Обзор утечек: 14 июля - 27 июля
Обзор утечек: 14 июля - 27 июля
Alexander Antipov
За период с 14 по 27 июля аналитический центр компании Perimetrix зафиксировал 11 новых утечек информации, в результате которых пострадали практически 200 тыс. человек.
За период с 14 по 27 июля аналитический центр компании Perimetrix зафиксировал 11 новых утечек информации, в результате которых пострадали практически 200 тыс. человек. Общий оценочный ущерб от всех инцидентов составил примерно 26 млн. долл.
Краткая информация о всех случившихся утечках представлена в сводной таблице:
Медицинский центр в штате Невада собирал сведения о прививках от гриппа
Крупнейшая утечка за последние две недели произошла в медицинском центре Святой Марии , который располагается в городе Рено, штат Невада. Корпоративная сеть этого центра не устояла перед атакой неустановленного хакера, который сумел взломать «проприетарную» базу данных, используя уязвимость официального сайта. По мнению аналитиков Perimetrix, причиной взлома, скорее всего, являлась стандартная SQL-инъекция.
В результате инцидента пострадали 128 000 человек, многие из которых даже не являлись клиентами медицинского центра. По официальной версии, приватные сведения этих людей попали в базу данных через третьи компании, которые проводили вакцинацию против гриппа и других заболеваний. Представители медицинского центра утверждают, что скомпрометированная база использовалась для «обучения сотрудников и разработки оздоровительных программ», однако она не содержала никаких медицинских сведений. А использовать имена, адреса, номера социального страхования и банковских счетов для образовательных целей довольно странно.
Коробка с лентами потерялась на участке в 7 километров
Тем временем, администрация чикагского пригорода Tinley Park объявила о таинственном исчезновении коробки с несколькими резервными лентами. Предполагается, что ленты потерялись во время перевозки из здания администрации округа в здание полицейского департамента, расстояние между которыми составляет всего лишь 7 километров.
По данным аналитического центра Perimetrix, пропавшие носители хранили персональные сведения 20 000 жителей пригорода, общее население которого составляет 50 000 человек. Поскольку информация о шифровании на данный момент отсутствует, можно предположить, что эта мера защиты не использовалась.
Американские военные теряют «приватные» ноутбуки
Сразу две утечки информации случились в американских военных формированиях. Эти инциденты развивались по одинаковому сценарию – в обоих случаях были потеряны ноутбуки с персональными сведениями (номерами социального страхования) военнослужащих. В штате Вашингтон ( Форт Льюис ) пострадали примерно 900 человек, а в штате Миссури ( национальная гвардия ) – практически 2 000.
Специалисты аналитического центра Perimetrix предполагают, что шифрование в обоих случаях не применялось, а пропавшие ноутбуки могут содержать не только персональные данные, но и военные секреты.
Университет Мериленда напечатал номера социального страхования на конвертах
Непростительную оплошность допустили сотрудники университа Мериленда, которые занимались рассылкой писем со схемой и правилами парковки на территории кампуса. Напечатав на каждом конверте номер социального страхования адресата, они скомпрометировали сведения всех студентов университета, а это – более 24 тыс. человек.
Интересно, что рассылка стартовала 1 июля, однако вопиющая ошибка обнаружилась лишь неделю спустя, после того, как получатели писем стали жаловаться университету. Информация печаталась на конвертах с помощью специального ПО, которое, по-видимому, было неправильно настроено или допустило какой-то сбой. В результате, вместо идентификационных номеров студентов (University identification number), на конвертах оказались номера социального страхования. Для персонала университета эта подмена оказалась «неочевидной».
Сведения о сотрудниках вашингтонского метро случайно обнаружились в сети
По словам представителей метро, документ с персональными сведениями 4 700 человек был доступен на официальном сайте метро Вашингтона с 9 по 25 июня нынешнего года. Всем пострадавшим в результате утечки жителям уже разосланы почтовые оповещения, а также предложены услуги бесплатного кредитного мониторинга и страхования от кражи личности. Несмотря на то, что сведения долгое время находились в открытом доступе, руководство метрополитена предполагает, что вероятность незаконного использования скомпрометированной информации крайне мала.
Оставшиеся утечки недели:
Краткая информация о всех случившихся утечках представлена в сводной таблице:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
| |
|---|---|---|---|---|---|
| Fort Lewis | госструктура | кража ноутбука | 900 | 200 тыс. | |
| Метро г. Вашингтон | услуги | веб-утечка | 4 700 | 900 тыс. | |
| Indiana State University | образование | кража ноутбука | 2 700 | 700 тыс. | |
| Saks Incorporated | розничная сеть | кража ноутбука | ~100 000 | 15 млн. | |
| Pfizer | медицина | кража носителя | 13 000 | 650 тыс. | |
| Greensboro Gynecology | медицина | кража носителя | нет данных | нет данных | |
| Missouri National Guard | госструктура | кража ноутбука | 2 000 | 500 тыс. | |
| University of Maryland | образование | ошибка персонала | 23 000 | 2 млн. | |
| Bristol-Myers Squibb | фармацевтика | потеря ленты | нет данных | нет данных | |
| Baxter International | медицина | кража ноутбука | 6 900 | 1.2 млн. | |
| Huron Consulting | консалтинг | инсайд | нет данных | нет данных | |
| Tinley Park | госструктура | потеря ленты | 20 000 | 2.5 млн. | |
| Saint Mary’s | медицина | хакерская атака | 128 000 | 18 млн. | |
| ИТОГО: | 188 200 | 26 млн. |
Медицинский центр в штате Невада собирал сведения о прививках от гриппа
Крупнейшая утечка за последние две недели произошла в медицинском центре Святой Марии , который располагается в городе Рено, штат Невада. Корпоративная сеть этого центра не устояла перед атакой неустановленного хакера, который сумел взломать «проприетарную» базу данных, используя уязвимость официального сайта. По мнению аналитиков Perimetrix, причиной взлома, скорее всего, являлась стандартная SQL-инъекция.
В результате инцидента пострадали 128 000 человек, многие из которых даже не являлись клиентами медицинского центра. По официальной версии, приватные сведения этих людей попали в базу данных через третьи компании, которые проводили вакцинацию против гриппа и других заболеваний. Представители медицинского центра утверждают, что скомпрометированная база использовалась для «обучения сотрудников и разработки оздоровительных программ», однако она не содержала никаких медицинских сведений. А использовать имена, адреса, номера социального страхования и банковских счетов для образовательных целей довольно странно.
Коробка с лентами потерялась на участке в 7 километров
Тем временем, администрация чикагского пригорода Tinley Park объявила о таинственном исчезновении коробки с несколькими резервными лентами. Предполагается, что ленты потерялись во время перевозки из здания администрации округа в здание полицейского департамента, расстояние между которыми составляет всего лишь 7 километров.
По данным аналитического центра Perimetrix, пропавшие носители хранили персональные сведения 20 000 жителей пригорода, общее население которого составляет 50 000 человек. Поскольку информация о шифровании на данный момент отсутствует, можно предположить, что эта мера защиты не использовалась.
Американские военные теряют «приватные» ноутбуки
Сразу две утечки информации случились в американских военных формированиях. Эти инциденты развивались по одинаковому сценарию – в обоих случаях были потеряны ноутбуки с персональными сведениями (номерами социального страхования) военнослужащих. В штате Вашингтон ( Форт Льюис ) пострадали примерно 900 человек, а в штате Миссури ( национальная гвардия ) – практически 2 000.
Специалисты аналитического центра Perimetrix предполагают, что шифрование в обоих случаях не применялось, а пропавшие ноутбуки могут содержать не только персональные данные, но и военные секреты.
Университет Мериленда напечатал номера социального страхования на конвертах
Непростительную оплошность допустили сотрудники университа Мериленда, которые занимались рассылкой писем со схемой и правилами парковки на территории кампуса. Напечатав на каждом конверте номер социального страхования адресата, они скомпрометировали сведения всех студентов университета, а это – более 24 тыс. человек.
Интересно, что рассылка стартовала 1 июля, однако вопиющая ошибка обнаружилась лишь неделю спустя, после того, как получатели писем стали жаловаться университету. Информация печаталась на конвертах с помощью специального ПО, которое, по-видимому, было неправильно настроено или допустило какой-то сбой. В результате, вместо идентификационных номеров студентов (University identification number), на конвертах оказались номера социального страхования. Для персонала университета эта подмена оказалась «неочевидной».
Сведения о сотрудниках вашингтонского метро случайно обнаружились в сети
По словам представителей метро, документ с персональными сведениями 4 700 человек был доступен на официальном сайте метро Вашингтона с 9 по 25 июня нынешнего года. Всем пострадавшим в результате утечки жителям уже разосланы почтовые оповещения, а также предложены услуги бесплатного кредитного мониторинга и страхования от кражи личности. Несмотря на то, что сведения долгое время находились в открытом доступе, руководство метрополитена предполагает, что вероятность незаконного использования скомпрометированной информации крайне мала.
Оставшиеся утечки недели:
- Компания Huron Consulting скомпрометировала формы W-2 своих сотрудников
- Bristol-Myers Squibb не умеет перевозить ленты
- Профессор Университета Индианы забыл про свой ноутбук
- Гинекологи из Гринсборо потеряли резервную ленту
- Сотрудник HR-департамента Baxter International оставил приватный ноутбук в отеле
Цифровые следы - ваша слабость, и хакеры это знают.