Databrud i 2020 fortsatte med at ramme overskrifterne og få ødelæggende konsekvenser for organisationer over hele verden. Siden starten af året har Covid-19-pandemien fuldstændig forandret vores liv og skabt et ideelt miljø for cyberangreb og sikkerhedsbrud.
I 2020 har der indtil videre været så mange som 726 millioner cyberangreb , hvilket har afsløret et iøjnefaldende 16 milliarder optegnelser. Mens mange brancher blev angrebet, fandt sikkerhedsforskere, at de sundhedssektoren var særligt sårbar og tegnede sig for 12,3 % af de rapporterede databrud i 2020.
Følsomme oplysninger er en værdifuld vare, og cyberkriminelle vil gerne tjene penge på at afsløre sårbarheder for at tjene penge og begå svigagtige aktiviteter. Ifølge 2020 Verizon Data Breach investigations rapportvar 86 % af dette års databrud drevet af økonomisk vinding, hvilket er en stigning på 15 % i forhold til 2019.
Rapporten konkluderede også, at phishing angreb, ransomware, malware og stjålne software passwords fortsat er de vigtigste måder, hvorpå angribere får adgang til virksomheders netværk og systemer.
Nedenfor er 5 eksempler på nogle af de mest fremtrædende sikkerhedsbrud i 2020.
De 5 største sikkerhedsbrud i 2020
1. Marriott
I marts 2020 meddelte hotelkæden Marriott, at de havde været udsat for en alvorlig sikkerhedshændelse, som kompromitterede dataene for mere end 5,2 millioner gæster. Ved hjælp af to medarbejderes loginoplysninger var hackere i stand til at stjæle følsomme oplysninger fra en tredjepartsapp. De personlige oplysninger omfattede navne, adresser, e-mailadresser, telefonnumre, loyalitetskontoinformationer, firma, køn, fødselsdatoer, tilknyttede loyalitetsprogrammer og numre fra flyselskaber samt gæsternes præferencer.
Virksomheden oplyste, at ingen betalingsoplysninger, pasoplysninger, nationale ID-numre eller kørekortnumre blev afsløret i forbindelse med databruddet.
Det er anden gang, at Marriott har været udsat for et brud på datasikkerheden inden for to år. I november 2018 afslørede hackere personlige oplysninger om op til 500 millioner gæster. Den ICO har siden da givet virksomheden en bøde på 124 millioner dollars på grund af mangler i systemsikkerheden. Det seneste brud vil sandsynligvis forårsage yderligere skade og underminere forbrugernes tillid til hotelkæden.
2. EasyJet
I maj 2020 afslørede EasyJet, at selskabet havde været udsat for et cyberangreb, der afslørede ni millioner kunders e-mailadresser og rejseoplysninger. Flyselskabet bekræftede også, at 2 208 kunder havde fået adgang til deres kreditkortoplysninger og CVV-sikkerhedskoder.
I første omgang hævdede Easyjet, at der ikke var nogen beviser for, at de kompromitterede kundedata var blevet misbrugt. Men oplysninger, der er indhentet fra Action Fraud tyder på, at der er rapporteret om svigagtig aktivitet og identitetstyveri som følge af EasyJet-bruddet.
Selv om angrebet fandt sted i januar, tog det fire måneder, før flyselskabet offentliggjorde databruddet. I henhold til GDPRer organisationer lovmæssigt forpligtet til at rapportere et databrud senest 72 timer efter opdagelsen. EasyJet hævdede, at forsinkelsen i rapporteringstiden skyldtes angrebets sofistikerede karakter.
Det er sandsynligt, at virksomheden vil blive pålagt betydelige bøder for databruddet. I lyset af Covid-19-pandemien har ICO imidlertid erklæret at den vil anlægge en "empatisk og proportionel" tilgang til at vurdere rapporterede hændelser. Dette har ført til spekulationer om, at luftfartsselskabet vil få en mindre bøde på grund af det stigende pres, som luftfartsindustrien i øjeblikket er under.
3. MGM Resorts
I juli 2019 blev MGM Resorts udsat for et massivt sikkerhedsbrud, efter at en hacker fik adgang til en af hotellets cloud-servere. Nyheden om databruddet blev afsløret i februar 2020, da hackere lækkede personlige oplysninger om 10,6 millioner hotelgæster på det mørke net. De afslørede oplysninger omfattede navne, privatadresser, telefonnumre, e-mails og fødselsdatoer for tidligere hotelgæster. Blandt de højt profilerede gæster, der blev berørt af bruddet, var Justin Bieber, Twitter-chef Jack Dorsey og mange embedsmænd fra offentlige myndigheder.
Det har siden vist sig, at datalækket var meget større end oprindeligt rapporteret. De personlige oplysninger om over 142 millioner gæster er dukket op for 2.900 dollars på en online markedsplads for cyberkriminalitet. Virksomheden har bekræftet, at de har underrettet de berørte gæster og er overbevist om, at ingen finansielle data, betalingskort eller adgangskoder var involveret i bruddet.
4. Nintendo
I april 2020 meddelte Nintendo, at der var sket et databrud med 160.000 konti. Sikkerhedshændelsen var resultatet af en mistænkt angreb med fyldtelegitimationsoplysninger . Ved hjælp af ID-numre og adgangskoder fra et tidligere cyberangreb kunne hackere få adgang til brugerkonti. Dette gjorde det derefter muligt for dem at købe digitale genstande og se følsomme data, herunder navn, e-mailadresse, fødselsdato, køn og land.
Spilgiganten har siden annonceret, at yderligere 140.000 konti blev kompromitteret under angrebet, hvilket bringer det samlede antal hackede konti op på 300.000. Virksomheden har nulstillet adgangskoderne for alle berørte kunder og har opfordret brugerne til ikke at bruge den samme adgangskode på flere konti og tjenester.
5. Zoom
I april kom det frem, at den virtuelle mødeapp Zoom havde været udsat for et databrud, som afslørede loginoplysningerne for over 500.000 brugere.
I endnu et angreb med " credential stuffing" synes hackerne at have fået adgang til kontiene ved at bruge kombinationer af brugernavn og adgangskode, som er blevet fundet ved tidligere brud på datasikkerheden. Oplysningerne blev sat til salg på hackerfora på det mørke net for så lidt som 1 pence.
De kompromitterede data omfattede loginoplysninger, e-mailadresser, URL'er til personlige møder og værtsnøgler. Dette gjorde det muligt for kriminelle at logge ind og deltage i møder eller bruge de indsamlede oplysninger til andre skadelige formål.