18 Февраля, 2008

Сведения американских доноров скомпрометированы

Perimetrix_breach_blog

Об утечке стало известно: 13 февраля 2008 года
Организация: Lifeblood . Крупный кровяной банк, расположенный в городе Мемфис (Memphis), штат Теннеси (Tennessee).
Пострадавшие: доноры Lifeblood, в общей сложности 320 000 человек.
Скомпрометированные данные: имена, контактные данные, группа крови, пол, расовая принадлежность и номера социального страхования.
Краткое описание утечки: два ноутбука с информацией о донорах пропали из офисного помещения Lifeblood. Предполагается, что они были украдены.
Референс:
Lifeblood Press Release
Commercialappeal.com story
В официальном сообщении Lifeblood указано, что базы данных со сведениями доноров были защищены сразу двумя паролями. Составители релиза указывают, что «вероятность компрометации данных является очень низкой, поскольку для доступа к информации потребуется специальная подготовка». Вместе с тем, специалисты аналитического центра Perimetrix полагают, что защита паролями никогда не является надежной, поскольку ее всегда можно обойти. По всей видимости, первый пароль относился к учетной записи операционной системы, а второй отвечал непосредственно за базу данных.

После того, как об утечке стало известно, Lifeblood решил провести ряд мер, чтобы подобный инцидент больше никогда не повторился. В частности, кровяной банк планирует усилить контроль доступа в помещения с ноутбуками, а также установить ПО для удаленного мониторинга жестких дисков сотрудников. Парадоксально, но в списке ближайших работ отсутствуют системы шифрования – а ведь только они могут защитить организацию от кражи мобильных устройств.

О личности грабителя в настоящее время ничего не известно, однако представитель Lifeblood д-р Эдвард Скотт (Edward Scott) полагает, что им может быть бывший сотрудник организации. «Мы опасаемся, что утечка отпугнет людей от донорства. Кровь всегда будет нужна обществу, и мы не можем ее синтезировать искусственно», - отметил д-р Скотт. С последним утверждением мы можем только согласиться.

Комментарий Владимира Ульянова, руководителя аналитического центра компании Perimetrix: «Интересно, зачем кровяному банку понадобились номера социального страхования доноров? По-видимому, они используют их, как идентификатор каждого конкретного человека, который пришел сдавать кровь. Лучше бы они придумали другой, безвредный идентификатор, не представляющий никакой ценности для мошенников».

Вероятность компрометации данных: высокая
Примерный ущерб в результате утечки: нельзя оценить. Ухудшение репутации Lifeblood может привести к оттоку доноров и, как следствие – к нехватке крови и умирающим пациентам.
или введите имя

CAPTCHA