10 אירועי אבטחת המידע הגדולים של 2023

למאמר הבא
ESET

השנה הזאת היא שנה משמעותית נוספת בהיסטוריית אבטחת הסייבר. גורמי איום הגיעו לשגשוג בעקבות התרחשויות שונות שהובילו לאי-ודאות במקרו-כלכלה ובגאופוליטיקה, והשתמשו בכל הכלים והיכולות שלהם כדי לעקוף את ההגנות של עסקים וחברות. למשתמשים פרטיים, הייתה זו שנה נוספת שבה הם זפזפו בחרדה בין ידיעות חדשותיות כדי לראות אם המידע האישי שלהם נפגע.

על פי דוח חקירות דליפות המידע (Data Breach Investigations Report – DBIR) של חברת Verizon, גורמים חיצוניים אחראיים למרבית הדלפות המידע (83%), ורווח כספי הוא הסיבה המובילה כמעט לכל הדלפות המידע (95%). זו הסיבה לכך שמרבית התקריות שיופיעו ברשימה זו יהיו כופרות או מקרים של סחיטת נתונים גנובים. אך זה לא נכון לכלל המקרים. במקרים מסוימים הגורם לתקרית יכול להיות תקלת אנוש, או גורם זדוני פנימי. בנוסף, לעתים למתקפות יש השפעה יוצאת דופן, גם אם מספר הקורבנות של המתקפה קטן יחסית.

אם כן, אלו 10 תקריות אבטחת המידע הגדולות ביותר של 2023, בסדר אקראי:

1. MOVEit

למתקפה הזו, שהשורשים שלה נמצאים עוד במתקפת Lace Tempest (Storm0950) של קבוצת Clop, היו את כל הסממנים המוכרים של הקמפיינים הקודמים של הקבוצה – נגד Accellion FTA (ב-2020) ו-GoAnywhere MFT (ב-2023). אופן הפעולה הוא פשוט: שימוש בחולשת zero-day בתוכנה פופולרית כדי לקבל גישה לסביבת הלקוח, ולאחר מכן הדלפה של נתונים בכמות גדולה ככל האפשר כדי לדרוש כופר עבורם. עדיין לא ברור לחלוטין כמה נתונים נלקחו וכמה קורבנות ישנם, אך לפי חלק מההערכות מדובר ביותר מ-2,600 ארגונים ומעל 83 מיליון משתמשים שונים. זה שרבים מהארגונים האלה היו ספקי מוצרים או שירותים בעצמם רק הוסיף למידת ההשפעה של המתקפה.

2. ועדת הבחירות של הממלכה המאוחדת

הרגולטור העצמאי של הממלכה המאוחדת למימון מפלגות ובחירות חשף בחודש אוגוסט שגורמי איום גנבו מידע אישי של כ-40 מיליון מצביעים מרשומות הבחירות. נטען שמתקפת סייבר ״מורכבת״ הייתה אחראית לכך, אך בדוחות שפורסמו מאז עלתה טענה שמצב האבטחה היה גרוע – הארגון נכשל בביקורת אבטחה בסיסית של Cyber Essentials. ייתכן ששרת Microsoft Exchange שלא הותקנו בו טלאי אבטחה עדכניים אשם בכך, אך עדיין לא ברור מדוע נדרשו לוועדה 10 חודשים כדי להודיע על התקרית. בנוסף, נטען כי ייתכן שגורמי איום ניסו לחדור לרשת כבר באוגוסט 2021.

3. השירות המשטרתי של צפון אירלנד (PSNI)

התקרית הזאת מוגדרת כהדלפה פנימית וגם כתקרית עם מספר נמוך יחסית של קורבנות שסובלים באופן משמעותי מהשלכות התקרית. ה-PSNI הודיע באוגוסט על כך שאחד מעובדיו פרסם בטעות נתונים פנימיים רגישים באתר WhatDoTheyKnow בתגובה לבקשת חופש מידע. המידע כלל את השמות, הדרגות והמחלקות של כ-10,000 שוטרים ועובדים אזרחיים של השירות, ביניהם גם כאלה שעבדו בתפקידי בילוש ומודיעין. המידע אמנם היה זמין רק למשך זמן של שעתיים עד שהוסר, אך זה היה זמן ארוך מספיק להעברת המידע בין מתנגדי משטר רפובליקניים איריים. שני גברים שוחררו בערבות לאחר שהואשמו בעברות טרור.

4. DarkBeam

דליפת הנתונים הגדולה ביותר של השנה גרמה לחשיפה של 3.8 מיליארד רשומות ע״י פלטפורמת ניהול הסיכונים הדיגיטלית DarkBeam, לאחר שזו הגדירה באופן לא-תקין את ממשקי הצגת הנתונים Elasticsearch ו-Kibana. חוקר אבטחה הבחין בתקלת הפרטיות הזאת ודיווח לחברה, שתיקנה את הבעיה במהירות. עם זאת, לא ברור משך הזמן בו הנתונים היו חשופים, או אם גורם בעל כוונות זדוניות הצליח לגשת אליהם. באופן אירוני, מאגר הנתונים כלל כתובות דוא״ל וסיסמאות מתקריות הדלפות נתונים שונות, ביניהם כאלה שדווחו אך גם כאלה שעדיין לא דווחו. זו דוגמה נוספת שממחישה את הצורך בניטור מתמשך של מערכות כדי לאתר הגדרות לא מתאימות.

5. המועצה ההודית למחקר רפואי (ICMR) הדלפת ענק נוספת נחשפה באוקטובר, כשבמקרה הזה זו ההדלפה הגדולה ביותר בהודו, לאחר שגורם איום הציע למכירה מידע אישי של 815 מיליון תושבים. נראה שהנתונים הודלפו מבסיס הנתונים של ה-ICMR בנוגע לבדיקות קורונה, והוא כלל שמות, גילאים, מגדרים, מספרי דרכון ומספרי Aadhaar (מספר זהות ממשלתי). התקרית הזאת גורמת לנזק גדול במיוחד, מכיוון שהיא נותנת לפושעי סייבר את כל המידע שהם צריכים כדי לבצע מגוון רחב של מתקפות מסוג הונאת זהות. בהודו, ניתן להשתמש במספר ה-Aadhaar כתעודת זהות דיגיטלית, וכן עבור תשלום חשבונות ובדיקת מהימנות של לקוחות.

6. 23andMe

גורם איום טען שהצליח לגנוב כ-20 מיליון פיסות מידע מחברת הגנטיקה והמחקר האמריקאית 23andMe. נראה כי בהתחלה הם השתמשו בטכניקות ״העמסת פרטי גישה״ (ניסיונות גישה חוזרים ונשנים עם פרטי גישה שמיוצרים באופן שיטתי) כדי לגשת לחשבונות של משתמשים – כשהם משתמשים בפרטי גישה שהודלפו בעבר והיו בשימוש חוזר ב-23andMe. עבור משתמשים שהפעילו את שירות DNA Relatives באתר, גורם האיום היה מסוגל לגשת לנקודות נתונים רבות של קרובי משפחה פוטנציאליים ולאסוף מהם נתונים נוספים. בין הנתונים שפורסמו בתקרית הזו: תמונות פרופיל, מגדרים, שנות לידה, מיקומים ותוצאות אילן יוחסין גנטי.

7. מתקפות Rapid Reset DDoS

מקרה חריג נוסף, שכלל ניצול של חולשת zero-day בפרוטוקול HTTP/2 שנחשפה באוקטובר ואפשרה לגורמי איום לבצע את חלק ממתקפות ה-DDoS הגדולות ביותר שנראו מעולם. גורמים ב-Google אמרו שהמתקפות האלה הגיעו לקצב שיא של 398 מיליון בקשות בשנייה (RPS), לעומת השיא הקודם שעמד על 46 מיליון מתקפות לשנייה. ענקיות אינטרנט כמו Google ו-Cloudflare כבר הוציאו תיקון לפרצת האבטחה הזו, אך חברות שמנהלות את הנוכחות האינטרנטית שלהן בעצמן נאלצו לבצע תיקון דומה באופן מיידי.

8. T-Mobile

חברת התקשורת האמריקאית הזו חוותה מספר תקריות אבטחה בשנים האחרונות, אך התקרית שהם חשפו בינואר היא הגדולה ביותר עד כה. היא השפיעה על 37 מיליון משתמשים, וכללה כתובות, מספרי טלפון ותאריכי לידה שנגנבו ע״י גורמים זדוניים. תקרית נוספת שנחשפה באפריל השפיעה רק על 800 לקוחות אך כללה כמות גדולה בהרבה של נקודות נתונים, כמו מספרי זיהוי אישיים לחשבונות של T-Mobile, מספרי Social Security, פרטי תעודות זהות ממשלתיות, תאריכי לידה וקודים פנימיים בהם החברה משתמשת כדי לתת שירות לחשבונות לקוחות.

9. MGM International/Cesars

שניים מהשמות הגדולים ביותר בלאס ווגאס נפגעו בטווח של ימים ע״י כופרה של ALPHV/BlackCat המוכרת בשם Scattered Spider. במקרה של MGM, הם הצליחו לקבל גישה לרשת באמצעות מחקר קצר ב-LinkedIn, כשאחריו ביצעו מתקפת פישינג קולית שבה הם יצרו קשר עם הקורבן והתחזו לצוות ה-IT כדי לקבל את פרטי הגישה של הקורבן. עם זאת, ההדלפה גרמה לנזק כספי כבד לחברה. היא נאלצה לכבות מערכות IT משמעותיות שפגעו בפעילותם של מכונות הימורים, מערכות ניהול מסעדות ואפילו כרטיסים לפתיחת חדרים במשך ימים ארוכים. החברה העריכה את הנזק שנגרם בכ-100 מיליון דולר. במקרה של Cesars עלות התקרית אינה ברורה במלואה, אך החברה הודתה ששילמה לסוחטים סך של 15 מיליון דולר.

10. הדלפות הפנטגון

התקרית האחרונה ברשימה היא מקרה לדוגמה עבור הצבא האמריקאי ועבור כל ארגון גדול שחושש מגורמים זדוניים פנימיים. אדם בן 21 שחבר בכנף המודיעין של המשמר האווירי הלאומי של מסצ׳וסטס, ג׳ק טקסרה, הדליף מסמכים צבאיים רגישים במיוחד כדי לצבור מוניטין בקהילת ה-Discord שלו. המסמכים האלה שותפו לאחר מכן בפלטפורמות אחרות ופורסמו ע״י רוסים שעוקבים אחרי המלחמה באוקראינה. הם נתנו לרוסיה אוצר בלום של מודיעין צבאי עבור המלחמה באוקראינה, ופגעו במערכת היחסים של ארצות הברית עם בנות בריתה. למרבה הפלא, לטקסרה התאפשר להדפיס מסמכים מסווגים במיוחד ולקחת אותם עימו הביתה כדי לצלם ולהעלות אותם.