Ogni anno affidi alle aziende i tuoi dati. Ti fidi di loro per proteggerlo, tenerlo fuori dalle mani dei criminali informatici e adottare misure adeguate per garantire che i tuoi dati personali non siano disponibili a nessun criminale freelance con un portafoglio crittografico. E alcune di queste aziende falliscono, con il risultato che i dettagli dei clienti vengono venduti sul dark web o persino sul web aperto.
Quest'anno non è stato diverso dagli anni precedenti: sono cambiati solo i nomi e i dettagli dei peggiori trasgressori. Queste sono le più grandi violazioni dei dati del 2022, basate non solo sulla quantità di dati trapelati ma anche sul tipo di informazioni rubate.
1. Neopets: luglio 2022
Neopets è una piattaforma per animali domestici virtuale con centinaia di milioni di utenti e con due diversi tipi di valuta virtuale. Simile ai Tamagotchi di un tempo, gli utenti di Neopets devono accedere regolarmente per nutrire e prendersi cura dei loro cari virtuali, per timore che si ammalino e muoiano. Neopets è moderatamente controverso in quanto guadagna tramite pubblicità coinvolgente rivolta ai bambini e avendo una delle sue valute acquistabile con denaro reale.
A luglio, ha annunciato un portavoce di Neopets su Twitter che "i dati dei clienti potrebbero essere stati rubati". Successivamente è emerso che circa 69 milioni di account Neopets potrebbero essere stati compromessi. I dati rubati inclusi nomi utente, e-mail e password, date di nascita, paesi, codici postali e sessi erano offerto in vendita insieme all'accesso live al database, dove gli intrusi potrebbero alterare statistiche, animali domestici e in-game crediti. Tutto per quattro miseri Bitcoin (circa $ 65.000 in denaro di oggi).
L'incidente del 2022 è solo l'ultimo di una serie di gravi imbarazzi per la sicurezza di Neopets risalenti al 2014.
2. Fattorie di kiwi: settembre 2022
Lungi dall'essere un'impresa agricola per bacche grandi e commestibili, Kiwi Farms è il migliore forum della comunità noto come un paradiso di vetriolo e odio, dove gli utenti sono liberi di organizzare trolling, molestie e stalking. Originariamente formato per molestare un particolare artista, Kiwi Farms vanta 16.000 accessi attivi al giorno ed è stato collegato a più suicidi.
Il 19 settembre, il fondatore di Kiwi Farms, Joshua Moon ha scritto:
Il forum è stato violato. Dovresti assumere quanto segue.
Supponiamo che la tua password per Kiwi Farms sia stata rubata.
Supponi che la tua email sia trapelata.
Supponiamo che qualsiasi IP che hai utilizzato sul tuo account Kiwi Farms nell'ultimo mese sia trapelato.
L'attacco è stato possibile attraverso il uso improprio dei cookie di sessione, e potrebbe aver indotto alcuni membri del forum a riconsiderare la loro relazione con il sito tossico.
3. Distretto scolastico unificato di Los Angeles: settembre/ottobre 2022
Il gruppo di hacker legato alla Russia, Vice Society, era dietro questo hack di settembre che ha visto mezzo terabyte di dati dal distretto scolastico unificato di Los Angeles tenuto in ostaggio.
Né Vice Society né Los Angeles Unified School District hanno rivelato l'importo del riscatto e quando la scadenza del pagamento del 4 ottobre è passata, la società Vice ha scaricato l'intero tesoro da 500 GB sul loro dark web luogo.
Le informazioni includevano dettagli del passaporto, numeri di previdenza sociale, moduli fiscali, contratti, documenti legali, rapporti finanziari, dettagli del conto bancario, informazioni sulla salute, dati dei test COVID-19, precedenti rapporti di condanna e psicologia dello studente valutazioni.
Crypto.com è stato violato da criminali a gennaio e, sebbene il numero di utenti interessati fosse relativamente basso a 439, i ladri è riuscito a cavarsela con l'incredibile cifra di 30 milioni di dollari, di cui 4.836,26 Etherium, 443,93 Bitcoin e 66.200 dollari in altri valute.
Questo ha segnato l'inizio di un anno molto accidentato per gli investitori di criptovalute, con mesi successivi che hanno visto il prezzo di quasi tutte le monete precipitano attraverso il pavimento e il crollo di più di uno scambio di criptovalute.
L'hack potrebbe essere stata la cosa migliore che sarebbe potuta accadere agli investitori: se avessero incassato le loro criptovalute come non appena fossero stati rimborsati da crypto.com, i detentori di monete interessati sarebbero ora complessivamente migliori di $ 16,3 milioni spento.
5. Uber: settembre 2022
Uber fa appena a malapena questo elenco per l'attacco del settembre 2022, a cui si è unito un hacker di 18 anni lo Slack interno dell'azienda e ha inviato un messaggio a tutti i dipendenti, annunciando di aver subito un data violazione. I rapporti all'epoca indicavano che l'intruso era probabilmente in grado di accedere e modificare i servizi cloud di Uber, insieme a posta, cloud storage e repository di codice.
Ma la notizia più importante per Uber nel 2022 è che l'onnipresente società di ride hailing ha finalmente ammesso di essere stata violata nel 2016, con 57 milioni di utenti colpiti. L'ex chief security officer di Uber, Joe Sullivan, deve essere processato per la violazione.
(Dis) Menzioni d'onore: SuperVPN, GeckoVPN e ChatVPN
SuperVPN, GeckoVPN e ChatVPN sono state effettivamente violate nel 2021, rivelando una selezione di nomi completi, nomi utente, paese, dettagli di fatturazione, indirizzi e-mail, stringhe di password generate casualmente e altro da circa 21 milioni utenti. Poiché gli utenti VPN in genere utilizzano app VPN per mascherare la propria presenza, identità e posizione online, la perdita di dati è particolarmente preoccupante.
I dati sono stati messi in vendita sul dark web già nel 2021, ma sono stati scaricati gratuitamente in numerosi gruppi di Telegram nel maggio 2022.
Proteggiti dalle violazioni dei dati nel 2023
Naturalmente, le aziende non possono divulgare accidentalmente i tuoi dati o lasciarli vulnerabili a nefasti hack se non li hanno per cominciare, e dovresti fare attenzione a rivelare il meno possibile.
- Se sei preoccupato per la tua privacy o vuoi nascondere le tue attività online, dovresti farlo utilizzare una società VPN affidabile.
- Utilizzo alias di posta elettronica in modo che le aziende e le organizzazioni non abbiano accesso a un indirizzo che può essere utilizzato per altri scopi. Se alla fine subiranno una violazione dei dati, non ti importerà molto.
- Puoi usare carte di credito virtuali per effettuare acquisti una tantum. Se il numero della carta viene trapelato, i truffatori non possono utilizzarlo per svuotare i tuoi account.
- Genera password diverse e difficili da decifrare per ogni sito e servizio che utilizzi. Se hai problemi a ricordarli, usa un gestore di password come Bitwarden. Un fork di questo progetto, Vaultwarden, può anche essere ospitato autonomamente su un Raspberry Pi.
Gli hacker andranno a hackerare
La perdita delle credenziali dell'account, del denaro o dei dati personali a causa delle procedure di sicurezza inadeguate di un'azienda è uno dei costi potenziali per fare affari nel terzo decennio del 21° secolo. Cerca di utilizzare carte di credito virtuali e alias email quando puoi.
Non sono solo le aziende a essere attaccate. I criminali prendono di mira anche le persone e dovresti assicurarti che i tuoi dispositivi personali siano il più sicuri possibile.
