Обзор утечек: 21 апреля - 27 апреля

Теги: Perimetrix, утечка данных

Последняя полная неделя апреля вместила в себя сразу 9 утечек информации.

Последняя полная неделя апреля вместила в себя сразу 9 утечек информации. Несмотря на большое количество инцидентов, ни один из них не стал по-настоящему масштабным – по сведениям аналитического центра компании Perimetrix самая серьезная утечка затронула 34 000 человек. По нынешним меркам это сравнительно низкий показатель, ведь инциденты с шестизначным числом пострадавшим случаются по несколько раз в месяц.

Подробная информация об утечках недели представлена в традиционной сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
Stokes County Schools образование кража ноутбука 400-800 10 тыс.
SPX Corporation промышленность кража ноутбука 403 30 тыс.
University of Texas образование/медицина ошибка персонала 2 000 нет данных
LendingTree финансы инсайд/ошибка персонала 3 нет данных нет данных
The Boots Company PLC розничная сеть кража носителя 34 000 6 млн.
Штат Оклахома госструктура веб-утечка 10 000 2,5 млн.
Bank of Ireland финансы кража ноутбука 10 000 4 млн.
Swimwear Boutique Интернет-торговля хакерское вторжение 10 000 900 тыс.
WiseBuys Stores розничная сеть нет данных "сотни" 250 тыс.
    ИТОГО: 67 000 13,7 млн.


Беззащитные американские школы

Практика показывает, что американские образовательные учреждения беззащитны не только перед учениками-маньяками, но и перед угрозой утечки информации. Как правило, школьники попросту взламывают не слишком защищенные системы и скачивают персональные сведения ради интереса и самоутверждения. Утечка в округе Стоукс, штат Северная Каролина, выпадает из этого правила – на сей раз причиной инцидента стал банально украденный ноутбук.

По данным аналитического центра Perimetrix, пропавший компьютер был защищен «двумя системами безопасности», однако что это за системы – неизвестно. Жесткий диск устройства содержал номера социального страхования «сотен» (от 400 до 800) учеников, которые, по-видимому, использовались в качестве идентификаторов. Интересно, что данная утечка стала уже четвертым инцидентом в американских школах в течение апреля. Напомним, что три предыдущих случая случились в школах городов Вилльямсвилля, Джольет, а также округа Броуворд

И снова о партнерах…

Аналитики компании Perimetrix не раз говорили о важности контроля партнерских организаций. На нынешней неделе стало известно еще одной «партнерской» утечке, затронувшей как минимум четыре организации. Виновником инцидента стал сотрудник компании USinternetworking, Inc, который не сумел обеспечить должную защиту еще одного «конфиденциального» ноутбука.

Следствием кражи компьютера стала утечка сведений сотрудников компаний, которые покупали услуги USi. В указанной выше ссылке приведена информация об одной такой компании – промышленном конгломерате SPX. Чуть позже появились сведения и о других пострадавших – финансовой фирме XL Global Services, Inc, а также сети мексиканских закусочных Chipotle Mexican Grill. Аналитики Perimetrix уверены, USinternetworking не сможет возвратить своим партнерам полную сумму ущерба просто потому, что репутационные потери крайне трудно точно оценить.

«Письма счастья» от Университета Техаса

Глупейшую утечку информации допустил на днях медицинский центр техасского Университета (UTHSCT). И здесь не обошлось без партнера – организации с весьма серьезным названием CBE Group. Данная фирма рассылала конверты пациентам медицинского центра, однако зачем-то напечатала на них номера социального страхования. В итоге получилась утечка информация, в результате которой пострадали не менее 2 000 человек.

По словам операционного директора (СОО) UTHSCT Роба Маршалла (Rob Marshall) проблема была быстро решена, однако его мнение о CBE Group существенно ухудшилось. «Пока мы пытаемся оценить ситуацию. Я не могу сказать, что мы точно разорвем с ними контракт, однако такое развитие событий представляется наиболее вероятным», - отметил г-н Маршалл.

Утечка в LendingTree: не рассказывайте партнерам лишнего

Стоит отметить, что прошедшая неделя была богата на «партнерские» инциденты. Довольно необычная утечка случилась в ипотечной фирме LendingTree из штата Северная Каролина. Компания сообщила, что бывшие сотрудники LendingTree предоставили некие «пароли для доступа» нескольким компаниям-партнерам. В результате под угрозой кражи личности оказались клиенты LendingTree, точное количество которых неизвестно.

По мнению аналитиков Perimetrix, этот инцидент интересен, прежде всего, тем, что о нем было заявлено публично. Аналогичная практика наблюдается во многих компаниях по всему миру, однако далеко не все осознают ее порочность и потенциальную опасность

Крупнейшая утечка недели…

произошла в английской компании Boots. Вопреки названию, эта фирма никак не связана с обувью; она владеет крупнейшей сетью аптек. Утечка, впрочем, с аптеками непосредственно не связана – в результате кражи резервных лент пострадали 34 000 человек, большинство из которых пользовались страховой программой Boots' Dental Plan.

Аналитический центр Perimetrix, отмечает, что кража лент практически всегда означает крупную утечку даже несмотря на то, что для их чтения требуется специальное оборудование. Современные компании часто пренебрегают шифрованием информации на ноутбуках, и ожидать шифрования данных на лентах было бы, по крайней мере, наивно.

Ссылка как SQL-запрос

Весьма интересная утечка информации произошла недавно в штате Оклахома. На сайте управления исправительными учреждениями штата (Department of Corrections) была обнаружена серьезная уязвимость, связанная с веб-программированием и SQL-запросами. Оказалось, что для доступа к 10 000 конфиденциальным записей (номеров социального страхования) достаточно немного модифицировать ссылку, которая по совместительству являлась стандартной SQL-командой SELECT. По мнению аналитиков компании Perimetrix, провернуть этот фокус мог едва ли не любой пользователь компьютера.

Любопытно, что после появления информации об утечке, сотрудники управления попробовали исправить ошибку, но сделали это крайне непрофессионально. Вместо того, чтобы полностью убрать информацию с сайта, они установили проверку регистра в поступающих ссылках. Таким образом, информация все равно оставалась доступной – для ее скачивания требовалось написать словосочетание «Social_security_number» в ссылке именно таким образом (Social - с большой буквы).

Ирландский банк полгода замалчивал утечку

Один из крупнейших ирландских банков Bank of Ireland потерял четыре «конфиденциальных» ноутбука еще в прошлом году, однако информация об утечке просочилась в прессу только сейчас. Бомбу местного масштаба взорвал Билли Хоукс (Billy Hawkes), комиссар Ирландии по вопросам приватности, который рассказал об инциденте в эфире национального канала RTE. Руководству банка пришлось признать задержку и заодно покаяться в собственных грехах.

Представитель банка Брайан Форестер (Brian Forester) заявил, что задержка была связана с «невыполнением внутренних процедур банка». В частности, информация об инциденте «не дошла до менеджеров должного уровня». Другими словами, рядовые сотрудники банка просто замалчивали сведения о случившейся утечке, боясь провиниться перед руководством. Как следствие – 10 000 пострадавших уже давно рискуют потерять деньги со своих банковских счетов.

Покупать купальники в Интернете – опасно

Именно такой вывод можно сделать из еще одного инцидента недели, случившегося в Интернет-магазине Swimwear Boutique. Сотрудники магазина сообщили, что в результате хакерского вторжения были скомпрометированы учетные записи клиентов магазина. Точное количество пострадавших не сообщается, однако известно, что в штате Нью-Гемпшир с населением в 1,2 млн. оказалось 37 пострадавших. Если предположить, что пострадавшие распределены равномерно по территории США, то общее количество фигурантов утечки может составить 10 000 человек.

Эксперты Perimetrix отмечают, что магазин Swimwear Boutique пользовался услугой Hacker Safe от компании McAfee. Все пострадавшие в результате инцидента получат традиционные оповещения, а также бесплатную годовую подписку на услугу кредитного мониторинга.

Сеть розничных магазинов WiseBuys узнала об утечке постфактум

Последняя утечка недели случилась в небольшой розничной сети WiseBuys, расположенной в штате Нью-Йорк. Данная утечка была обнаружена постфактум, после анализа заявлений людей, которые оплачивали покупки в WiseBuys банковскими картами. Оказалось, что в начале нынешнего года для этих карт были изготовлены поддельные дубликаты, с которых снималась наличность и оплачивались услуги.

По сведениям полиции города Кантона (Canton), «неизвестные мошенники сумели провести «тысячи» незаконных транзакций с «сотен» банковских карт клиентов WiseBuys». Общая сумма ущерба уточняется, однако известно, что она заведомо больше 100 тыс. долл. Предполагается, что все пострадавшие делали покупки в магазинах WiseBuys с 5 по 20 декабря прошлого года.

или введите имя

CAPTCHA