Центр по борьбе с кражей личности (ITRC), национально признанная некоммерческая организация, созданная для поддержки жертв кражи личности, опубликовал результаты своего отчета о нарушениях данных в США за третий квартал (Q3) 2023 года. Согласно отчету о нарушениях данных за третий квартал 2023 года, было зафиксировано 733 публичных случая нарушения данных в этом квартале, что составляет снижение на 22 процента по сравнению с предыдущим кварталом (941 нарушение). Несмотря на уменьшение в третьем квартале по сравнению с предыдущим, ITRC превзошел годовой рекорд по числу нарушений данных, установленный в 2021 году (1,862 нарушения), отслеживая 2,116 нарушений данных за первые девять месяцев с тремя месяцами оставшегося срока ежегодной отчетности. Из 733 нарушений данных в Q3, 386 уведомлений о нарушении данных не содержали информации о векторе атаки (53 процента).
Число жертв в Q3 (66,7 миллиона) снизилось на 39 процентов по сравнению с Q3 2022 года. За первые три квартала 2023 года было зафиксировано 233,9 миллиона предполагаемых жертв, что значительно меньше темпа 2022 года (425 миллионов предполагаемых жертв). Согласно отчету о нарушениях данных за третий квартал 2023 года, кибератаки остаются самой распространенной причиной нарушения данных в Q3 (614 нарушений). Среди уведомлений о векторе атаки фишинговые атаки были наиболее часто сообщаемой причиной (80). Атаки Zero-Day (атаки на ранее неопубликованные уязвимости программного обеспечения, для которых нет исправлений) заняли второе место (69), превзойдя атаки вымогательского программного обеспечения (64) и вредоносное программное обеспечение (17).
Исследователи по кибербезопасности указывают на рост числа успешных атак Zero-Day как одну из причин значительного увеличения нарушений данных. ITRC отметил увеличение нарушений данных, связанных с атаками Zero-Day, на 1,620 процентов за первые три квартала 2023 года (86 случаев), по сравнению с всем 2022 годом (5 случаев).
“Хотя установление рекорда по числу нарушений данных привлекает внимание, к сожалению, это не удивительно”, – сказала Ева Веласкес, президент и исполнительный директор Центра по борьбе с кражей личности. “Существует несколько причин увеличения нарушений данных, начиная с резкого увеличения атак Zero-Day и новой волны атак вымогательского программного обеспечения по мере появления новых групп вымогателей в преступном мире личности. Теперь, когда мы превзошли предыдущий годовой рекорд по нарушениям данных, вопрос остается: насколько сильно?”
Другие результаты анализа отчета о нарушениях данных за третий квартал 2023 года включают:
Атаки на цепочку поставок повлияли на множество организаций в Q3, хотя они не были прямо атакованы. Более 1,000 (1,321) организация сообщили о нарушениях данных из-за атаки против 87 организаций, включая множество сторонних сторон, использующих программное обеспечение передачи файлов MOVEit.
К настоящему времени, на 30 сентября 344 организации в США были затронуты одним или несколькими поставщиками, использующими уязвимый продукт MOVEit. Еще 79 организаций сообщили о непосредственном воздействии атак на программное обеспечение или услуги MOVEit. Четыре из десяти главных нарушений в Q3 были связаны с атаками на MOVEit.