MOVEit وCapita وCitrixBleed والمزيد: أكبر خروقات البيانات لعام 2023
هذا العام 2023، كان عامًا جحيمًا لانتهاكات البيانات، تمامًا مثل العام الذي سبقه (والعام الذي سبقه، وما إلى ذلك). على مدار الـ 12 شهرًا الماضية، شهدنا تكثيف المتسللين لاستغلالهم للأخطاء الموجودة في أدوات نقل الملفات الشائعة لاختراق آلاف المؤسسات؛ وتتبنى عصابات برامج الفدية تكتيكات عدوانية جديدة تهدف إلى ابتزاز ضحاياها؛ ويستمر المهاجمون في استهداف المؤسسات التي تعاني من نقص الموارد، مثل المستشفيات، لتسلل بيانات حساسة للغاية، مثل معلومات الرعاية الصحية للمرضى وتفاصيل التأمين.
في الواقع، وفقًا لبيانات شهر أكتوبر الصادرة عن وزارة الصحة والخدمات الإنسانية الأمريكية (HHS)، أثرت خروقات الرعاية الصحية على أكثر من 88 مليون فرد، بزيادة قدرها 60٪ مقارنة بالعام الماضي. وهذا لا يشمل حتى الشهرين الأخيرين من العام.
لقد جمعنا أكثر انتهاكات البيانات تدميراً في عام 2023. ونأمل ألا نضطر إلى تحديث هذه القائمة قبل انتهاء العام…
فورترا اذهب في أي مكان
بعد أسابيع قليلة من عام 2023، استغل المتسللون ثغرة يوم الصفر التي أثرت على برنامج نقل الملفات المُدار GoAnywhere التابع لشركة Fortra، مما سمح باختراق جماعي لأكثر من 130 شركة. عُرفت هذه الثغرة الأمنية، التي تم تتبعها باسم CVE-2023-0669، باسم “يوم الصفر” لأنه تم استغلالها بشكل نشط قبل أن يتوفر لدى Fortra الوقت الكافي لإصدار التصحيح.
وسرعان ما تمت المطالبة بالاختراقات الجماعية التي استغلت هذا الخلل الحرج في الحقن عن بعد من قبل عصابة Clop لبرامج الفدية والابتزاز سيئة السمعة، والتي سرقت بيانات من أكثر من 130 منظمة ضحية. ومن بين المتأثرين شركة NationBenefits، وهي شركة تكنولوجيا مقرها فلوريدا تقدم مزايا تكميلية لأعضائها الذين يزيد عددهم عن 20 مليونًا في جميع أنحاء الولايات المتحدة؛ “برايت لاين”، مزود التدريب والعلاج الافتراضي للأطفال؛ عملاق التمويل الكندي Investissement Québec؛ شركة هيتاشي للطاقة ومقرها سويسرا؛ ومدينة تورنتو، على سبيل المثال لا الحصر.
وكما كشفت TechCrunch في مارس، بعد شهرين من ظهور أخبار الاختراقات الجماعية لأول مرة، علمت بعض المنظمات الضحية أن البيانات قد تم تسريبها من أنظمة GoAnywhere الخاصة بها بعد أن تلقت كل منها طلب فدية. وكانت شركة Fortra، الشركة التي طورت أداة GoAnywhere، قد أخبرت هذه المنظمات سابقًا أن بياناتها لم تتأثر بالحادث.
البريد الملكي
كان شهر يناير شهرًا مزدحمًا بالهجمات الإلكترونية، حيث شهد أيضًا تأكيد شركة البريد البريطانية العملاقة Royal Mail أنها كانت ضحية لهجوم فدية.
تسبب هذا الهجوم الإلكتروني، الذي أكدته شركة Royal Mail لأول مرة في 17 يناير، في انقطاع لعدة أشهر، مما جعل عملاق البريد البريطاني غير قادر على معالجة أو إرسال أي رسائل أو طرود إلى وجهات خارج المملكة المتحدة. وشهدت الحادثة، التي أعلنت مسؤوليتها عن عصابة LockBit المرتبطة ببرامج الفدية المرتبطة بروسيا، سرقة بيانات حساسة، نشرتها مجموعة القراصنة على موقع تسريب الويب المظلم الخاص بها. وتضمنت هذه البيانات معلومات فنية، وسجلات تأديبية للموارد البشرية والموظفين، وتفاصيل الرواتب ومدفوعات العمل الإضافي، وحتى سجلات التطعيم ضد فيروس كورونا لأحد الموظفين.
لا يزال النطاق الكامل لخرق البيانات غير معروف.
3CX
يتم استخدام شركة تصنيع أنظمة الهاتف القائمة على البرامج 3CX من قبل أكثر من 600000 مؤسسة حول العالم مع أكثر من 12 مليون مستخدم نشط يوميًا. ولكن في شهر مارس، تعرضت الشركة للاختراق من قبل قراصنة كانوا يتطلعون إلى استهداف عملائها من خلال زرع برامج ضارة في برنامج العميل 3CX أثناء تطويره. يُعزى هذا الاختراق إلى Labyrinth Chollima، وهي وحدة فرعية من مجموعة Lazarus Group سيئة السمعة، وهي وحدة القرصنة الحكومية الكورية الشمالية المعروفة باختراقاتها الخفية التي تستهدف بورصات العملات المشفرة.
حتى يومنا هذا، من غير المعروف عدد عملاء 3CX الذين تم استهدافهم بهذا الهجوم الوقح على سلسلة التوريد. ومع ذلك، فنحن نعلم أن هجومًا آخر على سلسلة التوريد تسبب في الاختراق. وفقًا لشركة Mandiant المملوكة لشركة Google Cloud، قام المهاجمون باختراق 3CX عن طريق إصدار ملوث بالبرامج الضارة من برنامج X_Trader المالي الموجود على الكمبيوتر المحمول الخاص بموظف 3CX.
فرد
شهد شهر إبريل/نيسان قيام قراصنة باختراق شركة Capita العملاقة في مجال الاستعانة بمصادر خارجية في المملكة المتحدة، والتي من بين عملائها خدمة الصحة الوطنية ووزارة العمل والمعاشات التقاعدية في المملكة المتحدة. امتدت تداعيات هذا الاختراق لعدة أشهر، حيث علم المزيد من عملاء Capita أن البيانات الحساسة قد سُرقت، بعد عدة أسابيع من حدوث الاختراق لأول مرة. كان نظام التقاعد الجامعي، وهو أكبر مزود خاص للمعاشات التقاعدية في المملكة المتحدة، من بين المتضررين، حيث أكد في مايو أنه من المحتمل الوصول إلى التفاصيل الشخصية لـ 470 ألف عضو.
كان هذا مجرد حادث الأمن السيبراني الأول الذي يضرب شركة كابيتا هذا العام. بعد فترة وجيزة من الاختراق الضخم للبيانات الذي تعرضت له شركة Capita، علمت TechCrunch أن عملاق الاستعانة بمصادر خارجية ترك آلاف الملفات، التي يبلغ إجمالي حجمها 655 غيغابايت، مكشوفة للإنترنت منذ عام 2016.
نقله
لا يزال الاستغلال الجماعي لـ MOVEit Transfer، وهي أداة شائعة أخرى لنقل الملفات تستخدمها المؤسسات لمشاركة الملفات بشكل آمن، هو الانتهاك الأكبر والأكثر ضررًا لعام 2023. بدأت تداعيات هذه الحادثة – التي لا تزال مستمرة – في مايو عندما كشفت شركة Progress Software ثغرة أمنية ذات تصنيف حرج في يوم الصفر في نقل MOVEit. سمح هذا الخلل لعصابة Clop بتنفيذ جولة ثانية من عمليات الاختراق الجماعية هذا العام لسرقة البيانات الحساسة لآلاف من عملاء MOVEit Transfer.
وفقًا لأحدث الإحصائيات، فقد أدى خرق MOVEit Transfer حتى الآن إلى مقتل أكثر من 2600 منظمة ضحية، حيث تمكن المتسللون من الوصول إلى البيانات الشخصية لما يقرب من 84 مليون فرد. ويشمل ذلك وزارة النقل في ولاية أوريغون (سرقت 3.5 مليون سجل)، ووزارة سياسة وتمويل الرعاية الصحية في كولورادو (أربعة ملايين)، وعملاق مقاولات الخدمات الحكومية الأمريكية ماكسيموس (11 مليونا).
مايكروسوفت
في سبتمبر/أيلول، حصل المتسللون المدعومون من الصين على مفتاح توقيع بريد إلكتروني حساس للغاية من Microsoft، مما سمح للمتسللين باقتحام العشرات من صناديق البريد الإلكتروني خلسة، بما في ذلك تلك التي تنتمي إلى العديد من الوكالات الحكومية الفيدرالية. هؤلاء المتسللون، الذين تدعي مايكروسوفت أنهم ينتمون إلى مجموعة تجسس تم اكتشافها حديثًا تتبع Storm-0558، قاموا بتسريب بيانات البريد الإلكتروني غير السرية من حسابات البريد الإلكتروني هذه، وفقًا لوكالة الأمن السيبراني الأمريكية CISA.
في تقرير ما بعد الوفاة، قالت مايكروسوفت إنها لا تملك حتى الآن أدلة ملموسة (أو تريد المشاركة) حول كيفية اختراق هؤلاء المهاجمين في البداية مما سمح للمتسللين بسرقة مفتاحها الهيكلي للوصول إلى حسابات البريد الإلكتروني. واجه عملاق التكنولوجيا منذ ذلك الحين تدقيقًا كبيرًا في تعامله مع الحادث، والذي يُعتقد أنه أكبر خرق للبيانات الحكومية غير السرية منذ حملة التجسس الروسية التي اخترقت SolarWinds في عام 2020.
سيتريكسبليد
ثم جاء شهر أكتوبر، وظهرت موجة أخرى من الاختراقات الجماعية، هذه المرة باستغلال ثغرة أمنية ذات تصنيف حرج في أنظمة Citrix NetScaler. ويقول باحثون أمنيون إنهم لاحظوا أن المهاجمين يستغلون هذا الخلل، المعروف الآن باسم “CitrixBleed”، لاقتحام مؤسسات في جميع أنحاء العالم تشمل البيع بالتجزئة والرعاية الصحية والتصنيع.
يستمر التأثير الكامل لهذه الاختراقات الجماعية في التطور. لكن LockBit، عصابة برامج الفدية المسؤولة عن الهجمات، تدعي أنها أضرت بالشركات ذات الأسماء الكبيرة من خلال استغلال الخلل. سمح خطأ CitrixBleed للعصابة المرتبطة بروسيا باستخراج معلومات حساسة، مثل ملفات تعريف الارتباط للجلسة وأسماء المستخدمين وكلمات المرور، من أنظمة Citrix NetScaler المتضررة، مما منح المتسللين وصولاً أعمق إلى الشبكات الضعيفة. وهذا يشمل الضحايا المعروفين مثل شركة بوينغ العملاقة للطيران؛ شركة محاماة ألين وأوفري؛ والبنك الصناعي والتجاري الصيني.
23andMe
وفي ديسمبر/كانون الأول، أكدت شركة اختبار الحمض النووي 23andMe أن المتسللين سرقوا بيانات أسلاف نصف عملائها، أي حوالي 7 ملايين شخص. ومع ذلك، جاء هذا الاعتراف بعد أسابيع من الكشف لأول مرة في أكتوبر عن أن بيانات المستخدم والبيانات الجينية قد تم أخذها بعد أن نشر أحد المتسللين جزءًا من الملف الشخصي المسروق ومعلومات الحمض النووي لمستخدمي 23andMe في منتدى قرصنة معروف.
قالت شركة 23andMe في البداية إن المتسللين تمكنوا من الوصول إلى حسابات المستخدمين باستخدام كلمات مرور مستخدمين مسروقة تم الإعلان عنها بالفعل من خلال خروقات البيانات الأخرى، لكنهم اعترفوا لاحقًا بأن الاختراق أثر أيضًا على أولئك الذين اختاروا ميزة DNA Relatives، والتي تطابق المستخدمين مع أقاربهم الجينيين.
بعد الكشف عن النطاق الكامل لانتهاك البيانات، قامت شركة 23andMe بتغيير شروط الخدمة الخاصة بها لتجعل من الصعب على ضحايا الانتهاك رفع دعاوى قانونية ضد الشركة. ووصف المحامون بعض هذه التغييرات بأنها “ساخرة” و”تخدم مصالح ذاتية”. إذا كان الاختراق قد أدى إلى شيء جيد واحد، فهو أنه دفع شركات اختبار الحمض النووي والجينات الأخرى إلى تعزيز أمان حساب المستخدم الخاص بها في ضوء خرق بيانات 23andMe.
اكتشاف المزيد من مجلة كوكان
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.