Selama beberapa tahun terakhir, TechCrunch telah melihat kembali beberapa pelanggaran data dan insiden keamanan terburuk yang ditangani dengan buruk dengan harapan — mungkin! — Perusahaan-perusahaan raksasa lainnya akan memperhatikan dan menghindari bencana yang sama seperti yang terjadi di masa lalu. Tidak mengherankan bagi siapa pun, tahun ini kami kembali mencatat perilaku buruk serupa yang dilakukan oleh perusahaan-perusahaan baru.
23andMe menyalahkan pengguna atas pelanggaran data besar-besaran
Tahun lalu, raksasa pengujian genetik 23andMe kehilangan data genetik dan keturunan dari hampir 7 juta pelanggan, akibat pelanggaran data yang menyebabkan peretas memaksa akses ke ribuan akun untuk mengikis data jutaan lainnya. 23andMe terlambat meluncurkan otentikasi multi-faktor, sebuah fitur keamanan yang dapat mencegah peretasan akun.
Dalam beberapa hari menjelang tahun baru, 23andMe mengalihkan tanggung jawab atas pencurian data besar-besaran kepada para korbannya, dengan mengklaim bahwa penggunanya tidak cukup mengamankan akun mereka. Pengacara yang mewakili kelompok ratusan pengguna 23andMe yang menggugat perusahaan tersebut setelah peretasan tersebut mengatakan bahwa tudingan tersebut “tidak masuk akal.” Pihak berwenang Inggris dan Kanada segera mengumumkan penyelidikan bersama terhadap pelanggaran data 23andMe tahun lalu.
23andMe pada akhir tahun ini memberhentikan 40% stafnya karena perusahaan yang terkepung ini menghadapi masa depan keuangan yang tidak menentu – begitu pula dengan banyaknya data genetik pelanggan perusahaan tersebut.
Change Healthcare membutuhkan waktu berbulan-bulan untuk mengonfirmasi bahwa peretas mencuri sebagian besar data kesehatan Amerika
Change Healthcare adalah perusahaan teknologi perawatan kesehatan yang belum banyak diketahui orang hingga bulan Februari ini ketika sebuah serangan siber memaksa perusahaan tersebut untuk menutup seluruh jaringannya, yang mengakibatkan pemadaman listrik secara langsung dan meluas di seluruh Amerika Serikat dan membuat sebagian besar sistem layanan kesehatan AS terhenti. Change, yang dimiliki oleh raksasa asuransi kesehatan UnitedHealth Group, menangani penagihan dan asuransi untuk ribuan penyedia layanan kesehatan dan praktik medis di seluruh AS, memproses antara sepertiga hingga setengah dari seluruh transaksi layanan kesehatan AS setiap tahunnya.
Penanganan peretasan oleh perusahaan tersebut – yang disebabkan oleh pelanggaran akun pengguna dasar karena kurangnya otentikasi multi-faktor – dikritik oleh orang Amerika yang tidak bisa mendapatkan obat-obatan mereka atau izin rawat inap di rumah sakit; berdampak pada penyedia layanan kesehatan yang bangkrut akibat serangan siber, dan anggota parlemen yang menanyakan kepada kepala eksekutif perusahaan tentang peretasan tersebut pada sidang kongres bulan Mei. Change Healthcare membayar para peretas uang tebusan sebesar $22 juta – yang telah lama diperingatkan oleh FBI hanya membantu penjahat dunia maya mendapatkan keuntungan dari serangan siber – namun mereka harus mengumpulkan uang tebusan baru untuk memintanya. lain kelompok peretas untuk menghapus data yang dicuri.
Pada akhirnya, dibutuhkan waktu hingga bulan Oktober – sekitar tujuh bulan kemudian – untuk mengungkap bahwa lebih dari 100 juta orang informasi kesehatan pribadinya dicuri dalam serangan siber. Memang benar, hal ini memakan waktu cukup lama, karena ini – secara keseluruhan – merupakan pelanggaran data layanan kesehatan terbesar tahun ini, atau bahkan tidak akan pernah terjadi.
Peretasan Synnovis mengganggu layanan kesehatan Inggris selama berbulan-bulan
NHS mengalami gangguan selama berbulan-bulan pada tahun ini setelah Synnovis, penyedia layanan patologi yang berbasis di London, terkena serangan ransomware pada bulan Juni. Serangan tersebut, yang diklaim oleh kelompok ransomware Qilin, menyebabkan pasien di London tenggara tidak bisa mendapatkan tes darah dari dokter mereka selama lebih dari tiga bulan, dan menyebabkan pembatalan ribuan janji rawat jalan dan lebih dari 1.700 prosedur bedah.
Mengingat serangan itu, yang mana para ahli hal ini bisa dicegah jika autentikasi dua faktor sudah diterapkan, Unite, serikat pekerja terkemuka di Inggris, diumumkan bahwa staf Synnovis akan mogok selama lima hari di bulan Desember. Unite mengatakan insiden tersebut memiliki “dampak yang mengkhawatirkan terhadap staf yang terpaksa bekerja berjam-jam dan tanpa akses ke sistem komputer penting selama berbulan-bulan sementara serangan tersebut ditangani.”
Masih belum diketahui berapa banyak pasien yang terkena dampak insiden tersebut. Kelompok ransomware Qilin mengklaim telah membocorkan 400 gigabyte data sensitif yang diduga dicuri dari Synnovis, termasuk nama pasien, nomor registrasi sistem kesehatan, dan deskripsi tes darah.
Peretasan pelanggan Snowflake berkembang menjadi pelanggaran data besar
Raksasa komputasi awan Snowflake tahun ini menjadi pusat serangkaian peretasan massal yang menargetkan pelanggan korporatnya, seperti AT&T, Ticketmaster, dan Santander Bank. Para peretas, yang kemudian didakwa secara pidana atas penyusupan tersebut, menerobos menggunakan detail login yang dicuri oleh malware yang ditemukan di komputer karyawan di perusahaan yang mengandalkan Snowflake. Karena kurangnya mandat penggunaan keamanan multi-faktor oleh Snowflake, para peretas mampu membobol dan mencuri sejumlah besar data yang disimpan oleh ratusan pelanggan Snowflake dan menyimpan data tersebut untuk mendapatkan uang tebusan.
Snowflake, pada bagiannya, tidak banyak bicara tentang insiden tersebut pada saat itu, namun mengakui bahwa pelanggaran tersebut disebabkan oleh “kampanye yang ditargetkan yang ditujukan pada pengguna dengan otentikasi satu faktor.” Snowflake kemudian meluncurkan multi-faktor secara default kepada pelanggannya dengan harapan menghindari kejadian serupa terulang kembali.
Columbus, Ohio menggugat seorang peneliti keamanan karena melaporkan serangan ransomware dengan jujur
Ketika kota Columbus, Ohio melaporkan serangan siber pada musim panas, Wali Kota Andrew Ginther berusaha meyakinkan penduduknya bahwa data kota yang dicuri “terenkripsi atau rusak,” dan data tersebut tidak dapat digunakan oleh peretas yang mencurinya. Sementara itu, seorang peneliti keamanan yang melacak pelanggaran data di web gelap untuk pekerjaannya menemukan bukti bahwa kru ransomware memang memiliki akses ke data penduduk – setidaknya setengah juta orang – termasuk nomor Jaminan Sosial dan SIM mereka. , serta catatan penangkapan, informasi tentang anak di bawah umur, dan penyintas kekerasan dalam rumah tangga. Peneliti mengingatkan wartawan tentang data tersebut.
Kota ini berhasil mendapat perintah menentang peneliti karena membagikan bukti yang dia temukan tentang pelanggaran tersebut, sebuah tindakan yang dipandang sebagai upaya pemerintah kota untuk membungkam peneliti keamanan tersebut daripada memulihkan pelanggaran tersebut. Kota nanti membatalkan gugatannya.
Salt Typhoon meretas penyedia telepon dan internet, berkat undang-undang pintu belakang AS
Undang-undang pintu belakang yang telah berusia 30 tahun kembali berlaku tahun ini setelah para peretas, yang dijuluki Salt Typhoon – salah satu dari beberapa kelompok peretas yang didukung Tiongkok yang meletakkan dasar digital untuk kemungkinan konflik dengan Amerika Serikat – ditemukan di jaringan beberapa negara. perusahaan telepon dan internet terbesar di AS. Para peretas ditemukan mengakses panggilan, pesan, dan metadata komunikasi real-time dari politisi senior AS dan pejabat tinggi, termasuk calon presiden.
Para peretas dilaporkan membobol beberapa sistem penyadapan telepon perusahaan, yang harus dibuat oleh perusahaan telekomunikasi setelah disahkannya undang-undang, yang disebut CALEA, pada tahun 1994. Kini, berkat akses berkelanjutan ke sistem ini – dan data yang dimiliki telekomunikasi yang disimpan oleh perusahaan di Amerika — pemerintah AS kini menyarankan warga AS dan warga lanjut usia di Amerika untuk menggunakan aplikasi pesan terenkripsi end-to-end sehingga tidak seorang pun, bahkan para peretas Tiongkok, dapat mengakses komunikasi pribadi mereka.
Moneygram masih belum mengatakan berapa banyak orang yang data transaksinya dicuri karena pelanggaran data
MoneyGram, raksasa pengiriman uang Amerika dengan lebih dari 50 juta pelanggan, diserang oleh peretas pada bulan September. Perusahaan mengkonfirmasi insiden tersebut lebih dari seminggu kemudian setelah pelanggan mengalami pemadaman listrik yang tidak dapat dijelaskan selama berhari-hari, dan hanya mengungkapkan “masalah keamanan siber” yang tidak dijelaskan secara spesifik. MoneyGram tidak mengatakan apakah data pelanggan telah diambil, namun pengawas perlindungan data Inggris mengatakan kepada TechCrunch pada akhir September bahwa mereka telah menerima laporan pelanggaran data dari perusahaan yang berbasis di AS, yang menunjukkan bahwa data pelanggan telah dicuri.
Beberapa minggu kemudian, MoneyGram mengakui bahwa peretas telah mencuri data pelanggan selama serangan siber, termasuk nomor Jaminan Sosial dan dokumen identitas pemerintah, serta informasi transaksi, seperti tanggal dan jumlah setiap transaksi. Perusahaan mengakui bahwa para peretas juga mencuri informasi investigasi kriminal pada “sejumlah terbatas” pelanggan. MoneyGram masih belum menyebutkan berapa banyak pelanggan yang datanya dicuri, atau berapa banyak pelanggan yang telah diberitahu secara langsung.
Topik Hangat tetap bungkam setelah 57 juta catatan pelanggan tersebar secara online
Dengan 57 juta pelanggan yang terkena dampaknya, pelanggaran terhadap raksasa ritel AS Hot Topic pada bulan Oktober dianggap sebagai salah satu pelanggaran data ritel terbesar yang pernah ada. Namun, meskipun pelanggaran ini berskala besar, Hot Topic belum secara terbuka mengkonfirmasi insiden tersebut, juga tidak memberi tahu pelanggan atau kantor jaksa agung negara bagian tentang pelanggaran data tersebut. Pengecer juga mengabaikan beberapa permintaan komentar dari TechCrunch.
Situs pemberitahuan pelanggaran Apakah saya telah ditipuyang memperoleh salinan data yang dibobol, memperingatkan hampir 57 juta pelanggan yang terkena dampak bahwa data yang dicuri mencakup alamat email, alamat fisik, nomor telepon, pembelian, jenis kelamin, dan tanggal lahir. Data tersebut juga mencakup sebagian data kartu kredit, termasuk jenis kartu kredit, tanggal kedaluwarsa, dan empat digit terakhir nomor kartu.
