Обзор утечек: 25 августа - 31 августа
Обзор утечек: 25 августа - 31 августа
Alexander Antipov
За период с 25 по 31 августа аналитический центр компании Perimetrix зафиксировал шесть серьезных утечек информации. Две из них могут иметь очень масштабные последствия, которые измеряются в миллионах долларов.
За период с 25 по 31 августа аналитический центр компании Perimetrix зафиксировал шесть серьезных утечек информации. Две из них могут иметь очень масштабные последствия, которые измеряются в миллионах долларов:
Была ли утечка в Best Western?
На прошлой неделе шотландское издание Sunday Herald сообщило о масштабной утечке информации в международной сети Best Western, объединяющей более 4 тыс. отелей. По сведениям издания, в результате хакерской атаки, в интернете оказалась огромная база с информацией о 8 млн. банковских карт клиентов Best Western. Специалисты компании Perimetrix не соглашаются с оценками Sunday Herald и предполагают, что последствия утечки были серьезно завышены.
Журналисты таблоида утверждают, что они провели специальное расследование, в ходе которого выяснили подробности утечки. По версии издания, некий «индийский хакер-новичок» сумел обойти систему защиты Best Western и установил троянскую программу на компьютере, применявшемся для бронирования номеров в отелях. В дальнейшем с помощью этой программы он получил авторизационные данные (логин-пароль) операторов, достаточные для доступа к секретной базе.
После этого, предполагает Sunday Herald, хакер разместил пароли для доступа к данным на нелегальном веб-ресурсе, который принадлежит «печально известной русской мафии». По данным издания, эта «мафия» предоставляет «защищенные и неотслеживаемые» хостинг-сервисы, «не задавая при этом дополнительных вопросов».
Никаких серьезных доказательств своей версии Sunday Herald не приводит. Издание утверждает, что перед публикацией статьи о проблеме было сообщено в Best Western, и брешь в безопасности была ликвидирована. Вместе с тем, если история индийского хакера действительно окажется правдой, вся информация о клиентах Best Western уже находится в руках злоумышленников.
Представители сети отелей активно отреагировали опубликованную статью, назвав ее «безосновательной» и «преувеличенной». Best Western подчеркивают, что утечка имело место быть, однако она касалась всего лишь одного немецкого отеля и считанного количества клиентов. «Такой масштабной утечки не могло произойти в принципе, - отмечается в заявлении Best Western. – Наша компания прошла аудит соответствия стандарту PCI DSS, который явно требует хранить только необходимые сведения. Поэтому все персональные данные наших клиентов удаляются после выписки из отелей, а значит – информация Sunday Herald не может соответствовать действительности».
База с миллионом банковских записей ушла с аукциона eBay
ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Эксперты компании Perimetrix отмечают, что подобная база стоит на черном рынке миллионы долларов, однако компьютер был продан по цене всего лишь в £35.
Проданный компьютер принадлежал компании Mail Source, входящей в корпорацию Graphic Data, которая предлагает финансовым структурам услуги по обработке информации. По словам представителя Mail Source, в настоящее время проводится расследование, призванное определить истинную причину утечки. Вместе с тем, компания уже выяснила имя сотрудника, который выставил злополучный компьютер на аукцион.
«Я не мог в это поверить. На компьютере хранились файлы со строго конфиденциальной информацией тысяч и тысяч людей, - отметил Чепмен. – Профессиональная организация, которая обрабатывает такую информацию, должна принять все меры, чтобы перед продажей компьютеров она была надежным образом уничтожена».
Сотрудник пенсионного фонда подозревается в спланированном инсайде
Сотрудник пенсионного фонда штата Огайо подозревается властями в спланированной краже информации с целью ее дальнейшего использования. 56-летний Ричард Конвей (Richard A. Conway) отправил на личный почтовый ящик приватную базу с номерами социального страхования 13 000 человек. В дальнейшем Конвей отказался подписать заявление о нераспространении этой информации.
Поначалу руководства фонда не верило в плохие намерения своего бывшего сотрудника. «Конечно, г-н Конвей нарушил наши политики безопасности, однако мы не верим, что он хотел использовать эту информацию для совершения преступлений», - отметил исполнительный директор фонда Уильям Эстабрук (William Estabrook). Вскоре после появления данных об утечке, Эстабрук отправил Конвею письменное уведомление с требованием подписать заявление о неиспользовании и нераспространении информации. Ответа от Конвея так и не пришло; мотивы, которые не позволяют подписать ему заявление, до сих пор неясны.
Как и в большинстве подобных случаев, утечка была обнаружена совершенно случайно – один из сотрудников службы безопасности заметил слишком большое вложение в одном из писем Конвея.
«Мы сознательно решили рассказать об этом случае, поскольку аналогичные инциденты десятками происходят в каждой компании, отметил руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Как правило, они не расцениваются как серьезные утечки и практически всегда игнорируются службой безопасности. Такой подход мне представляется крайне неправильным, поскольку он полностью развязывает руки злонамеренным инсайдерам. Они могут не опасаться, что их кто-то поймает и объяснять свои действия необходимостью работы на дому».
Заедание бумаги способно привести к утечке информации
Тем временем, весьма забавная утечка случилась в штате Пенсильвания. Местное министерство общественного благосостояния (Department of Public Welfare) печатало листовки с информацией о государственных пособиях. Во время печати в одной из полиграфических машин заело бумагу, что привело к смещению листов в рассылке. Как следствие, примерно 1 300 номеров социального страхования ушли по адресам, не принадлежащим их владельцам.
Спустя несколько дней после рассылки, министерство стало получать массовые звонки от рассерженных жителей, получивших чужие оповещения о пособиях. Правительство штата сообщило, что оно активно работает с компанией Guenther - производителем полиграфической машины, которая допустила критический сбой. По словам официальных лиц, во время следующих рассылок каждый пятидесятый пакет будет проверяться на предмет корректности указанного адреса.
Действия властей вызвали недоумение у экспертов компании Perimetrix. «Мне кажется, что настоящей причиной утечки являются не проблемы с печатью, а сам факт печати номеров соцстрахования на рассылаемых бланках, - отметил Владимир Ульянов. - Я не понимаю, зачем печатать этот номер, если конверт итак предназначен для человека, которому он принадлежит? Кроме рисков, связанных с неправильной печатью, существует масса других возможностей утечки, например, из-за халатных действий персонала».
Оставшиеся утечки недели:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| Pennsylvania Department of Public Welfare | госструктура | почтовая утечка | 2 845 | 700 тыс. |
| Louisiana Real Estate Commission | госструктура | веб-утечка | 13 000 | 2,5 млн. |
| Alaska Airlines | авиация | инсайд | нет данных | нет данных |
| Ohio Police & Fire Pension Fund | госструктура | инсайд | 13 000 | 1 млн. |
| American Express, NatWest и Royal Bank of Scotland | финансы | потеря носителя | "более миллиона" | 12 млн. |
| Best Western | сервисы | хакерская атака | ? | ? |
| ИТОГО: | более миллиона | 16,2 млн. |
Была ли утечка в Best Western?
На прошлой неделе шотландское издание Sunday Herald сообщило о масштабной утечке информации в международной сети Best Western, объединяющей более 4 тыс. отелей. По сведениям издания, в результате хакерской атаки, в интернете оказалась огромная база с информацией о 8 млн. банковских карт клиентов Best Western. Специалисты компании Perimetrix не соглашаются с оценками Sunday Herald и предполагают, что последствия утечки были серьезно завышены.
Журналисты таблоида утверждают, что они провели специальное расследование, в ходе которого выяснили подробности утечки. По версии издания, некий «индийский хакер-новичок» сумел обойти систему защиты Best Western и установил троянскую программу на компьютере, применявшемся для бронирования номеров в отелях. В дальнейшем с помощью этой программы он получил авторизационные данные (логин-пароль) операторов, достаточные для доступа к секретной базе.
После этого, предполагает Sunday Herald, хакер разместил пароли для доступа к данным на нелегальном веб-ресурсе, который принадлежит «печально известной русской мафии». По данным издания, эта «мафия» предоставляет «защищенные и неотслеживаемые» хостинг-сервисы, «не задавая при этом дополнительных вопросов».
Никаких серьезных доказательств своей версии Sunday Herald не приводит. Издание утверждает, что перед публикацией статьи о проблеме было сообщено в Best Western, и брешь в безопасности была ликвидирована. Вместе с тем, если история индийского хакера действительно окажется правдой, вся информация о клиентах Best Western уже находится в руках злоумышленников.
Представители сети отелей активно отреагировали опубликованную статью, назвав ее «безосновательной» и «преувеличенной». Best Western подчеркивают, что утечка имело место быть, однако она касалась всего лишь одного немецкого отеля и считанного количества клиентов. «Такой масштабной утечки не могло произойти в принципе, - отмечается в заявлении Best Western. – Наша компания прошла аудит соответствия стандарту PCI DSS, который явно требует хранить только необходимые сведения. Поэтому все персональные данные наших клиентов удаляются после выписки из отелей, а значит – информация Sunday Herald не может соответствовать действительности».
База с миллионом банковских записей ушла с аукциона eBay
ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman) купил на аукционе eBay компьютер, содержавший конфиденциальные банковские записи более 1 млн. клиентов American Express, NatWest и Royal Bank of Scotland. Эксперты компании Perimetrix отмечают, что подобная база стоит на черном рынке миллионы долларов, однако компьютер был продан по цене всего лишь в £35.
Проданный компьютер принадлежал компании Mail Source, входящей в корпорацию Graphic Data, которая предлагает финансовым структурам услуги по обработке информации. По словам представителя Mail Source, в настоящее время проводится расследование, призванное определить истинную причину утечки. Вместе с тем, компания уже выяснила имя сотрудника, который выставил злополучный компьютер на аукцион.
«Я не мог в это поверить. На компьютере хранились файлы со строго конфиденциальной информацией тысяч и тысяч людей, - отметил Чепмен. – Профессиональная организация, которая обрабатывает такую информацию, должна принять все меры, чтобы перед продажей компьютеров она была надежным образом уничтожена».
Сотрудник пенсионного фонда подозревается в спланированном инсайде
Сотрудник пенсионного фонда штата Огайо подозревается властями в спланированной краже информации с целью ее дальнейшего использования. 56-летний Ричард Конвей (Richard A. Conway) отправил на личный почтовый ящик приватную базу с номерами социального страхования 13 000 человек. В дальнейшем Конвей отказался подписать заявление о нераспространении этой информации.
Поначалу руководства фонда не верило в плохие намерения своего бывшего сотрудника. «Конечно, г-н Конвей нарушил наши политики безопасности, однако мы не верим, что он хотел использовать эту информацию для совершения преступлений», - отметил исполнительный директор фонда Уильям Эстабрук (William Estabrook). Вскоре после появления данных об утечке, Эстабрук отправил Конвею письменное уведомление с требованием подписать заявление о неиспользовании и нераспространении информации. Ответа от Конвея так и не пришло; мотивы, которые не позволяют подписать ему заявление, до сих пор неясны.
Как и в большинстве подобных случаев, утечка была обнаружена совершенно случайно – один из сотрудников службы безопасности заметил слишком большое вложение в одном из писем Конвея.
«Мы сознательно решили рассказать об этом случае, поскольку аналогичные инциденты десятками происходят в каждой компании, отметил руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Как правило, они не расцениваются как серьезные утечки и практически всегда игнорируются службой безопасности. Такой подход мне представляется крайне неправильным, поскольку он полностью развязывает руки злонамеренным инсайдерам. Они могут не опасаться, что их кто-то поймает и объяснять свои действия необходимостью работы на дому».
Заедание бумаги способно привести к утечке информации
Тем временем, весьма забавная утечка случилась в штате Пенсильвания. Местное министерство общественного благосостояния (Department of Public Welfare) печатало листовки с информацией о государственных пособиях. Во время печати в одной из полиграфических машин заело бумагу, что привело к смещению листов в рассылке. Как следствие, примерно 1 300 номеров социального страхования ушли по адресам, не принадлежащим их владельцам.
Спустя несколько дней после рассылки, министерство стало получать массовые звонки от рассерженных жителей, получивших чужие оповещения о пособиях. Правительство штата сообщило, что оно активно работает с компанией Guenther - производителем полиграфической машины, которая допустила критический сбой. По словам официальных лиц, во время следующих рассылок каждый пятидесятый пакет будет проверяться на предмет корректности указанного адреса.
Действия властей вызвали недоумение у экспертов компании Perimetrix. «Мне кажется, что настоящей причиной утечки являются не проблемы с печатью, а сам факт печати номеров соцстрахования на рассылаемых бланках, - отметил Владимир Ульянов. - Я не понимаю, зачем печатать этот номер, если конверт итак предназначен для человека, которому он принадлежит? Кроме рисков, связанных с неправильной печатью, существует масса других возможностей утечки, например, из-за халатных действий персонала».
Оставшиеся утечки недели:
Устали от того, что Интернет знает о вас все?