primi ministri e presidenti, sono vulnerabili ai crimini informatici.
Quindi, signore e signori, proteggete le vostre informazioni personali e i vostri database!
Aggiornamenti di sicurezza dei database
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-3096https://nvd.nist.gov/vuln/detail/CVE-2018-3097
https://nvd.nist.gov/vuln/detail/CVE-2018-3098
https://nvd.nist.gov/vuln/detail/CVE-2018-3099
https://nvd.nist.gov/vuln/detail/CVE-2018-3100
https://nvd.nist.gov/vuln/detail/CVE-2018-3101
https://nvd.nist.gov/vuln/detail/CVE-2018-3102
https://nvd.nist.gov/vuln/detail/CVE-2018-3103
https://nvd.nist.gov/vuln/detail/CVE-2018-3104
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-12942PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2018-5384https://nvd.nist.gov/vuln/detail/CVE-2017-15097
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-3075https://nvd.nist.gov/vuln/detail/CVE-2018-3077
https://nvd.nist.gov/vuln/detail/CVE-2018-3078
https://nvd.nist.gov/vuln/detail/CVE-2018-3079
https://nvd.nist.gov/vuln/detail/CVE-2018-3080
https://nvd.nist.gov/vuln/detail/CVE-2018-3081
https://nvd.nist.gov/vuln/detail/CVE-2018-3082
https://nvd.nist.gov/vuln/detail/CVE-2018-3084
https://nvd.nist.gov/vuln/detail/CVE-2018-1999016
https://nvd.nist.gov/vuln/detail/CVE-2016-8647
IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1566https://nvd.nist.gov/vuln/detail/CVE-2018-1487
https://nvd.nist.gov/vuln/detail/CVE-2018-1458
MongoDB
https://nvd.nist.gov/vuln/detail/CVE-2017-2665https://nvd.nist.gov/vuln/detail/CVE-2018-13863