De 9 mest bemærkelsesværdige datalæk i 2018

På den cyberkriminelle front gik det ikke stille for sig i 2018. Vi kigger tilbage på ni store sikkerhedsbrud, der prægede verden sidste år. 

2019 er allerede i fuldt sving, men vi tillader os at kaste et blik tilbage mod 2018 og dykker ned i nogle af årets mest bemærkelsesværdige datalæk. Og der har været nok at tage af. For er noget jævnligt dukket op i de internationale overskrifter, så er det hackerangreb, sikkerhedsbrud og persondatalæk. 

Datalæk kan forekomme af et utal af årsager. Hacking, usikker omgang med data og huller i organisationens sikkerhedsstrategi og -forsvar er nogle af grundene. Vi har fundet frem til, hvad vi synes er de 9 mest bemærkelsesværdige for 2018, og tæller baglæns fra: 

9: British Airways

I september annoncerede flyselskabet British Airways, at omkring 500.000 menneskers personlige data og betalingskortoplysninger var blevet stjålet i et datalæk. Lækket omfattede 380.000 transaktioner gennemført på deres website og i deres app i en kortere periode fra august til september. 

8: GoMentor

Præcis på halvårsdagen for, at GDPR trådte i kraft, kom det frem, at GoMentor – Danmarks største online-portal for psykologer og terapeuter – lækkede personfølsomme oplysninger om deres brugere. Uden password havde en bruger kunne tilgå fire andre klienters fortrolige kommunikation med deres behandlere. 

Sagen kan meget vel blive den første i dansk kontekst, hvor der falder en GDPR-bøde. Datatilsynet er dog blevet kritiseret for sin ageren i sagen, da tilsynet undlod at informere GoMentor om sikkerhedsbruddet, og i stedet brugte tiden på at indsamle nok oplysninger til en politianmeldelse. 

> GDPR 6 måneder senere

De 9 mest bemærkelsesværdig datalæk i 2018
Hackerangreb, sikkerhedsbrud og persondatalæk har forsaget nogle at de mest ikoniske datalæk i 2018 (stockfoto: Markus Spiske, unsplash)

7: Helse Sør-Øst

Den norske regionale sundhedstjeneste Helse Sør-Øst fik en dårlig start på 2018. Den 8. januar identificerede tjenesten et hackerangreb, som potentielt har berørt mere end halvdelen af Norges befolkning. Ved at udnytte en applikation, der blev driftet lokalt på et sygehus i regionen, fik hackere adgang til næsten tre mio. menneskers yderst personfølsomme sundhedsoplysninger og patientjournaler.

Helse Sør-Øst er tidligere blevet kritiseret for ikke at praktisere ordentlig it-sikkerhed (i juni 2017 rapporterede mediet VG, at 1.200 af sundhedstjenestens computere stadig kørte på Windows XP).

6: Facebook

I slutningen af september 2018 offentliggjorde Facebook, at det sociale netværk havde været udsat for det værste sikkerhedsbrud i sin historie. Hackere udnyttede sårbarheder i Facebooks kode og fik derigennem adgang til 30 mio. brugeres private data.

For 14 mio. brugere gjaldt det bl.a. køn, lokationsdata, religion, fødselsdag, kontaktoplysninger, forholdsstatus og nylige søgninger på platformen. Personfølsomme oplysninger, der kan anvendes i forbindelse med identitetstyveri.

5: Google+

I foråret 2018 – da Cambridge Analytica-skandalen var på sit højeste – opdagede Google, at en bug i API’et til Google+ havde gjort det muligt for tredjepartsudviklere at tilgå data. Ikke kun data, der tilhørte de brugere, som havde givet tilladelse, men også deres venners data. Frem for at offentliggøre datalækket valgte Google at tie stille for ikke at blive ramt af den PR-krise, som allerede omgærdede Facebook. Det uundgåelige skete naturligvis, og historien nåede The Wall Street Journal i efteråret. Kort efter annoncerede techgiganten, at Google+ bliver lukket i august 2019. Datalækket har potentielt ramt 500.000 brugere, og på grund af buggen har op til 438 forskellige tredjepartsapplikationer haft adgang til privat data.

Historien sluttede dog ikke her. I december annoncerede Google, at de ville lukke det sociale netværk fire måneder før planlagt – i april 2019 – da en ny bug var blevet opdaget. Denne gang gik det ud over hele 52,5 mio. brugere, som fik deres personlige data lækket.

4: Firebase

Firebase er en app-udviklingsplatform, som ejes af Google. I januar 2018 kom det frem, at tusindvis af iOS- og Android-applikationer lækkede data via mere end 2000 miskonfigurerede Firebase-databaser.

I alt lækkede databaserne mere end 100 mio. brugerdataoptegnelser. Heriblandt passwords og bruger-ID, sundhedsdata, GPS-lokationer og finansielle transaktioner.

> Brugerstyring er genvejen til sikkerhed og compliance 

3: Marriott Hotels

Ved check-in på et hotel, bliver du bedt om at oplyse et sandt skatkammer af personlig information. I hvert fald set med en hackers øjne. I november 2018 afslørede hotelkæden Marriott International, at deres reservationssystem var blevet hacket, og at hackerne havde skaffet sig adgang til hele 383 mio. gæsters persondata.

Angrebet begyndte helt tilbage i 2014, og hackerne tiltvang sig adgang til 5,25 mio. ukrypterede pasnumre og 8,6 mio. betalingskortnumre (hvoraf 354.000 stadig var aktive, da Mariott blev bekendt med hackerangrebet). Datalækket resulterede i, at Mariott udfasede deres reservationssystem ved udgangen af 2018.

2: Facebook (ja, igen)

Én datalæksag fik suverænt mest global opmærksomhed i 2018 – og fik en vigtig diskussion om dataetik, persondatabehandling og privatliv placeret højt på den internationale dagsorden. Facebook-Cambridge Analytica-skandalen. I marts var hele verdens øjne vendt mod det sociale netværk og ikke mindst dets stifter og adm. direktør Mark Zuckerberg, der måtte vidne foran den amerikanske kongres.

Her kom det nemlig frem, at analysefirmaet Cambridge Analytica havde anvendt persondata ulovligt høstet fra millioner af Facebook-profiler til at målrette personaliserede, politiske reklamebudskaber under Donald Trumps præsidentkampagne. Data fra 87 mio. Facebook-profiler var blevet høstet af Cambridge Analytica.

1: Aadhaar

Prisen for det største identificerede datalæk i 2018 går til Indien, hvor Aadhaar – platformen, der opbevarer de unikke tolvcifrede identifikationsnumre, som giver adgang til offentlige services – blev udsat for et sikkerhedsbrud, der har påvirket hele 1,1 mia. indiske borgere.

Bruddet blev afdækket af mediet The Tribune. Via anonyme sælgere på Whatsapp tilkøbte journalisterne sig for knap 46 kroner ubegrænset adgang til mere end 1 mia. Aadhaar-identifikationsnumre. Dermed fik de adgang til navn, adresse, postnummer, foto, telefonnummer og e-mail. For knap 28 kroner oveni fik journalisterne adgang til en service, der efter indtastning af et identifikationsnummer kunne printe et Aadhaar-kort. Altså direkte identitetstyveri.

Det er ikke obligatorisk for indiske borgere at tilmelde sig Aadhaar, men at få adgang til flere (livsnødvendige) offentlige services som f.eks. hospitalssystemet kræver, at man kan fremvise et Aadhaar-kort. Flere banker har tilmed truet med at indefryse borgernes bankkonti, hvis de ikke er forbundet med et Aadhaar-identifikationsnummer.

Det gigantiske sikkerhedsbrud er ikke platformens første. Alligevel forsvarer Indiens Unique Identification Authority, der er ansvarlige for Aadhaar, platformens datasikkerhed og afviser kritikken som ”fake news”.

> 3 grunde til, at du skal investere i Identity Access Management

Seneste indlæg

Følg os på LinkedIn