SearchInform presentó el informe y resumen de las fugas de datos más grandes del 2017 que pusieron en riesgo a todos los habitantes del país, los datos de miles de millones de usuarios fueron filtrados.
Durante todo el año, los expertos de SearchInform monitorean las noticias sobre las fugas de información y entregan un resumen de los incidentes resonantes.
Volumen de los datos comprometidos
- “La madre de todas las filtraciones” 560 millones de correos electrónicos y sus claves fueron expuestas.
En mayo del 2017, el centro de estudios de seguridad Mac Keeper informó que encontrar
- Los datos personales de más de 198 millones de electores de los Estados Unidos se encontraban almacenados en la nube de Amazon y libremente accesibles.
La base, de al menos 1,1 Terabytes, incluía información personal y privada de los electores de la última campaña preelectoral de Donald Trump. El archivo además de los nombres, fechas de nacimiento, teléfonos, direcciones de domicilios, datos de registro electoral, contenía también información sobre sus puntos de vista políticos, raciales y religiosos.
La información de los 198 millones de ciudadanos, que representa el 62% de la población de Estados Unidos, no estaba protegida ni siquiera por contraseña.
Las autoridades federales detectaron dicha vulnerabilidad el 12 de junio del 2017, eliminando la fuga dos días después.
La responsabilidad de este incidente recayó en uno de encuestadores contratados por el Partido Republicano para la campaña preelectoral.
En la India se filtraron del sistema estatal de identificación biométrico Aadhaar los números de identificación única de más de 135 millones de ciudadanos
Aadhaar es el número de identidad única de 12 dígitos emitido por la Autoridad única de identificación de la India (UIDAI) que contiene información personal (nombres, teléfonos, dirección, etc.) y datos biométricos como el iris y la huella digital de los residentes de la India y es la base de información biométrica más grande del mundo.
Este número de identificación se utiliza como una tarjeta de identidad única en diferentes situaciones, desde comprar una tarjeta SIM hasta registrar los subsidios estatales, por lo que la filtración podría convertirse en una catarata de falsas identidades.
De acuerdo con datos del Centro de Estudios de Internet y Sociedad, (The Centre for Internet and Society, CIS), la causa de las fugas no pudo ser ni la vulnerabilidad del sistema ni un ataque exterior.
La responsabilidad por el incidente de mayo del 2017 es de los funcionarios que organizan la recolección y el procesamiento de los datos personales.
De alcance nacional
Los datos del seguro médico de todos los habitantes de Australia fueron puestos a la venta.
En julio del 2017 en uno de los foros populares de la Darknet, apareció un anuncio sobre la venta de datos pertenecientes a Medicare Australia, el sistema estatal de seguro médico.
El autor del anuncio comunicaba que estaba dispuesto a vender los datos personales de cualquier australiano del sistema médico por apenas 0,0089 bitcoins, cerca de 22 dólares.
Según el diario Guardian de Australia, en diez meses el anunciante logró vender no menos de 75 archivos que contenían suficiente información como para crear tarjetas falsas del Medicare con información real.
Se desconoce aún cómo el autor del anuncio tuvo acceso a una base de datos de Medicare. La investigación del incidente continúa. El periodista del Guardian Australia comentó que se aprovechó una vulnerabilidad en el sistema informático de la organización gubernamental.
La base de datos personales de casi todos los habitantes de Malasia fue puesta a la venta por un bitcoin.
En noviembre de 2017, se registró una de las mayores filtraciones de datos de clientes en Asia.
La base era ofrecida en las Darknet e incluía 46,2 millones de teléfonos móviles, datos de las tarjetas SIM, datos del domicilio y los números de los documentos de identidad de los clientes de doce operadores locales de telefonía celular.
Sólo como referencia, la población de Malasia apenas supera los 31 millones de habitantes.
El Ministerio de Comunicaciones de ese país analiza donde se originó la fuga.
Aunque considera como probable que el atacante haya sido interno realizado por un empleado de una empresa contratada para el procesamiento de los datos para la Comisión de Malasia para las Comunicaciones y Multimedia (MCMC).
Los datos personales de millones de ciudadanos suecos se filtraron por descuido de un integrador informático.
El departamento de transporte de Suecia celebró un contrato con IBM para el mantenimiento de la base de datos de transporte del país. En este acuerdo la agencia transfiere al contratista la base de datos permiso de conducir suecos, cuestionarios y información sobre los vehículos.
Para realizar la tarea IBM contrató a especialistas en Rumania y la República Checa.
Una filtración masiva de datos secretos, la información sobre la condena de ciudadanos suecos y de investigaciones en curso, información sobre la comunicación entre el departamento de transporte y otras autoridades suecas estuvieron expuestas y a disposición del público. Además, estaba disponible información sobre todos los vehículos en el país, incluida los de la policía, los militares y de inteligencia, fotos, nombres y direcciones de millones de suecos se filtraron desde esos países.
La fuga de datos fue descubierta en el 2016 y como resultado de la investigación el director de la agencia fue multado con 70 mil coronas suecas (7 mil quinientos euros) y despedido.
El 27 de julio del 2017 debido al revuelo causado por la fuga de datos, perdieron sus puestos los ministros del Interior e Infraestructura.
Por el tamaño de las pérdidas
La red de supermercados estadounidense Target pagó 75 millones de dólares por una filtración de datos de cuatro años de antigüedad.
La sexta empresa por tamaño en ventas al detal de Estados Unidos cometió un grave error en diciembre del 2013. La vulnerabilidad de sus terminales de pago fue la causa de la fuga de los datos de más de 40 millones de tarjetas bancarias.
Un mes después la cantidad de afectados alcanzó los 70 millones y Target compensó a los bancos con 39 millones, a los afectados con 10 y a los abogados con 6,75.
En mayo del 2017 la empresa pagó además dieciocho y medio millones de dólares como multa. La dirección de la empresa llegó a un acuerdo con los fiscales generales de 47 estados y con el Distrito de Columbia.
El total de lo pagado en multas se distribuyó proporcionalmente entre los estados, siendo el “costo” total de un solo incidente, incluida la multa, 74,75 millones de dólares.
El acuerdo de Target con las autoridades se convirtió en el trato más grande en la historia reciente de Estados Unidos.
Los gastos relacionados con la filtración de datos en la oficina de créditos Equifax exceden los 100 millones de dólares.
Un grupo de malintencionados penetró la red de la empresa en mayo del 2017 y durante tres meses dispusieron sin impedimentos alguna de la información personal de al menos 143 millones de clientes.
Entre los datos figuraban los nombres, fechas de nacimiento, direcciones, números de seguro social y en algunos casos los requisitos de las tarjetas bancarias.
Se sabe que la filtración se dio como resultado de un ataque exterior pero los implicados aprovecharon la vulnerabilidad de la plataforma Apache Struts para la creación de aplicaciones web.
No obstante, de esta falla se tenía conocimiento con un mes de antelación al incidente.
Después del suceso el equipo Hold Security inició la investigación en otras empresas de Equifax, entre los cuales estaba la filial en la Argentina.
Recortaron la dirección URL del servicio local encargado de los reclamos y terminaron en el portal interno Veraz.
Entraron al sistema empleando el usuario “admin” y la clave “admin”. En riesgo aparecieron los números de identificación de al menos 14 mil argentinos y una fuga de información que potencialmente afectaría a decenas de miles de clientes.
Los abogados calcularon el costo de tal descuido de la base de datos de la historia crediticia en 70 millones de dólares en compensaciones.
La investigación se lleva a cabo con la participación de órganos estatales a nivel federal.
Las acciones de la empresa siguen perdiendo valor y la ganancia neta se redujo en 28%.
De acuerdo con cálculos de la empresa los gastos derivados de multas y demandas superan los 100 millones de dólares.
Como resultado de las fugas de información el negocio de Yahoo! perdió el 87% de su valor en el mercado.
La decisión se tomó el 30 de agosto del 2017 en el juzgado del circuito de San José, estado de California. La empresa responderá por tres grandes fugas de información y su ocultamiento por más de tres años.
El primer incidente se produjo en 2013 cuando se filtraron más de mil millones de cuentas.
En el 2014 estuvieron en riesgo los datos de más de 500 millones de cuentas.
La tercera infracción sucedió entre los años 2015 y 2016.
Poco después de que los incidentes salieran a la luz, Verizon Communications Inc compró el negocio de Internet de Yahoo! con una significativa reducción al precio inicial de 37.000 millones de dólares, pagando cerca de 4.760 millones. Sin embargo, los inminentes litigios traerán a la empresa importantes gastos.
El abogado de los demandantes y el director del comité ejecutivo a cargo de la causa penal declararon que esta es la más grande violación de confidencialidad de la historia.
En la declaración de 93 páginas de la decisión judicial, se indica que los datos de algunos de los afectados ya eran usados por estafadores y que podían seguir usándolos después.
De la declaración de los demandantes se concluye además que algunos de los afectados tuvieron que incurrir en gastos para proteger su información personal.