6 Декабря, 2008

Агентство из штата Флоридо подставило местных безработных

Perimetrix_breach_blog

Организация: Агентство трудовых ресурсов штата Флорида (Florida Agency for Workforce Innovation)
Пострадавшие: жители штаты, которые обращались в центры занятости (One-Stop Career Centers) с января 2002 по ноябрь 2007 гг. В общей сложности, 250 000 человек
Скомпрометированные данные: имена, адреса, номера телефонов и социального страхования
Краткое описание утечки: сведения о жителях штата были опубликованы в глобальной сети в ноябре нынешнего года

Вероятность использования данных в незаконных целях: высокая
Примерный ущерб в результате утечки: 24 млн. долл.

По сообщениям американских СМИ, база безработных жителей Флориды случайно оказалась на тестовом сервере, который был доступен в глобальной сети. Персональные сведения хранились в нескольких текстовых файлах, а также файлах Microsoft Excel. Утечка была обнаружена абсолютно случайно – ее заметил специалист сторонней компании Liberty Coalition Аарон Титус (Aaron Titus), который тут же оповестил представителей агентства, правоохранительные органы и администрацию поисковых систем, проиндексировавших секретную информацию.

«Данная утечка – пример вопиющей халатности со стороны сотрудников агентства, - отметил Аарон Титус. – Я не понимаю, как можно было разместить настолько большую базу на сервере, который имел доступ в интернет? Это самая большая утечка, с которой я когда-либо напрямую сталкивался». Предполагается, что информация была доступна в интернете в течение как минимум календарного месяца. На данный момент агентство не располагает сведениями об использовании приватных данных в незаконных целях, однако такая возможность не может быть исключена. Всем пострадавшим в результате утечки жителям будут разосланы специальные оповещения.

Интересно, что вскоре после появления сообщений об утечке, агентство запустило специальный сайт помощи пострадавшим. Посетителям этого сайта, в частности, предлагалось ввести четыре последних цифры своего номера социального страхования «для целей верификации». При этом, передача этих сведений (которые в некоторых случаях используются для выдачи кредитов) велась по незащищенным и незашифрованным каналом.

Комментарий Владимира Ульянова, руководителя аналитического центра компании Perimetrix: «Агентство из Флориды как минимум трижды показало свою полную некомпетентность в вопросах безопасности. В начале сотрудники агентства зачем-то сделали тестовый сервер видимым из интернета. Затем, они почему-то загрузили на него строго конфиденциальную информацию. И после этого, они не сумели создать простейший защищенный портал. Мне кажется, что человеку, который отвечает в агентстве за безопасность, необходимо срочно уволиться с работы по собственному желанию»

Референс:
CBS Channel 4 News
WINK News
или введите имя

CAPTCHA