Datainbrotten under 2020 fortsatte att slå igenom på rubrikerna och orsaka förödande konsekvenser för organisationer runt om i världen. Sedan början av året har Covid-19-pandemin fullständigt förändrat våra liv och skapat en idealisk miljö för cyberattacker och säkerhetsöverträdelser.
Under 2020 har det hittills varit så många som 726 miljoner cyberattacker , vilket avslöjar ett enormt antal 16 miljarder poster. Många branscher attackerades, men säkerhetsforskare fann att hälso- och sjukvårdssektorn var särskilt sårbar och stod för 12,3 % av de rapporterade dataintrången 2020.
Känslig information är en värdefull handelsvara och cyberkriminella är angelägna om att dra nytta av sårbarheter för att tjäna pengar och begå bedrägerier. Enligt Verizons rapport om utredningar om dataintrång 2020, drevs 86 % av årets dataintrång av ekonomisk vinning, vilket är en ökning med 15 % jämfört med 2019.
I rapporten drogs också följande slutsatser nätfiske attacker, utpressningstrojaner, skadlig kod och stulna lösenord fortfarande är de främsta sätten för angripare att komma åt företagens nätverk och system.
Nedan följer fem exempel på några av de mest framträdande säkerhetsbrotten 2020.
De fem största säkerhetsbrotten 2020
1. Marriott
I mars 2020 meddelade hotellkedjan Marriott att de hade drabbats av en allvarlig säkerhetsincident där uppgifter om mer än 5,2 miljoner gäster hade äventyrats. Genom att använda två anställdas inloggningsuppgifter kunde hackare stjäla känslig information från en app från en tredje part. Den personliga informationen omfattade namn, adresser, e-postadresser, telefonnummer, information om lojalitetskonton, företag, kön, födelsedatum, länkade lojalitetsprogram och nummer för flygbolag samt gästernas preferenser.
Företaget uppgav att ingen betalningsinformation, passinformation, nationellt ID eller körkortsnummer exponerades i dataintrånget.
Detta är andra gången Marriott drabbas av ett dataintrång inom två år. I november 2018 exponerade hackare personuppgifter för upp till 500 miljoner gäster. Den ICO har sedan dess bötfällt företaget med 124 miljoner dollar på grund av brister i systemsäkerheten. Det senaste intrånget kommer sannolikt att orsaka ytterligare skada och undergräva konsumenternas förtroende för hotellkedjan.
2. EasyJet
I maj 2020 avslöjade EasyJet att företaget hade utsatts för en cyberattack som avslöjade nio miljoner kunders e-postadresser och reseuppgifter. Flygbolaget bekräftade också att 2 208 kunder hade fått tillgång till sina kreditkortsuppgifter och CVV-säkerhetskoder.
Easyjet hävdade inledningsvis att det inte fanns några bevis för att de komprometterade kunduppgifterna hade missbrukats. Information som erhållits från Action Fraud tyder på att det har rapporterats om bedräglig verksamhet och identitetsstöld till följd av EasyJets intrång.
Trots att attacken ägde rum i januari tog det fyra månader innan flygbolaget offentliggjorde dataintrånget. I enlighet med GDPRär organisationer juridiskt skyldiga att rapportera ett dataintrång inom 72 timmar efter upptäckt. EasyJet hävdade att förseningen i rapporteringstiden berodde på attackens sofistikerade karaktär.
Det är troligt att företaget kommer att få betala betydande böter för dataintrånget. Mot bakgrund av Covid-19-pandemin har dock ICO meddelat att den skulle ta ett "empatiskt och proportionerligt" tillvägagångssätt för att bedöma rapporterade incidenter. Detta har lett till spekulationer om att flygbolaget kommer att få lägre böter på grund av det ökande trycket som flygindustrin för närvarande utsätts för.
3. MGM Resorts
I juli 2019 drabbades MGM Resorts av ett omfattande säkerhetsintrång efter att en hackare fick tillgång till en av hotellets molnservrar. Nyheten om dataintrånget avslöjades i februari 2020 när hackare läckte personuppgifter om 10,6 miljoner hotellgäster på den mörka webben. De uppgifter som avslöjades omfattade namn, hemadresser, telefonnummer, e-postadresser och födelsedatum för tidigare hotellgäster. Bland de högprofilerade gäster som påverkades av intrånget fanns Justin Bieber, Twitters vd Jack Dorsey och många tjänstemän vid statliga myndigheter.
Det har sedan dess visat sig att dataläckan var mycket större än vad som först rapporterades. Personuppgifter om över 142 miljoner gäster har dykt upp för 2 900 dollar på en marknadsplats för cyberbrottslighet på nätet. Företaget har bekräftat att de har underrättat berörda gäster och är övertygade om att inga finansiella uppgifter, betalkort eller lösenord var inblandade i intrånget.
4. Nintendo
I april 2020 meddelade Nintendo att 160 000 konton hade blivit utsatta för dataintrång. Säkerhetsincidenten var resultatet av en misstänkt attack medautentiseringsuppgifter . Med hjälp av ID-nummer och lösenord från en tidigare cyberattack kunde hackare få tillgång till användarkonton. Detta gjorde det sedan möjligt för dem att köpa digitala föremål och se känsliga uppgifter som namn, e-postadress, födelsedatum, kön och land.
Speljätten har sedan dess meddelat att ytterligare 140 000 konton har blivit utsatta för attacken, vilket innebär att det totala antalet hackade konton uppgår till 300 000. Företaget har återställt lösenordet för alla drabbade kunder och uppmanat användarna att inte använda samma lösenord för flera konton och tjänster.
5. Zoom
I april framkom det att den virtuella mötesappen Zoom hade drabbats av ett dataintrång som avslöjade inloggningsuppgifter för över 500 000 användare.
I ännu en attack med fyllda referenser verkar hackare ha fått tillgång till kontona genom att använda kombinationer av användarnamn och lösenord som erhållits vid tidigare dataintrång. Informationen fanns till salu på hackarforum på den mörka webben för så lite som 1 penny.
De komprometterade uppgifterna omfattade inloggningsuppgifter, e-postadresser, personliga mötes-URL:er och värdnycklar. Detta gjorde det möjligt för brottslingar att logga in och delta i möten eller använda den insamlade informationen för andra skadliga ändamål.
