Обзор утечек 16-29 июня
Обзор утечек 16-29 июня
Alexander Antipov
В отличие от предыдущих периодов, в конце июня практически не происходило серьезных утечек информации
В отличие от предыдущих периодов, в конце июня практически не происходило серьезных утечек информации. За вторую половину месяца аналитический центр компании Perimetrix зафиксировал всего лишь 11 инцидентов, причем только один из них можно назвать по-настоящему масштабным. Краткая информация обо всех случившихся утечках представлена в следующей таблице:
Отметим, что одиннадцать допустивших утечки компаний представляют девять принципиально различных отраслей. Это наблюдение еще раз подтверждает тот факт, что от утечек не застрахована ни одна современная организация.
Интернет-магазин забыл оповестить об утечке собственных клиентов
Самый масштабный инцидент отчетного периода случился в компании Direct Marketing Services, которая владеет сразу несколькими интернет-магазинами (самый известный из них – Montgomery Ward ). На самом деле, утечка произошла еще в прошлом декабре, однако информация о ней просочилась в прессу только сейчас. Эксперты аналитического центра Perimetrix предполагают, что Direct Marketing Services пыталась «замалчивать» инцидент максимально длительное время.
Как сообщает агентство Associated Press, причиной утечки стала деятельность хакеров, сумевших взломать базу Direct Marketing Services с подробной информацией о банковских картах клиентов. По словам генерального директора (CEO) Direct Marketing Services Дэвида Милгрома (David Milgrom), после утечке компания выполнила все предписания банковской системы Visa и сообщила о мошенничестве в правоохранительные органы, но никаких мер по оповещению пострадавших сделано не было. Скрывая утечку, Direct Marketing Services пыталась снизить издержки на рассылку уведомлений и избежать репутационных потерь.
Однако несмотря на все усилия ритейлера, утечка все же стала публичной в конце нынешнего июня. Ее «обнародовала» исследовательская компания CardCops, которая проводит различные исследования по борьбе с «карточными» мошенниками. По данным CardCops в начале июня на одном из интернет-форумов появилась крупная база данных, содержавшая информацию о 200 000 банковских карт. Перехватив несколько сотен записей и обзвонив владельцев карт, исследователи из CardCops выяснили, что все они делали покупки в магазине Montgomery Ward, который входит в Direct Marketing Services.
По сведениям AP, в результате утечки пострадала только 51 000 клиентов. Как соотносится эта цифра с размером базы, которая была обнаружена CardCops, до сих пор не совсем понятно.
Калифорнийское ведомство не умеет работать с электронной почтой
К такому выводу пришли эксперты аналитического центра компании Perimetrix, изучив обстоятельства утечки в калифорнийском управлении по делам потребителей. Предполагается, что файл (Microsoft Word) с персональными сведениям 5 000 сотрудников управления был по ошибке разослан нелегитимному адресату. Самое удивительное, что управление до сих пор точно не знает когда и кому именно был отправлен этот злополучный файл.
Пикантность этой ситуации заключается в том, что именно управление по делам потребителей обязано защищать потребителей от разнообразных типов угроз. Более того, с 2003 по 2007 год калифорнийское управление даже проводило специальные курсы по защите от кражи личности – однако так и не сумело защитить своих же сотрудников.
…а сотрудники Virgin Media не выполняют политики безопасности
Тем временем, на Туманном Альбионе «отличились» сотрудники медиахолдинга Virgin Media. Как сообщает издание The Register, один из них зачем-то записал банковскую информацию клиентов на оптический диск («болванку»), который тут же был безвозвратно потерян. При этом политика безопасности Virgin настоятельно рекомендует сотрудникам «использовать для передачи конфиденциальных файлов только защищенные ftp-соединения».
Поскольку Virgin не раскрывает точных деталей пропажи носителя, оценить вероятность незаконного использования информации достаточно трудно. При этом известно, что персональные сведения не были зашифрованы, а всем пострадавшим будут оказаны банковские услуги по защите от кражи личности. Пострадавших, кстати, набралось достаточно много – как минимум, 3 000 человек.
BearingPoint: сапожник без сапог
Американская компания BearingPoint давно предлагает своим клиентам консалтинговые услуги по защите от утечек информации. На главной странице официального сайта фирмы даже висит красочный баннер, на котором крупными буквами написано, что «кража личности является наиболее опасным интернет-преступлением в течение последних 8 лет». Последняя неделя июня показала, что BearingPoint вряд ли сможет защитить своих клиентов – пока она не в состоянии обезопасить даже собственную информацию.
Репутация BearingPoint оказалась под угрозой из-за халатных действий одного из сотрудников. По сведениям экспертов компании Perimetrix, этот сотрудник принес домой корпоративный ноутбук, забыв провести шифрование информации. Результаты такого трудоголизма давно известны - ноутбук украли грабители, а запланированная работа так и осталась нетронутой.
Все было бы не так плохо, если бы на ноутбуке не хранилась приватная база данных с номерами социального страхования подрядчиков BearingPoint. По-видимому, теперь консалтинговой компании придется консультировать саму себя.
NHS продолжает бить рекорды по количеству утечек информации
Британская медицинская корпорация NHS достигла уникальных показателей на поприще утечек информации: на прошлой неделе аналитический центр Perimetrix отметил уже 11 (!) публичный инцидент в NHS за последние 10 месяцев. На этот раз пострадали пациенты хирургического отделения больницы в Вулвергемптоне (11 000 человек), сведения которых хранились на очередном украденном ноутбуке.
Аудиторы доказали незащищенность университетов Аризоны
Трудности, связанные с обеспечением информационной безопасности, давно являются одной из основных проблем американских университетов. Проверка, проведенная генеральным аудиторским офисом Аризоны (The Office of the Auditor General), показала, что сайты нескольких местных учебных заведений имеют многочисленные уязвимости . Аудиторам удалось получить нелегитимный доступ к персональным сведениям 10 000 студентов и изменить информацию на интернет-порталах ВУЗов.
По данным аудиторского отчета, уязвимости были найдены в веб-приложениях ведущих университетов Аризоны – Arizona State University (ASU), University of Arizona (UA) и Northern Arizona University (NAU).
Оставшиеся утечки недели:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| R.E. Moulton | финансы | кража ноутбука | 19 000 | 3 млн. |
| Texas Insurance Claims Services | финансы | бумажная утечка | нет данных | нет данных |
| Petroleum Wholesale, L. P | торговля | бумажная утечка | нет данных | 200 тыс. |
| Wolverhampton City Primary Care Trust | медицина | кража ноутбука | 11 000 | 1.3 млн. |
| BearingPoint | консалтинг | кража ноутбука | нет данных | нет данных |
| Concord's Community College | образование | кража носителя | 128 | 20 тыс. |
| Университеты штата Аризона | образование | веб-утечка | 10 000 | 1.4 млн. |
| Colt Express Outsourcing Services | аутсорсинг | кража компьютера | 6 500 | 1 млн. |
| California Department of Consumer Affairs | госструктура | ошибка персонала | 5 000 | 700 тыс. |
| Virgin Media | медиа | потеря носителя | 3 000 | 800 тыс. |
| Direct Marketing Services | интернет-магазин | хакерская атака | 51 000 | 13 млн. |
| ИТОГО: | 105 628 | 21.4 млн. |
Отметим, что одиннадцать допустивших утечки компаний представляют девять принципиально различных отраслей. Это наблюдение еще раз подтверждает тот факт, что от утечек не застрахована ни одна современная организация.
Интернет-магазин забыл оповестить об утечке собственных клиентов
Самый масштабный инцидент отчетного периода случился в компании Direct Marketing Services, которая владеет сразу несколькими интернет-магазинами (самый известный из них – Montgomery Ward ). На самом деле, утечка произошла еще в прошлом декабре, однако информация о ней просочилась в прессу только сейчас. Эксперты аналитического центра Perimetrix предполагают, что Direct Marketing Services пыталась «замалчивать» инцидент максимально длительное время.
Как сообщает агентство Associated Press, причиной утечки стала деятельность хакеров, сумевших взломать базу Direct Marketing Services с подробной информацией о банковских картах клиентов. По словам генерального директора (CEO) Direct Marketing Services Дэвида Милгрома (David Milgrom), после утечке компания выполнила все предписания банковской системы Visa и сообщила о мошенничестве в правоохранительные органы, но никаких мер по оповещению пострадавших сделано не было. Скрывая утечку, Direct Marketing Services пыталась снизить издержки на рассылку уведомлений и избежать репутационных потерь.
Однако несмотря на все усилия ритейлера, утечка все же стала публичной в конце нынешнего июня. Ее «обнародовала» исследовательская компания CardCops, которая проводит различные исследования по борьбе с «карточными» мошенниками. По данным CardCops в начале июня на одном из интернет-форумов появилась крупная база данных, содержавшая информацию о 200 000 банковских карт. Перехватив несколько сотен записей и обзвонив владельцев карт, исследователи из CardCops выяснили, что все они делали покупки в магазине Montgomery Ward, который входит в Direct Marketing Services.
По сведениям AP, в результате утечки пострадала только 51 000 клиентов. Как соотносится эта цифра с размером базы, которая была обнаружена CardCops, до сих пор не совсем понятно.
Калифорнийское ведомство не умеет работать с электронной почтой
К такому выводу пришли эксперты аналитического центра компании Perimetrix, изучив обстоятельства утечки в калифорнийском управлении по делам потребителей. Предполагается, что файл (Microsoft Word) с персональными сведениям 5 000 сотрудников управления был по ошибке разослан нелегитимному адресату. Самое удивительное, что управление до сих пор точно не знает когда и кому именно был отправлен этот злополучный файл.
Пикантность этой ситуации заключается в том, что именно управление по делам потребителей обязано защищать потребителей от разнообразных типов угроз. Более того, с 2003 по 2007 год калифорнийское управление даже проводило специальные курсы по защите от кражи личности – однако так и не сумело защитить своих же сотрудников.
…а сотрудники Virgin Media не выполняют политики безопасности
Тем временем, на Туманном Альбионе «отличились» сотрудники медиахолдинга Virgin Media. Как сообщает издание The Register, один из них зачем-то записал банковскую информацию клиентов на оптический диск («болванку»), который тут же был безвозвратно потерян. При этом политика безопасности Virgin настоятельно рекомендует сотрудникам «использовать для передачи конфиденциальных файлов только защищенные ftp-соединения».
Поскольку Virgin не раскрывает точных деталей пропажи носителя, оценить вероятность незаконного использования информации достаточно трудно. При этом известно, что персональные сведения не были зашифрованы, а всем пострадавшим будут оказаны банковские услуги по защите от кражи личности. Пострадавших, кстати, набралось достаточно много – как минимум, 3 000 человек.
BearingPoint: сапожник без сапог
Американская компания BearingPoint давно предлагает своим клиентам консалтинговые услуги по защите от утечек информации. На главной странице официального сайта фирмы даже висит красочный баннер, на котором крупными буквами написано, что «кража личности является наиболее опасным интернет-преступлением в течение последних 8 лет». Последняя неделя июня показала, что BearingPoint вряд ли сможет защитить своих клиентов – пока она не в состоянии обезопасить даже собственную информацию.
Репутация BearingPoint оказалась под угрозой из-за халатных действий одного из сотрудников. По сведениям экспертов компании Perimetrix, этот сотрудник принес домой корпоративный ноутбук, забыв провести шифрование информации. Результаты такого трудоголизма давно известны - ноутбук украли грабители, а запланированная работа так и осталась нетронутой.
Все было бы не так плохо, если бы на ноутбуке не хранилась приватная база данных с номерами социального страхования подрядчиков BearingPoint. По-видимому, теперь консалтинговой компании придется консультировать саму себя.
NHS продолжает бить рекорды по количеству утечек информации
Британская медицинская корпорация NHS достигла уникальных показателей на поприще утечек информации: на прошлой неделе аналитический центр Perimetrix отметил уже 11 (!) публичный инцидент в NHS за последние 10 месяцев. На этот раз пострадали пациенты хирургического отделения больницы в Вулвергемптоне (11 000 человек), сведения которых хранились на очередном украденном ноутбуке.
Аудиторы доказали незащищенность университетов Аризоны
Трудности, связанные с обеспечением информационной безопасности, давно являются одной из основных проблем американских университетов. Проверка, проведенная генеральным аудиторским офисом Аризоны (The Office of the Auditor General), показала, что сайты нескольких местных учебных заведений имеют многочисленные уязвимости . Аудиторам удалось получить нелегитимный доступ к персональным сведениям 10 000 студентов и изменить информацию на интернет-порталах ВУЗов.
По данным аудиторского отчета, уязвимости были найдены в веб-приложениях ведущих университетов Аризоны – Arizona State University (ASU), University of Arizona (UA) и Northern Arizona University (NAU).
Оставшиеся утечки недели:
- CNET Networks страдает из-за утечки в третьей фирме
- Колледж в Нью-Гемпшире потерял флешку
- Американская нефтяная компания будет оштрафована за выброс документов
- Страховая компания из Техаса забыла уничтожить документы
- R.E. Moulton теряет ноутбук
Ваш провайдер знает о вас больше, чем ваша девушка?