Angesichts der politischen Polarisierung, der Unruhen und der Eskalation der Gewalt in vielen Regionen der Welt war das Jahr 2023 voller Unsicherheit und Tragödien. Im Bereich der digitalen Sicherheit fühlte sich das Jahr jedoch eher wie ein Tag des Murmeltiers mit Vorfällen an, die durch klassische Arten von Angriffen wie Phishing und Ransomware verursacht wurden, als wie eine Achterbahnfahrt offensiver Hacking-Innovationen.
Der Slogan im Bereich der Cybersicherheit wird zweifellos auch im Jahr 2024 anhalten, aber zum Abschluss der letzten 12 Monate werfen wir hier einen Rückblick auf die schlimmsten Verstöße, Leaks, Ransomware-Angriffe, Fälle digitaler Erpressung und staatlich geförderte Hacking-Kampagnen von WIRED. Bleiben Sie wachsam und bleiben Sie da draußen in Sicherheit.
Einer der einflussreichsten Hacks des Jahres 2023 war kein einzelner Vorfall, sondern eine Reihe verheerender Sicherheitsverletzungen, die im Mai begannen und durch die massenhafte Ausnutzung einer Schwachstelle in der beliebten Dateiübertragungssoftware MOVEit verursacht wurden. Der Fehler ermöglichte es Hackern, Daten aus einer Reihe internationaler Regierungsstellen und Unternehmen zu stehlen, darunter dem Louisiana Office of Motor Vehicles, Shell, British Airways und dem Energieministerium der Vereinigten Staaten. Progress Software, das MOVEit entwickelt, habe den Fehler behoben Ende Mai, und die breite Einführung des Fixes stoppte schließlich den Boom. Doch die Datenerpresserbande „Cl0p“ hatte bereits einen katastrophalen Ausflug unternommen und die Schwachstelle gegen möglichst viele Opfer ausgenutzt. Organisationen melden sich immer noch, um MOVEit-bezogene Vorfälle offenzulegen, und Forscher sagten gegenüber WIRED, dass diese Flut von Updates mit ziemlicher Sicherheit auch im Jahr 2024 und möglicherweise darüber hinaus anhalten wird.
Cl0p mit Sitz in Russland entstand 2018 und fungierte einige Jahre lang als Standard-Ransomware-Akteur. Die Bande ist jedoch besonders dafür bekannt, Schwachstellen in weit verbreiteter Software und Ausrüstung zu finden und auszunutzen, wobei MOVEit das jüngste Beispiel ist, um Informationen von einer großen Anzahl von Opfern zu stehlen und Datenerpressungskampagnen gegen sie durchzuführen.
Die Identitätsmanagementplattform Okta hat im Oktober einen Verstoß gegen ihr Kundensupportsystem offengelegt. Das Unternehmen sagte damals dass etwa 1 Prozent der 18.400 Kunden betroffen waren. Aber das Unternehmen musste seine Einschätzung revidieren im November, um das tatsächlich anzuerkennen alle Von den Kundensupportbenutzern wurden durch den Verstoß Daten gestohlen.
Die ursprüngliche Schätzung von 1 Prozent ergab sich aus der Untersuchung des Unternehmens zu Aktivitäten, bei denen Angreifer gestohlene Anmeldedaten nutzten, um ein Okta-Supportkonto zu übernehmen, das Zugriff auf das Kundensystem hatte, um Benutzern bei der Fehlerbehebung zu helfen. Bei dieser Einschätzung waren jedoch andere böswillige Aktivitäten übersehen worden, bei denen der Angreifer eine automatisierte Abfrage einer Datenbank durchführte, die Namen und E-Mail-Adressen „aller Benutzer des Okta-Kundensupportsystems“ und einiger Okta-Mitarbeiter enthielt. Wie bei einer Reihe anderer Vorfälle in diesem Jahr beruht die Bedeutung des Okta-Vorfalls zum Teil auf der Tatsache, dass das Unternehmen eine entscheidende Rolle bei der Bereitstellung von Sicherheitsdiensten für andere Unternehmen spielt, obwohl es bereits im Jahr 2021 einen schwerwiegenden Verstoß erlitten hat.
Die US-amerikanische National Security Agency und die mit ihr verbündeten Geheimdienste auf der ganzen Welt warnen seit Mai davor, dass eine von Peking geförderte Gruppe namens Volt Typhoon im Rahmen ihrer Aktivitäten kritische Infrastrukturnetze der USA, darunter Stromnetze, ins Visier genommen hat. Beamte betonen weiterhin, dass Netzwerkverteidiger nach verdächtigen Aktivitäten Ausschau halten müssen, die auf eine geheime Operation hinweisen könnten. Die Hackerangriffe von Volt Typhoon und anderen von Peking unterstützten Hackern werden zum Teil durch den Vorrat an Zero-Day-Schwachstellen der chinesischen Regierung vorangetrieben, die als Waffe genutzt und ausgenutzt werden können. Peking sammelt diese Fehler durch Forschung, und einige könnten auch das Ergebnis eines Gesetzes sein, das die Offenlegung von Schwachstellen vorschreibt.
Unterdessen gab Microsoft im Juni bekannt, dass eine von China unterstützte Hackergruppe einen äußerst sensiblen kryptografischen Schlüssel aus den Systemen des Unternehmens gestohlen habe, der es den Angreifern ermöglicht habe, auf cloudbasierte Outlook-E-Mail-Systeme von 25 Organisationen zuzugreifen, darunter mehrere US-Regierungsbehörden. In einem postmortal In der im September veröffentlichten Studie erklärte Microsoft, dass ein missbräuchlicher Zugriff auf den Schlüssel äußerst unwahrscheinlich sei, in diesem Fall jedoch auf eine einzigartige Fehlerkomödie zurückzuführen sei. Der Vorfall war jedoch eine Erinnerung daran, dass staatlich unterstützte chinesische Hacker jedes Jahr eine riesige Menge an Spionageoperationen durchführen und oft unentdeckt in Netzwerken lauern und auf den günstigen Moment warten, um aus Fehlern oder Fehlern Kapital zu schlagen.
MGM-Casinos in Las Vegas und andere MGM-Standorte auf der ganzen Welt erlitten im September nach einem Cyberangriff durch ein Tochterunternehmen der berüchtigten Ransomware-Gruppe Alphv massive und störende Systemausfälle. Der Angriff verursachte Chaos für Reisende und Spieler gleichermaßen und es dauerte Tage – in einigen Fällen sogar Wochen –, bis sich die Hotelgruppe erholte, da Geldautomaten ausfielen, Hotelschlüsselkarten nicht mehr funktionierten und Spielautomaten nicht mehr funktionierten.
Inzwischen bestätigte Caesars Entertainment in den USA behördliche Einreichung Im September gab das Unternehmen außerdem bekannt, dass es durch Alphv zu einem Datenverstoß gekommen sei, bei dem die Sozialversicherungsnummern und Führerscheinnummern vieler Mitglieder des Treueprogramms sowie andere personenbezogene Daten gestohlen worden seien. Das Wall Street Journal gemeldet im September, dass Caesars etwa die Hälfte der von den Angreifern geforderten 30 Millionen US-Dollar als Gegenleistung für das Versprechen gezahlt habe, gestohlene Kundendaten nicht herauszugeben. Berichten zufolge zahlte MGM das Lösegeld nicht.
Im Dezember 2022 gab LastPass, Hersteller des beliebten Passwort-Managers, bekannt, dass ein Verstoß im August 2022, den das Unternehmen Ende November 2022 bekannt gegeben hatte, schlimmer war, als das Unternehmen ursprünglich angenommen hatte, und dass darüber hinaus verschlüsselte Kopien der Passwort-Tresore einiger Benutzer kompromittiert worden seien zu anderen personenbezogenen Daten. Dies war eine zutiefst besorgniserregende Offenbarung, wenn man bedenkt, dass LastPass in der Vergangenheit bereits andere Sicherheitsvorfälle erlitten hat und Benutzer dem Unternehmen die sensibelsten Teile ihres digitalen Lebens anvertrauen.
Darüber hinaus gab das Unternehmen jedoch im Februar 2023 einen zweiten Vorfall bekannt, der ebenfalls im August 2022 begann. Angreifer manipulierten den Heimcomputer eines leitenden Ingenieurs des Unternehmens – der besonderen Zugriff auf die sensibelsten Systeme von LastPass hatte – und stahlen die Authentifizierung Referenzen. Diese wiederum ermöglichten ihnen den Zugriff auf eine Amazon S3-Cloud-Speicherumgebung und letztendlich auf „LastPass-Produktions-Backups, andere Cloud-basierte Speicherressourcen und einige damit verbundene kritische Datenbank-Backups“, so das Unternehmen schrieb im März – ein verheerender Verstoß für ein Passwort-Manager-Unternehmen.
23andMe gab Anfang Oktober bekannt, dass es Angreifern gelungen war, einige Benutzerkonten zu kompromittieren und diesen Zugriff auszunutzen, um über den Opt-in-Social-Sharing-Dienst „DNA Relatives“ des Unternehmens persönliche Daten einer größeren Anzahl von Benutzern abzugreifen. In dieser ersten Offenlegung gab das Unternehmen nicht an, wie viele Benutzer betroffen waren. In der Zwischenzeit begannen Hacker damit, Daten zu verkaufen, die offenbar von einer Million oder mehr 23andMe-Benutzern stammten. Dann vor einer US-Börsenaufsichtsbehörde Einreichung Anfang Dezember gab das Unternehmen bekannt, dass der Angreifer auf 0,1 Prozent der Benutzerkonten zugegriffen habe, also rund 14.000 pro Jahr Unternehmensschätzung dass es etwa 14 Millionen Kunden hat. Die SEC-Anmeldung umfasste nicht eine größere Anzahl derjenigen, die von der DNA-Verwandtschaftsentfernung betroffen waren, sondern 23andMe letztendlich gegenüber TechCrunch bestätigt dass die Hacker Daten von 5,5 Millionen Menschen sammelten, die sich für DNA Relatives entschieden hatten, sowie Informationen von weiteren 1,4 Millionen DNA Relatives-Nutzern, „von denen auf ihre Stammbaum-Profilinformationen zugegriffen wurde“. Einige der gestohlenen Daten enthielten Klassifizierungen wie die Beschreibung von Untergruppen von Nutzern als „aschkenasische Juden“, „weitgehend arabischer Abstammung“ oder chinesischer Abstammung eingestuft werden, was sie potenziell gezielter Angriffsfläche aussetzt.
Obwohl es besorgniserregend war, umfasste der Datendiebstahl keine rohen genetischen Informationen und würde an sich normalerweise nicht als „schlimmster Hack“ gelten. Aber die Situation war eine wichtige Erinnerung daran, was auf dem Spiel steht, wenn es um genetische und abstammungsbezogene Informationen geht, und an die möglichen unbeabsichtigten Folgen der Hinzufügung von Social-Sharing-Mechanismen zu sensiblen Diensten, selbst wenn die Teilnahme der Benutzer freiwillig ist.
Der Mobilfunkanbieter T-Mobile musste in den letzten Jahren eine lächerliche Anzahl von Datenschutzverletzungen hinnehmen und hat nun die zweifelhafte Ehre, zweimaliger Gewinner einer lobenden Erwähnung in den jährlichen Worst Hacks-Zusammenfassungen von WIRED zu sein. In diesem Jahr hat das Unternehmen zwei Verstöße offengelegt. Eine begann im November 2022 und endete im Januar und betraf 37 Millionen Bestandskunden sowohl auf Prepaid- als auch auf Postpay-Konten. Angreifer haben Namen, E-Mail-Adressen, Telefonnummern, Rechnungsadressen, Geburtsdaten, Kontonummern und Serviceplandetails von Kunden gestohlen. Der zweite Verstoß, der zwischen Februar und März stattfand und im April bekannt wurde, war geringfügig und betraf weniger als 900 Kunden. Dies ist jedoch von Bedeutung, da zu den gestohlenen Daten vollständige Namen, Geburtsdaten, Adressen, Kontaktinformationen, Ausweisinformationen, Sozialversicherungsnummern und T-Mobile-Konto-PINs gehörten – mit anderen Worten: die Kronjuwelen von Hunderten von Menschen.