Обзор утечек: 22 сентября - 28 сентября

Теги: Perimetrix, утечка данных

За период с 22 по 28 сентября аналитический центр компании Perimetrix зафиксировал 11 утечек информации локального масштаба.

За период с 22 по 28 сентября аналитический центр компании Perimetrix зафиксировал 11 утечек информации локального масштаба: ни одного по-настоящему глобального инцидента зафиксировано не было. Одной из наиболее уязвимых областей продолжает быть сфера образования, в которой случились сразу четыре утечки. Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
Sonoma State University образование веб-утечка 600 150 тыс.
University of Indianapolis образование хакерская атака 11 000   2,1 млн.
Orbitz Worldwide услуги кража ноутбука нет данных нет данных
Treatment Associates of Victoria медицина бумажная утечка 45 до нескольких миллионов
PSS World Medical медицина хакерская атака 116 30 тыс.
Fort Wayne Community Schools образование нет данных/инсайд 3 000 700 тыс.
National Bank of Canada финансы кража ноутбука нет данных «миллионы»
University of Iowa образование веб-утечка 500 120 тыс.
Maserati North America торговля хакерская атака 2 600 800 тыс.
First State Bank of Pinedale финансы потеря носителя (ленты) нет данных нет данных
BillOReilly.com медиа хакерская атака 205 100 тыс.
ИТОГО: 18 066 более 4 млн.


Персональные данные 11 тыс. студентов и преподавателей оказались в руках хакера

Относительно крупная утечка зафиксирована в Университете Индианаполиса, США. По данным аналитического центра Perimetrix информации, неизвестный хакер получил доступ к базе данных, в которой содержались персональные сведения (в том числе - и номера социального страхования) 11 000 студентов, преподавателей и сотрудников университета. 2 года назад они использовались в университете для идентификации студентов и персонала. Затем такая практика прекратилась, однако приватная информация не была удалена из системы.

Отметим, что взломанная база данных хранилась на выделенном сервере. По официальной версии, хакеры не сумели получить доступ к другим серверам, на которых хранились сведения об оценках учащихся, а также заработной плате персонала.

Свидетельств того, что конфиденциальная информация была скопирована или каким-либо образом использована, нет. Однако университет предупредил всех пострадавших, чьи персональные данные были компрометированы. Среди них оказался и Президент Университета Индианаполиса Беверли Питтс (Beverley Pitts).

База данных школьных сотрудников украдена при странных обстоятельствах

Тем временем, полиция того же штата Индиана арестовала некого Стивена Брауна (Steven Brown) по подозрению в подделке документов. У задержанного был обнаружен документ на 93 листах, содержащий персональные данные нескольких тысяч бывших и нынешних сотрудников школ города Форт Уэйн. Как удалось выяснить экспертам Perimetrix, украденный документ является квартальным отчетом, который брокерская фирма отправила страховой компании, обслуживающей образовательные учреждения.


Сотрудники, чьи данные находились в злополучных бумагах, оповещены о случившемся по электронной почте. Администрация сообщества школ предпринимает дальнейшие попытки выйти на связь и оповестить своих бывших работников, покинувших город. По имеющейся у полиции информации, Браун не имеет отношения ни к школьным учреждениям, ни к страховой компании, отчет которой был украден. Каким образом конфиденциальная информация попала в его руки в настоящее время остается загадкой.

Грабитель вынес ноутбук из офиса национального банка Канады в разгар рабочего дня

В результате вторжения в штаб-квартиру Национального банка Канады (NBC) украден ноутбук, на котором содержалась информация об ипотечных клиентах банка. Кража произошла в пятницу, 19 сентября, в самый разгар рабочего дня. Удивительно, но вору не помешали ни закрытая на замок дверь, ни стальной трос, с помощью которого компьютер был прикреплен к столу.

По данным аналитического центра компании Perimetrix, среди украденной информации не было критичных финансовых данных, таких как номера социального страхования или номера кредитных карт. В руки к злоумышленникам попали лишь имена, адреса и некоторая техническая информация о счетах ипотечных клиентов. Вместе с тем, официальный представитель банка отказался сообщить точную информацию о масштабе утечки, охарактеризовав ее, как «очень значительную».

Сотрудники NBC уже разослали оповещения пострадавшим клиентам и заявили о готовности компенсировать возможный ущерб. Служба безопасности банка совместно с правоохранительными органами проводят совместное расследование инцидента.

По мнению ряда местных экспертов, на ноутбуке содержалась лишь минимальная информация о клиентах, которая вряд ли она может быть использована в преступных целях. Однако не стоит забывать, что даже незначительные, с первого взгляда, данные применяться для подготовки широкомасштабных афер вместе с информацией, полученной из других источников.

60-летний мошенник шантажировал Maserati в течение двух недель

На днях агенты ФБР арестовали 60-летнего американца Брюса Менглера (Bruce Mengler), который пытался шантажировать компанию Maserati North America Inc., вымогая крупную сумму денег. В случае отказа выплатить «вознаграждение», Менглер угрожал опубликовать информацию об уязвимостях на веб-сервере компании.

Как стало известно специалистам аналитического центра Perimetrix, история началась с рекламной акции Maserati по распространению флайеров, приглашающих совершить тест-драйв. Желающие должны были зарегистрироваться на сайте Maserati, ввести свое имя, адрес, телефон и уникальный ПИН-код с обратной стороны флайера.

Менглер, пользуясь методом брутфорса, вычислял ПИН-коды, а затем загружал на свой компьютер персональную информацию клиентов. После этого по электронной почте он направил в офис Maserati North America Inc. ряд писем. В своих сообщениях Менглер угрожал придать широкой огласке имеющуюся на сайте уязвимость и передать контакты потенциальных покупателей конкурентам Maserati в случае, если ему не будет выплачена достаточная сумма денег. В качестве доказательств Менглер указывал некоторые из незаконно полученных им данных. Также он утверждал, что разместил на сайте вредоносный код и может в любой момент активировать его. Шантаж продолжался в течение двух недель.

Однако руководство калифорнийского офиса Maserati обратилось за помощью в подразделение ФБР по борьбе с кибер-преступлениями, которое провело расследование и задержало преступника.

Истории болезней американских пациентов нашли в мусорной корзине

Прокурор штата Техас Грег Эбботт (Greg Abbott) выдвинул обвинение против компании Treatment Associates of Victoria, Inc., помогающей клиентам справится с наркозависимостью. В обвинении говорится, о том, что клиника в своей работе неоднократно нарушала закон штата Техас, регламентирующий защиту конфиденциальной информации пациентов.

Как удалось выяснить сотрудникам компании Perimetrix, обвинение базируется на факте обнаружения в мусорном контейнере документов с конфиденциальной информацией. Компрометированными оказались истории болезней, сведения о личной жизни, о привлечении к уголовной ответственности и т.п. Информация касалась не только самих пациентах, но также членов их семей и друзей. При этом носители информации: как бумажные, так и цифровые – не были уничтожены специальным шредером и могли попасть в руки к кому угодно.

Если суд признает компанию виновной, то с нее будет взыскан штраф в размере до 50 500 долл. за каждый читаемый документ с конфиденциальной информацией, попавший в мусорный бак.

Оставшиеся утечки недели:

или введите имя

CAPTCHA