<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><a href="https://www.riskbasedsecurity.com/2018/01/2017-was-a-nightmare-year-for-security/">https://www.riskbasedsecurity.com/2018/01/2017-was-a-nightmare-year-for-security/</a><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div id="gmail-inner"><div id="gmail-content-sidebar-wrap"><div id="gmail-content" class="gmail-hfeed"><div class="gmail-post-4236 gmail-post gmail-type-post gmail-status-publish gmail-format-standard gmail-hentry gmail-category-data-breaches gmail-category-news">             <div class="entry-content">
                        <p><a href="http://www.cnn.com/specials/world/year-in-review-2017" target="_blank" rel="noopener">2017 has been a unique and tough year</a>
 in many ways, plagued by natural and man-made disasters alike. Warm 
waters in the Caribbean and Gulf of Mexico spun up massive hurricanes, 
another major earthquake rocked Mexico City, and monsoon rains in South 
Asia caused immense damage and loss of life. Mother Nature wasn’t alone 
in wreaking havoc, as we continue to see political conflicts around the 
world causing mass displacement, unrest and even renewed fears military 
conflict is coming soon. That said, while we tend to focus on the 
negative events, there are<a href="https://thehappinesswagon.com/" target="_blank" rel="noopener"> websites that point out the great things happening</a> worldwide, and there were positive events this past year including the captivating <a href="https://www.greatamericaneclipse.com/" target="_blank" rel="noopener">Great American Eclipse</a>, a truly unique experience shared by millions.</p>
<p>Unfortunately, trying to find 2017’s 
positive news in the information security world has proven to be quite 
difficult. Plainly put, it has not been a good year when it comes to 
cyber security.  While people are busy working on and publishing their 
2018 predictions (which we tend to find quite useless for the most 
part), we thought it would make more sense to first reflect on 2017 and 
try to better understand the root cause for the many things that went 
wrong.</p>
<h2><strong>Just How Bad Was 2017?</strong></h2>
<ul>
<li>As of December 31, there were over <b>5,000 publicly disclosed data breaches in 2017</b>. Without a doubt that makes it the worst year in terms of frequency, as the previous highest year was 4,190.  This brings the all-time total up to over <b>28,800 data breaches.</b></li>
<li>When we published our <a href="https://www.riskbasedsecurity.com/2017/11/2017-yet-another-worst-year-ever-for-data-breaches/" target="_blank" rel="noopener">third quarter DataBreach QuickView Report</a>  it had already been the worst year ever recorded in terms of the amount of records exposed. There has been <b>7.8 Billion records exposed</b>
 thus far. The previous highest was 2016 as well, and that was 
originally 4.3 Billion, but just recently upped to 6.3B due to Yahoo! 
updating their breach. This now brings us up over <b>19+ Billion records exposed all time.</b></li>
<li>When looking at the software that organizations rely on, there were <a href="https://vulndb.cyberriskanalytics.com/#statistics" target="_blank" rel="noopener">over 20,000 vulnerabilities disclosed in 2017.</a> Last year there were 15,866 disclosed vulnerabilities, a 25.5% increase in reported weaknesses.</li>
<li style="list-style-type:none"></li>
</ul>
<p><b>This means that 2017 was the worst year on record for frequency 
and severity of data breaches as well as the most vulnerabilities 
disclosed that we’ve ever seen.</b></p>
<h2><strong>2017 Security Events</strong></h2>
<p>To illustrate the point, we have 
curated some of the more significant and newsworthy events by month from
 2017. While we do not intend for this to be a comprehensive list, we do
 consider these events as representative of the current state of the 
information security industry.</p>
<h3><span style="font-weight:400">January</span></h3>
<ul>
<li><b>Chinese Data Breaches</b>
<ul>
<li>There were two sizeable data breaches impacting Chinese organizations.
<ul>
<li>EmailCar (Shanghai Spring Rain Information Technology Co., Ltd.)
<ul>
<li>Date: 2017-01-01</li>
<li>267,693,854 email addresses and phone numbers exposed in an unsecure MongoDB installation and dumped on the Internet</li>
</ul>
</li>
<li>NetEase, Inc. dba <a href="http://163.com">163.com</a>
<ul>
<li>Date: 2017-01-25</li>
<li>1,221,893,767 email addresses and passwords stolen by hackers and sold on the Dark Web by DoubleFlag</li>
</ul>
</li>
</ul>
</li>
</ul>
</li>
</ul>
<ul>
<li><b>Kaspersky Arrest</b>
<ul>
<li>A key cybercrime investigator at <a href="http://www.businessinsider.com/ap-top-manager-at-russian-cybersecurity-firm-arrested-in-moscow-2017-1" target="_blank" rel="noopener">Russia’s biggest cybersecurity firm</a>, Kaspersky, was arrested on charges of treason, <a href="http://www.kommersant.ru/doc/3200840" target="_blank" rel="noopener">Russia’s Kommersant newspaper</a> reported.</li>
</ul>
</li>
</ul>
<ul>
<li><b>FTC v. D-Link</b>
<ul>
<li>The <a href="https://www.theverge.com/2017/1/7/14199232/ftc-sued-d-link-unsecure-routers-webcams-cybersecurity" target="_blank" rel="noopener">FTC sued D-Link</a> over unsecure routers and webcams.</li>
<li>With these complaints the commission
 has recognized the inherent danger in the growing number of connected 
devices, which can both leave consumers at risk and be used maliciously.</li>
<li>While this was a another potential 
big step in the ongoing efforts of the FTC to address the growing 
consumer risk of insecure Internet of Things devices, <a href="https://www.engadget.com/2017/09/21/ftc-lawsuit-d-link-lax-router-security-took-hit/" target="_blank" rel="noopener">3 of the 6 complaints were later dismissed i</a>n September.</li>
</ul>
</li>
</ul>
<ul>
<li><b>WhatApp Backdoor</b>
<ul>
<li>A security researcher <a href="http://www.telegraph.co.uk/technology/2017/01/13/whatsapp-messages-can-read-exploiting-security-backdoor/" target="_blank" rel="noopener">discovered a backdoor in WhatsApp’s</a> method of end-to-end encryption.</li>
<li>Concern was raised about the potential of a government agency being effectively granted access to read messages.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">February</span></h3>
<ul>
<li><b>CloudBleed</b>
<ul>
<li>Tavis Ormandy from Google’s Project Zero <a href="https://twitter.com/taviso/status/832744397800214528" target="_blank" rel="noopener">contacted</a>
 Cloudflare to report a security problem with their edge servers. He was
 seeing corrupted web pages being returned by some HTTP requests run 
through Cloudflare.</li>
<li>This was a <a href="https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/" target="_blank" rel="noopener">significant vulnerability</a> leaking sensitive data in a cloud solution that at the time was protecting 6 million websites.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Philippines List of Registered Voters Exposed</b>
<ul>
<li>Republic of the Philippines Commission on Elections (COMELEC)</li>
<li>Date: 2017-02-16</li>
<li>55,195,674
 voter records contained in the National List of Registered Voters 
(NLRV) and Voter Search application as well as an additional 58,346 
biometric records belonging to Wao, Lanao del Sur voters held on stolen 
computer</li>
</ul>
</li>
</ul>
<ul>
<li><b>White House Cyber Security Shakeup</b>
<ul>
<li>The Chief Information Security Officer for the White House’s Executive Office of the President <a href="http://www.zdnet.com/article/white-house-chief-information-security-officer-departs/" target="_blank" rel="noopener">was removed from his position</a>.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">March</span></h3>
<ul>
<li><b>ShadowBrokers Dump</b>
<ul>
<li>An <a href="https://www.riskbasedsecurity.com/2016/08/the-shadow-brokers-lifting-the-shadows-of-the-nsas-equation-group/" target="_blank" rel="noopener">anonymous group calling themselves the Shadow Brokers</a> gained access to NSA hacking tools and exposed vulnerabilities including some significant exploits.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Wikileaks Vault 7 – CIA Leak</b>
<ul>
<li><a href="https://www.riskbasedsecurity.com/2017/03/wikileaks-vault-7-leak-exposes-cia-hacking-documents/" target="_blank" rel="noopener">Wikileaks published CIA material</a>
 with revelations included iOS and Android vulnerabilities, bugs in 
Windows, and the ability to turn some smart TVs into listening devices.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">April</span></h3>
<ul>
<li><b>Cylance Layoffs</b>
<ul>
<li>Cylance, one of the strongest recent success stories in the security market was <a href="http://www.crn.com/news/security/300084449/sources-cylance-hit-by-layoffs-company-says-cuts-are-part-of-overall-realignment.htm" target="_blank" rel="noopener">hit by a round of layoffs</a>, multiple sources close to the company told CRN.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Zero Days</b>
<ul>
<li>Four 0-days were discovered in the wild. One in <a href="http://ghostbutt.com/" target="_blank" rel="noopener">Ghostscript</a>,
 one in Microsoft Internet Explorer, and two in Microsoft Office. One of
 the Microsoft Office vulnerabilities have been very actively exploited 
since then (CVE-2017-0199).</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">May</span></h3>
<ul>
<li><b>WannaCry</b>
<ul>
<li>The now infamous and widespread <a href="https://www.cnet.com/news/wannacry-wannacrypt-uiwix-ransomware-everything-you-need-to-know/" target="_blank" rel="noopener">WannaCry worm ransomware</a> event causes major outages. This event was due to ShadowBrokers/NSA exploits that were published earlier in the year.</li>
<li>Costs due to this event have been <a href="https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/" target="_blank" rel="noopener">estimated to be as high as $4B USD</a>.</li>
</ul>
</li>
</ul>
<ul>
<li><b>DU Group dba DU Caller Breach</b>
<ul>
<li>Date: 2017-05-13</li>
<li>2,000,000,000 user phone numbers, 
names, and addresses inappropriately made accessible to others through 
an uncensored public directory</li>
</ul>
</li>
</ul>
<ul>
<li><b>OneLogin Breach</b>
<ul>
<li>Date: 2017-05-31</li>
<li>Single sign on service OneLogin <a href="https://www.onelogin.com/blog/may-31-2017-security-incident" target="_blank" rel="noopener">has AWS keys snatched</a>, giving persons unknown access to their AWS platform and for a few hours, access to database tables</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">June</span></h3>
<ul>
<li><b>Petya / NotPeyta</b>
<ul>
<li>On the heels of WannaCry another <a href="https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/" target="_blank" rel="noopener">ransomware event hit in June called NotPetya</a> (dubbed NotPetya because it masquerades as the <a href="https://www.theregister.co.uk/2017/03/15/petya_returns_wrapped_in_extra_vx_nastiness/" target="_blank" rel="noopener">Petya</a> ransomware)</li>
<li>A firm called <a href="https://www.bleepingcomputer.com/news/security/m-e-doc-software-was-backdoored-3-times-servers-left-without-updates-since-2013/" target="_blank" rel="noopener">M.E.Doc’s accounting</a> software was compromised and used to spread the ransomware.</li>
<li>The NotPetya event caused serious disruption to businesses around the world, reportedly costing <a href="http://www.zdnet.com/article/notpetya-cyber-attack-on-tnt-express-cost-fedex-300m/" target="_blank" rel="noopener">TNT Express FedEx $300M USD</a> and <a href="https://www.theregister.co.uk/2017/08/16/notpetya_ransomware_attack_cost_us_300m_says_shipping_giant_maersk/" target="_blank" rel="noopener">a similar amount for shipping giant Maersk</a>, who was also got hit by the malware.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Deep Root Analytics Breach</b>
<ul>
<li>Date: 2017-06-19</li>
<li>Approximately 198,000,000 voter 
names, addresses, dates of birth, phone numbers, party affiliations, 
ethnicities, voter registration details, Do-Not-Call statuses, and 
policy preference scores left exposed in an unsecured Amazon S3 bucket.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">July</span></h3>
<ul>
<li><b>HBO Hack</b>
<ul>
<li>Hackers <a href="http://www.latimes.com/business/hollywood/la-fi-ct-hbo-game-of-thrones-hack-20170731-story.html" target="_blank" rel="noopener">attack HBO</a>
 and say that they have stolen and leaked a trove of HBO data onto the 
Internet, including a script for an upcoming episode of “Game of 
Thrones” as well as video of new episodes of shows such as “Ballers”, 
“Insecure”, and “Room 104”. And, they say, there’s more to come.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Reliance Jio Infocomm Ltd Breach</b>
<ul>
<li>Date: 2017-07-09</li>
<li>120,000,000 customer names, phone 
numbers, email addresses, and SIM activation dates accessed by hackers 
using stolen login credentials</li>
</ul>
</li>
</ul>
<ul>
<li><b>Electronic Voting Machines Hacked @ DEF CON</b>
<ul>
<li>Participants were able to successfully <a href="http://www.newsweek.com/hackers-breach-usvoting-machines-90-minutes-def-con-competition-643858" target="_blank" rel="noopener">breach the software of U.S. voting machines</a> in less than two hours at a competition in Las Vegas.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">August</span></h3>
<ul>
<li><b>MalwareTech Arrested</b>
<ul>
<li><a href="http://www.latimes.com/business/technology/la-fi-tn-marcus-hutchins-20170803-story.html" target="_blank" rel="noopener">Marcus Hutchins</a>,
 Cybersecurity expert hailed for stopping WannaCry attack was quietly 
arrested as the British resident prepared to fly out of Las Vegas, the 
site of DEF CON conference.</li>
<li>The <a href="https://krebsonsecurity.com/2017/09/who-is-marcus-hutchins/" target="_blank" rel="noopener">widely celebrated cybersecurity researcher</a> was indicted on charges of developing software that has stolen banking credentials from an untold number of people.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Abbott Pacemaker Recalls</b>
<ul>
<li>Medical device maker <a href="http://www.raps.org/Regulatory-Focus/News/2017/08/30/28370/Abbott-Recalls-465000-Pacemakers-for-Cybersecurity-Patch/" target="_blank" rel="noopener">Abbott announces</a> that it is voluntarily recalling some 465,000 pacemakers to install a firmware update to patch vulnerabilities in the devices.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Unknown Organization Breach</b>
<ul>
<li>Date: 2017-08-29</li>
<li>711,000,000 email addresses, passwords, and SMTP credentials exposed on the Internet due to a misconfigured spambot database</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">September</span></h3>
<ul>
<li><b>Bluetooth (Blueborne)</b>
<ul>
<li><a href="https://www.engadget.com/2017/09/12/blueborne-bluetooth-exploit-ios-android-windows/" target="_blank" rel="noopener">New vulnerabilities</a> were disclosed in computers and mobile devices that leaves them susceptible to attack via Bluetooth.</li>
<li>The BlueBorne exploit doesn’t 
require user permission or to even pairing with devices, and it can 
simply connect over the air and access networks or install malware.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Kaspersky Banned</b>
<ul>
<li>The US government <a href="https://www.theguardian.com/technology/2017/sep/13/us-government-bans-kaspersky-lab-russian-spying" target="_blank" rel="noopener">bans federal agencies from using cybersecurity software made by Russian company Kaspersky Lab</a> over fears that the firm has ties to state-sponsored spying programs</li>
<li><a href="https://www.theverge.com/2017/9/9/16280728/best-buy-pulls-kaspersky-lab-products-russia-cybersecurity" target="_blank" rel="noopener">Best Buy pulls Kaspersky Lab products</a> after concerns over ties to the Russian government.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Equifax Breach</b>
<ul>
<li><a href="https://www.riskbasedsecurity.com/2017/09/equifd-equifax-breach-response-off-to-a-rough-start/" target="_blank" rel="noopener">Equifax has a data breach</a>
 that discloses 145,500,000 consumers’ names, dates of birth, Social 
Security numbers, addresses, and driver’s license numbers, as well as 
209,000 credit or debit card numbers and 182,000 dispute documents 
containing unknown personal identifying information. The breach is 
caused by hackers exploiting a vulnerability known as Struts Shock in 
the Apache Struts framework, which Equifax had neglected to fix.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Deloitte Breach</b>
<ul>
<li>While most were paying attention to the Equifax breach, Deloitte ends up having a substantial breach disclosed as well.</li>
<li><a href="https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails" target="_blank" rel="noopener">It was reported</a>
 that the hacker compromised the firm’s global email server through an 
“administrator’s account” that, in theory, gave them privileged, 
unrestricted “access to all areas”.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">October</span></h3>
<ul>
<li><b>WPA2 – Wireless Broken</b>
<ul>
<li>The KRACK (Key Reinstallation Attacks) <a href="https://www.krackattacks.com/" target="_blank" rel="noopener">vulnerability is disclosed</a> which <a href="https://www.wired.com/story/krack-wi-fi-wpa2-vulnerability/" target="_blank" rel="noopener">details a flaw in WPA2’s cryptographic protocols</a>, which could be exploited to read and steal data that would otherwise be protected.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Introduction of Hack Back USA Regulation</b>
<ul>
<li>In the US, Tom Graves, R-Georgia, and Kyrsten Sinema, D-Arizona, <a href="https://tomgraves.house.gov/news/documentsingle.aspx?DocumentID=398840" target="_blank" rel="noopener">introduce</a> a revised version of the Active Cyber Defense Certainty Act (an update of a bill discussion draft that <a href="https://tomgraves.house.gov/news/documentsingle.aspx?DocumentID=398726" target="_blank" rel="noopener">Graves proposed back in March</a>) once again proposing the
 “use of limited defensive measures that exceed the boundaries of one’s 
network in order to monitor, identify and stop attackers.”</li>
<li>Many cyber security professionals believe that the idea of <a href="http://www.slate.com/articles/technology/future_tense/2017/10/hacking_back_the_worst_idea_in_cybersecurity_rises_again.html" target="_blank" rel="noopener">legal hacking back is a horrible idea.</a></li>
</ul>
</li>
</ul>
<ul>
<li><b>Microsoft Internal Security Bugs DB Hacked</b>
<ul>
<li><a href="https://www.reuters.com/article/us-microsoft-cyber-insight/exclusive-microsoft-responded-quietly-after-detecting-secret-database-hack-in-2013-idUSKBN1CM0D0" target="_blank" rel="noopener">It becomes public </a>that,
 according to five former employees, Microsoft’s secret internal 
database for tracking bugs in its own software was broken into in 2013 
by a highly sophisticated hacking group.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">November</span></h3>
<ul>
<li><b>Root9B RIP</b>
<ul>
<li>IT security may be a hot industry, but just because you say you do security doesn’t mean you will have a successful company.</li>
<li><a href="https://krebsonsecurity.com/2017/11/r-i-p-root9b-we-hardly-knew-ya/" target="_blank" rel="noopener">Root9B</a> was the company that was <a href="https://www.root9b.com/newsroom/root9b-remains-1-cybersecurity-500-6th-consecutive-quarter" target="_blank" rel="noopener">listed as #1 Hottest Company by Cybersecurity Ventures 500 for 6 consecutive quarters</a> until suddenly it wasn’t anymore (On Nov. 13, root9B Holdings issued <a href="https://www.prnewswire.com/news-releases/root9b-holdings-announces-discontinuation-of-operations-300555071.html" target="_blank" rel="noopener">a press release</a> saying NASDAQ was de-listing the firm on Nov. 15 and that it was ceasing operations at the end of this year.).</li>
</ul>
</li>
<li><b>Infosec Community Sexual Harassment</b>
<ul>
<li><a href="https://www.theverge.com/2017/11/19/16675704/morgan-marquis-boire-hacker-sexual-assault" target="_blank" rel="noopener">Report publishe</a>s that Morgan Marquis-Boire – well known in the security community – confesses to countless sexual assaults.</li>
<li><a href="http://dailycaller.com/2017/11/18/report-legendary-hacker-kicked-out-of-conference-for-alleged-sexual-assault-of-minors/" target="_blank" rel="noopener">Report publishe</a>s that John Draper – legendary hacker – is kicked out of a conference for alleged sexual assault of minors.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Tio Network Breach</b>
<ul>
<li>“Security vulnerabilities” <a href="http://www.tionetworks.com/PYPL_News_2017_11_10_General_Releases.pdf" target="_blank" rel="noopener">force PayPal to shut down operations of the recently purchased</a> subsidiary TIO Networks.</li>
<li>Within days of announcing the 
breach, a proposed investor class action suit was filed, accusing PayPal
 of hiding the incident and causing the stock price to drop. PayPal 
acquired TIO Networks for 238M in a deal that closed in July of 2017 and
 chose to shutter the service in early November – a short 4 months after
 the acquisition was complete. While the scope of the event is still 
unfolding, the failure to fully vet TIO’s security posture ahead of the 
deal has the potential to cost PayPal as much, if not more, than the 
purchase price already paid.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Uber Breach / Bribe</b>
<ul>
<li>Uber announces that 57M customer 
contact details and another 600,000 drivers’ personal information was 
exposed in a 2016 breach. The late disclosure would have been bad 
enough, but details emerged that former employees of the company 
seemingly <a href="https://arstechnica.com/tech-policy/2017/11/report-uber-paid-hackers-100000-to-keep-2016-data-breach-quiet/" target="_blank" rel="noopener">paid the perpetrators $100,000 to keep the incident quiet</a> and delete the stolen data.</li>
<li>It was <a href="https://arstechnica.com/information-technology/2017/12/uber-used-bug-bounty-program-to-launder-blackmail-payment-to-hacker/" target="_blank" rel="noopener">later reported that Uber used the HackerOne</a> bug bounty platform to pay this “bounty”.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Apple High Sierra Password Vulnerability</b>
<ul>
<li>A m<a href="https://www.theverge.com/2017/11/28/16711782/apple-macos-high-sierra-critical-password-security-flaw" target="_blank" rel="noopener">ajor Apple security flaw</a> grants admin access on macOS High Sierra without supplying a password.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Boeing 757 Hack Disclosed</b>
<ul>
<li>It is announced publicly that in the previous year, <a href="http://www.aviationtoday.com/2017/11/08/boeing-757-testing-shows-airplanes-vulnerable-hacking-dhs-says/" target="_blank" rel="noopener">DHS was able to hack a Boeing 757 </a>via radio frequency communications without touching the plane.</li>
</ul>
</li>
</ul>
<h3><span style="font-weight:400">December</span></h3>
<ul>
<li><b>FCC Repeals Net Neutrality</b>
<ul>
<li><a href="https://www.nytimes.com/2017/12/14/technology/net-neutrality-repeal-vote.html" target="_blank" rel="noopener">No one is really clear what this will actually mean</a> for the Internet at this point, but there could also potentially be impacts for information security as well.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Kaspersky Banned</b>
<ul>
<li><a href="https://www.reuters.com/article/us-usa-cyber-kaspersky/trump-signs-into-law-u-s-government-ban-on-kaspersky-lab-software-idUSKBN1E62V4" target="_blank" rel="noopener">Trump signs into law</a> the banning of Kaspersky products in the government.</li>
</ul>
</li>
</ul>
<ul>
<li><b>US Blames North Korea for Wannacry</b>
<ul>
<li>The <a href="https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-blames-north-korea-for-wannacry-cyber-attack-idUSKBN1ED00Q" target="_blank" rel="noopener">Trump administration publicly blames North Korea</a>
 for unleashing the WannaCry cyber attack that crippled hospitals, 
banks, and other companies across the globe earlier this year.</li>
<li>Although the attack <a href="https://www.cnbc.com/2017/05/15/wannacry-ransomware-hackers-have-only-made-50000-worth-of-bitcoin.html" target="_blank" rel="noopener">reportedly only generated about $50,000</a>
 in ransom for the perpetrators, payments were made in Bitcoin. Since 
the attack in May, the value of Bitcoin has increased from approximately
 $2,000 USD per coin to $13,000 USD by late December. If the attackers 
have held on to the coin, the value of the payoffs will have increased 5
 times over.</li>
</ul>
</li>
</ul>
<ul>
<li><b>Wassenaar Arrangement</b>
<ul>
<li><a href="http://thehill.com/opinion/cybersecurity/365352-serious-progress-made-on-the-wassenaar-arrangement-for-global" target="_blank" rel="noopener">A group of 41 nations gathered</a>
 to officially update the language of the Wassenaar Arrangement, a 
voluntary agreement governing certain export controls for classified 
dual-use software and technology, otherwise known as “cyberweapons.”</li>
</ul>
</li>
</ul>
<p>While there are many more worldwide 
events that can be included in this list, a lot of the issues detailed 
above were quite serious, with substantial impact to organizations and 
their customers alike. What isn’t clear is that, of all of the security 
topics the media focused on in 2017, why these following events failed 
to make headlines.</p>
<h2><b>Power Grid Issues/Attacks Imminent</b></h2>
<ul>
<li>ICS/SCADA software continues to see critical vulnerabilities disclosed, as we <a href="https://vulndb.cyberriskanalytics.com/vulnerabilities/dashboard" target="_blank" rel="noopener">tracked 359 in 2017 in our VulnDB platform</a>.</li>
<li><a href="http://www.powermag.com/dhs-fbi-identify-tactics-in-cyberattack-campaign-targeting-industrial-control-systems/">The DHS warned</a>
 in October 2017 that they were seeing targeted attacks and “Based on 
malware analysis and observed [indicators of compromise], DHS has 
confidence that this campaign is still ongoing, and threat actors are 
actively pursuing their ultimate objectives over a long-term campaign,” 
DHS and FBI<a href="https://www.us-cert.gov/ncas/alerts/TA17-293A" target="_blank" rel="noopener"> wrote in a joint technical alert</a> in October.</li>
<li>In May 2017, there were <a href="https://www.usatoday.com/story/tech/news/2017/05/12/threats-power-outages-special-concern-order-cybersecurity/101593650/" target="_blank" rel="noopener">power outage concerns outlined</a> in the cyber security order.</li>
<li>The real question at this point is whether or not some of the media posts are <a href="https://www.forbes.com/sites/stevemorgan/2016/02/07/campaign-2016-major-cyber-attack-on-u-s-power-grid-is-likely/" target="_blank" rel="noopener">intending to hype and scare readers</a> or actually inform of very real scenarios that need to be addressed.</li>
</ul>
<h2><b>Airport / Airline Outages</b></h2>
<ul>
<li>2017 saw several substantial outages for the airline industry.</li>
<li><a href="http://money.cnn.com/2017/09/28/news/airport-outages-global-airlines/index.html" target="_blank" rel="noopener">Airports around the world</a>
 suffered major technical problems in September 2017 connected to a 
temporary failure of a system for checking in passengers and luggage. <a href="http://airport.blog.ajc.com/2017/09/28/southwest-airlines-hit-by-computer-glitch/" target="_blank" rel="noopener">Southwest said</a>
 its reservations system provider Amadeus began experiencing outages 
starting, “impacting Southwest Airlines along with other airlines.”</li>
<li><a href="https://www.usatoday.com/story/news/2017/01/30/delta-outage-airline-technology-problems/97250834/" target="_blank" rel="noopener">Delta outages in January 2017</a>
 due to a technology glitch that canceled hundreds of flights were 
smaller than other episodes in recent months that cost airlines tens of 
millions of dollars, but it still served as a reminder of fragile 
airline computers systems.</li>
<li><a href="http://airport.blog.ajc.com/2017/09/28/federal-watchdog-to-look-into-airline-outages/" target="_blank" rel="noopener">The U.S. Government Accountability Office will launch</a>
 an examination of airline IT outages and their impact on the traveling 
public, in the wake of massive technology glitches at Delta Air Lines 
and other carriers that have affected millions of travelers.</li>
<li><a href="http://www.cnn.com/2017/05/27/world/british-airways-computer-failure/index.html" target="_blank" rel="noopener">In May 2017 British Airways</a>
 canceled flights from London’s two biggest airports after “a major IT 
system failure” caused severe disruption to flight operations worldwide,
 the airline said.</li>
<li>The issues
 here seem largely to be related to old IT infrastructure and 
applications outages, but it does highlight how aging IT infrastructure 
and third party failures can be just as disruptive as a major malicious 
attack. </li>
</ul>
<h2><b>Sex Robots May Kill</b></h2>
<ul>
<li><a href="http://www.foxnews.com/tech/2017/09/11/hackers-could-train-sex-robots-to-kill-cyber-security-expert-warns.html" target="_blank" rel="noopener">It was reported in September 2017</a>
 that a cyber security buff has issued a bizarre warning that sex robots
 could one day rise up and kill their owners if hackers can get inside 
their heads.</li>
<li><a href="http://www.newsweek.com/hacked-sex-robots-could-murder-people-767386" target="_blank" rel="noopener">Another reported surfaced</a>, saying that sex robots could be used to murder people.</li>
<li>There were <a href="http://www.newsweek.com/hacked-butt-plug-controlled-anywhere-lovense-sex-toy-687719" target="_blank" rel="noopener">other reports</a> of sexual toys hacked as well in 2017.</li>
</ul>
<h2><b>Car Wash Attacks</b></h2>
<ul>
<li>At the DEF CON conference in August 2017, vulnerabilities were disclosed in car washes.</li>
<li><a href="https://motherboard.vice.com/en_us/article/bjxe33/car-wash-hack-can-smash-vehicle-trap-passengers-douse-them-with-water" target="_blank" rel="noopener">There were reports</a> that suggested that a vehicle could be trapped and repeatedly smashed by the doors as well as doused with water.</li>
<li>“We 
believe this to be the first exploit of a connected device that causes 
the device to physically attack someone,” researchers presenting the 
proof-of-concept say.</li>
</ul>
<p>The purpose of this post is more than
 a lament on the state of security. Rather, let it serve as a reminder 
to all organizations that there is value in understanding the underlying
 factors that caused major security issues these past 12 months <i>before</i>
 jumping full force into new improvement initiatives. When looking how 
data breaches have occurred there are already some clear common themes 
that should be factored into any risk-based approach to security 
improvement. When we finish our analysis of 2017, we will publish our 
Year End DataBreach QuickView that will provide much more information.</p>
<p>With loads of new technology 
constantly coming out, we need to be able to get grips on current 
assets, work to better secure them, and take time to fully evaluate the 
security of any new technology under consideration. At the same time we 
need to understand new and expanding challenges such as:</p>
<ul>
<li>Internet of Things</li>
<li>Containers</li>
<li>Blockchain</li>
<li>Drones</li>
<li>Virtual Reality / Augmented Reality</li>
<li>Self Driving Automobiles</li>
<li>Artificial Intelligence (AI) and Machine Learning (ML)</li>
</ul>
<p>While it may be fun to try to make 
predictions, the truth is that no one really knows what 2018 will bring,
 but we at Risk Based Security will commit to keep tracking and 
documenting them all, so we can continue to learn and improve 
information security efforts!</p>
<p>We hope everyone has a happy new year and that 2018 won’t be a repeat of 2017 when it comes to security issues!</p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>