Voor de afgelopen jarenTechCrunch heeft keek terug bij enkele van de ergste, slecht afgehandelde datalekken en beveiligingsincidenten in de hoop – misschien! – andere bedrijfsreuzen zouden hier gehoor aan geven en een aantal van dezelfde rampen van weleer vermijden. Tot absolute niemands verrassing vermelden we hier dit jaar opnieuw veel van hetzelfde slechte gedrag van een geheel nieuwe klasse bedrijven.
23andMe gaf gebruikers de schuld van het enorme datalek
Vorig jaar verloor genetische testgigant 23andMe de genetische en vooroudersgegevens van bijna 7 miljoen klanten, dankzij een datalek waarbij hackers bruut toegang tot duizenden accounts forceerden om gegevens van miljoenen anderen te verzamelen. 23andMe heeft multi-factor authenticatie te laat uitgerold, een beveiligingsfunctie die de accounthacks had kunnen voorkomen.
Binnen enkele dagen na het nieuwe jaar ging 23andMe ermee aan de slag het afwenden van de schuld voor de massale gegevensdiefstal van de slachtoffers, waarbij werd beweerd dat de gebruikers hun accounts niet voldoende hadden beveiligd. Advocaten die de groep van honderden 23andMe-gebruikers vertegenwoordigen die het bedrijf na de hack hebben aangeklaagd, zeiden dat het wijzen met de vinger ‘onzinnig’ was. Britse en Canadese autoriteiten kort daarna kondigde een gezamenlijk onderzoek aan naar het datalek van 23andMe vorig jaar.
23andMe later in het jaar heeft 40% van zijn personeel ontslagen terwijl het belegerde bedrijf een onzekere financiële toekomst tegemoet gaat – en dat geldt ook voor de enorme bank van de genetische gegevens van zijn klanten.
Het duurde maanden voordat Change Healthcare bevestigde dat hackers de meeste Amerikaanse gezondheidsgegevens hadden gestolen
Change Healthcare is een technologiebedrijf in de gezondheidszorg waar weinigen van hadden gehoord, totdat een cyberaanval het bedrijf dwong zijn hele netwerk af te sluiten. onmiddellijke en wijdverbreide storingen in de Verenigde Staten, waardoor een groot deel van het Amerikaanse gezondheidszorgsysteem tot stilstand komt. Change, eigendom van zorgverzekeraar UnitedHealth Group, verzorgt de facturering en verzekering voor duizenden zorgaanbieders en medische praktijken in de VS, en verwerkt jaarlijks ergens tussen een derde en de helft van alle Amerikaanse gezondheidszorgtransacties.
De manier waarop het bedrijf met de hack omgaat, veroorzaakt door een inbreuk op een basisgebruikersaccount met een gebrek aan meervoudige authenticatie – werd bekritiseerd door Amerikanen die hun medicijnen niet konden laten vullen of een ziekenhuisverblijf konden goedkeuren; getroffen gezondheidszorgaanbieders die failliet gingen als gevolg van de cyberaanval, en wetgevers die de CEO van het bedrijf ondervroegen over de hack tijdens een hoorzitting in het Congres in mei. Verander de gezondheidszorg betaalde de hackers een losgeld van $ 22 miljoen – waar de FBI al lang voor waarschuwt, helpt cybercriminelen alleen maar te profiteren van cyberaanvallen – alleen als dat nodig is een nieuw losgeld betalen vragen een andere hackgroep om zijn gestolen gegevens te verwijderen.
Uiteindelijk duurde het tot oktober – zo’n zeven maanden later – voordat bekend werd dat bij de cyberaanval van meer dan 100 miljoen mensen hun persoonlijke gezondheidsinformatie was gestolen. Toegegeven, het moet een tijdje hebben geduurd, want het was – in alle opzichten – de grootste datalek in de gezondheidszorg van het jaarals het niet ooit is.
De Synnovis-hack verstoorde de Britse gezondheidszorg maandenlang
De NHS heeft dit jaar maandenlang last gehad van ontwrichting nadat Synnovis, een in Londen gevestigde aanbieder van pathologiediensten, in juni werd getroffen door een ransomware-aanval. Door de aanval, opgeëist door de Qilin-ransomwaregroep, konden patiënten in het zuidoosten van Londen gedurende meer dan drie maanden geen bloedtesten krijgen van hun artsen, en leidde tot de annulering van duizenden poliklinische afspraken en meer dan 1.700 chirurgische ingrepen.
In het licht van de aanval, die deskundigen zou voorkomen kunnen worden als er sprake was geweest van tweefactorauthenticatie, zegt Unite, de grootste vakbond van Groot-Brittannië, aangekondigd dat het personeel van Synnovis in december vijf dagen zal staken. Unite zei dat het incident “een alarmerende impact had op het personeel dat maandenlang extra uren moest werken en geen toegang had tot essentiële computersystemen terwijl de aanval werd afgehandeld.”
Het is nog onbekend hoeveel patiënten door het incident worden getroffen. De Qilin-ransomwaregroep beweert 400 gigabyte aan gevoelige gegevens te hebben gelekt die naar verluidt van Synnovis zijn gestolen, waaronder patiëntnamen, registratienummers van gezondheidszorgsystemen en beschrijvingen van bloedtesten.
Hacks van Snowflake-klanten leidden tot grote datalekken
Cloud computing-gigant Snowflake bevond zich dit jaar in het middelpunt van een reeks massale hacks gericht op zijn zakelijke klanten, zoals AT&T, Ticketmaster en Santander Bank. De hackers, die dat wel waren later strafrechtelijk beschuldigd van de inbrakenbrak in met inloggegevens die waren gestolen door malware die werd aangetroffen op de computers van werknemers van bedrijven die afhankelijk zijn van Snowflake. Omdat Snowflake geen verplicht gebruik van multi-factor-beveiliging maakte, waren de hackers in staat in te breken in grote banken en deze te stelen. gegevens opgeslagen door honderden Snowflake-klanten en bewaar de gegevens voor losgeld.
Sneeuwvlok van zijn kant zei weinig over de incidenten destijdsmaar gaf toe dat de inbreuken werden veroorzaakt door een “gerichte campagne gericht op gebruikers met single-factor authenticatie.” Snowflake rolde later standaard multi-factor uit naar zijn klanten in de hoop herhaling van incidenten te voorkomen.
Columbus, Ohio klaagde een beveiligingsonderzoeker aan omdat hij naar waarheid rapporteerde over een ransomware-aanval
Toen de stad Columbus, Ohio afgelopen zomer melding maakte van een cyberaanval, kwam de burgemeester van de stad, Andrew Ginther, in actie om bezorgde bewoners gerust te stellen dat de gestolen stadsgegevens “versleuteld of beschadigd” waren en dat deze onbruikbaar waren voor de hackers die deze hadden gestolen. Ondertussen vond een beveiligingsonderzoeker die voor zijn werk datalekken op het dark web opspoort, bewijs dat de ransomware-ploeg had wel toegang tot de gegevens van bewoners – minstens een half miljoen mensen – inclusief hun burgerservicenummer en rijbewijs, evenals arrestatiegegevens, informatie over minderjarigen en overlevenden van huiselijk geweld. De onderzoeker waarschuwde journalisten voor de databron.
De stad succesvol een dwangbevel verkregen tegen de onderzoeker om bewijsmateriaal te delen dat hij van de inbreuk heeft gevonden, een stap die wordt gezien als een poging van de stad om de veiligheidsonderzoeker het zwijgen op te leggen dan om de inbreuk te herstellen. De stad achteraf liet zijn rechtszaak vallen.
Salt Typhoon heeft telefoon- en internetproviders gehackt dankzij een Amerikaanse achterdeurwet
Een 30-jarige achterdeurwet kwam terug om te bijten dit jaar na hackers, genaamd Salt Typhoon – een van de vele door China gesteunde hackgroepen de digitale basis leggen voor een mogelijk conflict met de Verenigde Staten – werden ontdekt in de netwerken van enkele van de grootste Amerikaanse telefoon- en internetbedrijven. De hackers bleken toegang te hebben tot de realtime metagegevens van oproepen, berichten en communicatie van hoge Amerikaanse politici en hoge functionarissen, waaronder presidentskandidaten.
Naar verluidt hebben de hackers ingebroken in een aantal afluistersystemen van de bedrijven, die de telecombedrijven moesten opzetten na het aannemen van de wet, genaamd CALEA, in 1994. Dankzij de voortdurende toegang tot deze systemen – en de gegevens die telecombedrijven bedrijven hechten waarde aan Amerikanen – de Amerikaanse overheid is dat ook adviseert nu Amerikaanse burgers en oudere Amerikanen om end-to-end gecodeerde berichtenapps te gebruiken zodat niemand, zelfs de Chinese hackers niet, toegang heeft tot hun privécommunicatie.
Moneygram heeft nog steeds niet gezegd van hoeveel mensen transactiegegevens zijn gestolen bij een datalek
MoneyGram, de Amerikaanse geldtransfergigant met ruim 50 miljoen klanten, werd in september getroffen door hackers. Het bedrijf bevestigd het incident meer dan een week later nadat klanten dagenlang onverklaarbare storingen hadden meegemaakt, waarbij alleen een niet-gespecificeerd ‘cyberbeveiligingsprobleem’ aan het licht kwam. MoneyGram zei niet of er klantgegevens zijn buitgemaakt, maar de Britse waakhond voor gegevensbescherming vertelde TechCrunch eind september maakte het bedrijf bekend dat het een datalekrapport had ontvangen van het Amerikaanse bedrijf, waaruit bleek dat klantgegevens waren gestolen.
Weken later, MoneyGram gaf toe dat hackers had tijdens de cyberaanval klantgegevens gestolen, waaronder burgerservicenummers en overheidsidentificatiedocumenten, evenals transactie-informatie, zoals datums en de bedragen van elke transactie. Het bedrijf gaf toe dat de hackers ook strafrechtelijke onderzoeksinformatie van “een beperkt aantal” klanten hadden gestolen. MoneyGram heeft nog steeds niet gezegd van hoeveel klanten gegevens zijn gestolen, of van hoeveel klanten het rechtstreeks op de hoogte heeft gesteld.
Hot Topic blijft stil nadat 57 miljoen klantgegevens online terechtkomen
Met 57 miljoen klanten getroffengaat de inbreuk op de Amerikaanse retailgigant Hot Topic in oktober de boeken in als een van de grootste inbreuken op retailgegevens ooit. Ondanks de enorme omvang van de inbreuk heeft Hot Topic het incident echter niet publiekelijk bevestigd, noch heeft het klanten of overheidskantoren van procureurs-generaal op de hoogte gebracht van de datalek. De retailer negeerde ook de meerdere verzoeken van TechCrunch om commentaar.
Site voor melding van inbreuken Ben ik gepwnddat een kopie van de geschonden gegevens bemachtigde, waarschuwde bijna 57 miljoen getroffen klanten dat de gestolen gegevens hun e-mailadressen, fysieke adressen, telefoonnummers, aankopen, hun geslacht en geboortedatum omvatten. De gegevens omvatten ook gedeeltelijke creditcardgegevens, waaronder het creditcardtype, de vervaldatum en de laatste vier cijfers van het kaartnummer.
