Обзор утечек: 25 августа - 31 августа

Теги: Perimetrix, утечка данных

За период с 25 по 31 августа аналитический центр компании Perimetrix зафиксировал шесть серьезных утечек информации. Две из них могут иметь очень масштабные последствия, которые измеряются в миллионах долларов.

За период с 25 по 31 августа аналитический центр компании Perimetrix зафиксировал шесть серьезных утечек информации. Две из них могут иметь очень масштабные последствия, которые измеряются в миллионах долларов:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
Pennsylvania Department of Public Welfare госструктура почтовая утечка 2 845 700 тыс.
Louisiana Real Estate Commission госструктура веб-утечка 13 000 2,5 млн.
Alaska Airlines авиация инсайд нет данных нет данных
Ohio Police & Fire Pension Fund госструктура инсайд 13 000 1 млн.
American Express, NatWest и Royal Bank of Scotland финансы потеря носителя "более миллиона" 12 млн.
Best Western сервисы хакерская атака ? ?
ИТОГО: более миллиона 16,2 млн.


Была ли утечка в Best Western?

На прошлой неделе шотландское издание Sunday Herald сообщило о масштабной утечке информации в международной сети Best Western, объединяющей более 4 тыс. отелей. По сведениям издания, в результате хакерской атаки, в интернете оказалась огромная база с информацией о 8 млн. банковских карт клиентов Best Western. Специалисты компании Perimetrix не соглашаются с оценками Sunday Herald и предполагают, что последствия утечки были серьезно завышены.

Журналисты таблоида утверждают, что они провели специальное расследование, в ходе которого выяснили подробности утечки. По версии издания, некий «индийский хакер-новичок» сумел обойти систему защиты Best Western и установил троянскую программу на компьютере, применявшемся для бронирования номеров в отелях. В дальнейшем с помощью этой программы он получил авторизационные данные (логин-пароль) операторов, достаточные для доступа к секретной базе.
После этого, предполагает Sunday Herald, хакер разместил пароли для доступа к данным на нелегальном веб-ресурсе, который принадлежит «печально известной русской мафии». По данным издания, эта «мафия» предоставляет «защищенные и неотслеживаемые» хостинг-сервисы, «не задавая при этом дополнительных вопросов».

Никаких серьезных доказательств своей версии Sunday Herald не приводит. Издание утверждает, что перед публикацией статьи о проблеме было сообщено в Best Western, и брешь в безопасности была ликвидирована. Вместе с тем, если история индийского хакера действительно окажется правдой, вся информация о клиентах Best Western уже находится в руках злоумышленников.

Представители сети отелей активно отреагировали опубликованную статью, назвав ее «безосновательной» и «преувеличенной». Best Western подчеркивают, что утечка имело место быть, однако она касалась всего лишь одного немецкого отеля и считанного количества клиентов. «Такой масштабной утечки не могло произойти в принципе, - отмечается в заявлении Best Western. – Наша компания прошла аудит соответствия стандарту PCI DSS, который явно требует хранить только необходимые сведения. Поэтому все персональные данные наших клиентов удаляются после выписки из отелей, а значит – информация Sunday Herald не может соответствовать действительности».

База с миллионом банковских записей ушла с аукциона eBay

ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Эксперты компании Perimetrix отмечают, что подобная база стоит на черном рынке миллионы долларов, однако компьютер был продан по цене всего лишь в £35.

Проданный компьютер принадлежал компании Mail Source, входящей в корпорацию Graphic Data, которая предлагает финансовым структурам услуги по обработке информации. По словам представителя Mail Source, в настоящее время проводится расследование, призванное определить истинную причину утечки. Вместе с тем, компания уже выяснила имя сотрудника, который выставил злополучный компьютер на аукцион.

«Я не мог в это поверить. На компьютере хранились файлы со строго конфиденциальной информацией тысяч и тысяч людей, - отметил Чепмен. – Профессиональная организация, которая обрабатывает такую информацию, должна принять все меры, чтобы перед продажей компьютеров она была надежным образом уничтожена».

Сотрудник пенсионного фонда подозревается в спланированном инсайде

Сотрудник пенсионного фонда штата Огайо подозревается властями в спланированной краже информации с целью ее дальнейшего использования. 56-летний Ричард Конвей (Richard A. Conway) отправил на личный почтовый ящик приватную базу с номерами социального страхования 13 000 человек. В дальнейшем Конвей отказался подписать заявление о нераспространении этой информации.

Поначалу руководства фонда не верило в плохие намерения своего бывшего сотрудника. «Конечно, г-н Конвей нарушил наши политики безопасности, однако мы не верим, что он хотел использовать эту информацию для совершения преступлений», - отметил исполнительный директор фонда Уильям Эстабрук (William Estabrook). Вскоре после появления данных об утечке, Эстабрук отправил Конвею письменное уведомление с требованием подписать заявление о неиспользовании и нераспространении информации. Ответа от Конвея так и не пришло; мотивы, которые не позволяют подписать ему заявление, до сих пор неясны.
Как и в большинстве подобных случаев, утечка была обнаружена совершенно случайно – один из сотрудников службы безопасности заметил слишком большое вложение в одном из писем Конвея.

«Мы сознательно решили рассказать об этом случае, поскольку аналогичные инциденты десятками происходят в каждой компании, отметил руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Как правило, они не расцениваются как серьезные утечки и практически всегда игнорируются службой безопасности. Такой подход мне представляется крайне неправильным, поскольку он полностью развязывает руки злонамеренным инсайдерам. Они могут не опасаться, что их кто-то поймает и объяснять свои действия необходимостью работы на дому».

Заедание бумаги способно привести к утечке информации

Тем временем, весьма забавная утечка случилась в штате Пенсильвания. Местное министерство общественного благосостояния (Department of Public Welfare) печатало листовки с информацией о государственных пособиях. Во время печати в одной из полиграфических машин заело бумагу, что привело к смещению листов в рассылке. Как следствие, примерно 1 300 номеров социального страхования ушли по адресам, не принадлежащим их владельцам.

Спустя несколько дней после рассылки, министерство стало получать массовые звонки от рассерженных жителей, получивших чужие оповещения о пособиях. Правительство штата сообщило, что оно активно работает с компанией Guenther - производителем полиграфической машины, которая допустила критический сбой. По словам официальных лиц, во время следующих рассылок каждый пятидесятый пакет будет проверяться на предмет корректности указанного адреса.

Действия властей вызвали недоумение у экспертов компании Perimetrix. «Мне кажется, что настоящей причиной утечки являются не проблемы с печатью, а сам факт печати номеров соцстрахования на рассылаемых бланках, - отметил Владимир Ульянов. - Я не понимаю, зачем печатать этот номер, если конверт итак предназначен для человека, которому он принадлежит? Кроме рисков, связанных с неправильной печатью, существует масса других возможностей утечки, например, из-за халатных действий персонала».

Оставшиеся утечки недели:


или введите имя

CAPTCHA
1
04-09-2008 09:52:39
Вскоре после появления данных об утечке, Эстабрук отправил Конвею письменное уведомление с требованием подписать заявление о неиспользовании и нераспространении информации.интересно, почему его не попросили подписатль эти бумаги перед тем, как дать ему доступ к этой информации.
0 |
1
04-09-2008 10:21:25
это разные вещи. Он скорее всего подписал такие бумаги. а во-втором случае речь шла уже о конкретных файлах, которые были пересланы
0 |
1
04-09-2008 10:39:37
а вообще, неплохо так этот периметрикс уже распиарился...
0 |