Rok 2023 bol ďalším rokom plným udalostí v oblasti kybernetickej bezpečnosti. Pripomeňme si najvýznamnejšie kybernetické incidenty, ku ktorým v ňom došlo. Na pozadí pretrvávajúcej makroekonomickej a geopolitickej neistoty sa kybernetickým hrozbám darilo. Kyberútočníci využívali všetky nástroje a vynaliezavosť, ktoré mali k dispozícii, aby zdolali obranné opatrenia firiem. Pre spotrebiteľov to bol ďalší rok, kedy s obavami preklikávali novinové titulky, aby zistili, či neboli kyberútoky zasiahnuté ich osobné údaje. Podľa správy spoločnosti Verizon Data Breach Investigations Report (DBIR) stoja za absolútnou väčšinou incidentov (83 %) útočníci mimo spoločnosti a takmer všetky útoky (95 %) boli motivované vidinou finančného zisku. Preto väčšinu incidentov uvedených v tomto zozname má na svedomí ransomvér a vydieranie súvisiace s ukradnutými dátami. V malom množstve prípadov bola príčinou ľudská chyba alebo útočník vo vnútri spoločnosti.

Niekedy mali útoky obrovský vplyv, hoci počet obetí bol relatívne malý, aj preto  je tento výber 10 najväčších útokov z roku zoradený nielen na základe kvantitatívnych ukazovateľov.

1) MOVEit

Tento útok, pochádzajúci od skupiny Lace Tempest (Storm0950), súčasti ransomvérového  gangu Clop, mal všetky znaky predchádzajúcich útokov, keď skupina zneužila zero-day zraniteľnosti v serveroch Accellion FTA (2020) a GoAnywhere MFT (2023). Ich modus operandi je jednoduchý – využiť zraniteľnosť nultého dňa v obľúbenom softvérovom produkte na získanie prístupu do klientskéh prostredia a potom exfiltrovať čo najviac dát, za ktoré požadujú výkupné. Zatiaľ nie je jasné, koľko je celkom obetí a koľko dát bolo odcudzených. Niektoré odhady však hovoria o viac ako 2 600 organizáciách a viac ako 83 miliónoch osôb. Následný vplyv ešte zvyšuje skutočnosť, že mnohé z týchto organizácií boli samy dodávateľmi alebo poskytovateľmi služieb.

2) Volebná komisia Spojeného kráľovstva

Nezávislý britský regulátor pre financovanie politických strán a volieb v auguste odhalil, že kyberzločinci odcudzili osobné údaje o približne 40 miliónoch voličov z volebných zoznamov. Regulátor najprv tvrdil, že išlo o „komplexný“ kybernetický útok, ale správy odvtedy naznačujú, že za úspešným útokom stojí skôr zlé zabezpečenie. Organizácia neprešla základným bezpečnostným auditom a na vine mohol byť tiež nezáplatovaný server Microsoft Exchange. Komisii trvalo 10 mesiacov, kým o útoku informovala verejnosť a tiež tvrdila, že kyberzločinci sa mohli v jej sieti pohybovať už od augusta 2021.

3) Policajná služba Severného Írska (PSNI)

Ide o incident, ktorý patrí ako do kategórie vnútorného narušenia a tiež do kategórie incidentov s relatívne malým počtom obetí, ale nadmerným dopadom. PSNI v auguste oznámila, že jeden zo zamestnancov omylom zverejnil citlivé interné údaje na webovej stránke WhatDoTheyKnow v reakcii na žiadosť o slobodný prístup k informáciám (FOI). Informácie obsahovali mená, hodnosti a oddelenia približne 10 000 policajtov a civilných zamestnancov, vrátane tých, ktorí vykonávajú spravodajskú činnosť a sledovanie. Napriek tomu, že informácie boli k dispozícii iba dve hodiny, než došlo k ich stiahnutiu, bol to dostatočný čas na to, aby sa dostali do obehu medzi írskych Dissidents republican, ktorí ich ďalej šírili.

4) DarkBeam

Najväčší únik dát v tomto roku zaznamenala platforma pre digitálne riziká DarkBeam, ktorá po chybnej konfigurácii rozhrania na vizualizáciu dát v Elasticsearch a Kibana odhalila 3,8 miliardy záznamov. Bezpečnostný analytik si tento prešľap v ochrane osobných údajov všimol a upozornil firmu, ktorá problém rýchlo opravila. Nie je však jasné, ako dlho boli dáta „vystavené na obdiv“ a či k nim nepristupoval niekto s nekalými úmyslami. Iróniou osudu je, že dáta obsahovali e-maily a heslá zo skôr nahlásených aj nenahlásených prípadov narušenia bezpečnosti dát. Ide o ďalší príklad toho, že je potrebné starostlivo a priebežne sledovať správne nastavenie firemných systémov.

5) Indická rada pre lekársky výskum (ICMR)

Ďalší obrovský únik dát, tentoraz jeden z najväčších v Indii, bol odhalený v októbri po tom, čo kyberútočníci ponúkli na predaj osobné údaje 815 miliónov obyvateľov. Zdá sa, že údaje boli exfiltrované z databázy ICMR pre testovanie infekcie COVID-19 a obsahovali meno, vek, pohlavie, adresu, číslo pasu a Aadhaar (štátne identifikačné číslo). Únik takýchto údajov je obzvlášť nebezpečný, pretože kyberzločincom poskytuje všetko, čo potrebujú na podvody s identitou. Systém Aadhaar je možné v Indii používať ako digitálny preukaz totožnosti, k pravidelným platbám a KYC kontrolám (Know Your Customer – proces okamžitého elektronického overenia totožnosti).

6) 23andMe

V októbri kyberzločinec odcudzil až 20 miliónov údajov z americkej genetickej a výskumnej spoločnosti. Zdá sa, že na prístup k užívateľským účtom najprv použil klasické techniky credential stuffingu – v podstate použil skôr prelomené prihlasovacie údaje, ktoré títo používatelia recyklovali na 23andMe. U užívateľov, ktorí sa na webe prihlásili k službe DNA Relatives, potom mohol útočník získať prístup k mnohým ďalším údajom potenciálnych príbuzných. Medzi informáciami uvedenými vo výpise dát bola profilová fotografia, pohlavie, rok narodenia, poloha a výsledky testov genetického pôvodu.

7) Rapid Reset DDoS útoky

Ďalší neobvyklý prípad sa týka zraniteľnosti nultého dňa v protokole HTTP/2, ktorá bola odhalená v októbri a umožnila kyberútočníkom vykonávať jedny z najväčších DDoS útokov, aké kedy boli zaznamenané. Tie podľa spoločnosti Google dosiahli maximálnu rýchlosť 398 miliónov požiadaviek za sekundu (rps) oproti predchádzajúcej najvyššej rýchlosti 46 miliónov rps. Dobrou správou je, že internetoví giganti ako Google a Cloudflare chybu opravili a firmy, ktoré si spravujú alebo prevádzkujú vlastné webové servery s protokolom HTTP/2, boli vyzvané na opravu zraniteľnosti.

8) T-Mobile

Americká telekomunikačná spoločnosť v posledných rokoch utrpela mnoho narušení bezpečnosti, ale to z januára 2023 je jedno z jej doposiaľ najväčších. Útok sa týkal 37 miliónov zákazníkov, ktorým útočník ukradol adresy, telefónne čísla a dátumy narodenia. Druhý incident zverejnený v apríli sa týkal len 800 zákazníkov, ale obsahoval oveľa viac údajov, vrátane PIN kódov k T-Mobile účtom, čísel sociálneho poistenia, údajov o občianskych preukazoch, dátumov narodenia a interných kódov, ktoré firma používa na obsluhu zákazníckych účtov.

9) MGM International / Caesars

Dve najväčšie spoločnosti v Las Vegas boli v priebehu niekoľkých dní napadnuté rovnakým ransomvérom ALPHV/BlackCat známym ako Scattered Spider. V prípade MGM sa im podarilo získať prístup k sieti jednoducho pomocou informácií zo siete LinkedIn a následného vishingového útoku, pri ktorom sa útočníci vydávali za IT oddelenie a žiadali o prihlasovacie údaje. Firma utrpela veľkú finančnú stratu, ktorú odhaduje na 100 miliónov dolárov, pretože bola nútená odstaviť hlavné IT systémy , čo na niekoľko dní narušilo prevádzku hracích automatov, systémov v reštauráciách, a dokonca aj prístupových kariet od izieb. V prípade Caesars sú celkové náklady súvisiace s útokom neznáme, hoci firma priznala, že vydieračom zaplatila 15 miliónov dolárov.

10) Únik informácií z Pentagonu

Posledný incident je odstrašujúcim prípadom pre americkú armádu a všetky veľké organizácie, ktoré sa obávajú záškodníkov vo vnútri organizácie. Dvadsaťjedenročný príslušník  Massachusettskej národnej leteckej gardy Jack Teixeira vyzradil vysoko citlivé vojenské dokumenty, aby sa mohol pochváliť svojej komunite na sieti Discord. Informácie boli následne zdieľané na iných platformách a preposielali si ich Rusi sledujúci vojnu na Ukrajine. To dalo Rusku cenné vojenské spravodajské informácie pre vojnu na Ukrajine a podkopalo vzťahy USA s jej spojencami. Na neuverenie je aj samotný fakt, že Teixeira bol schopný vytlačiť a odniesť si domov prísne tajné dokumenty, aby ich vyfotografoval a následne nahral na sociálnu sieť.