Обзор утечек: 8 сентября - 21 сентября

Теги: Perimetrix, утечка данных

За период с 8 по 21 сентября аналитический центр компании Perimetrix зафиксировал 10 утечек информации.

За период с 8 по 21 сентября аналитический центр компании Perimetrix зафиксировал 10 утечек информации. Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
University of Pittsburgh образование кража ноутбука нет данных нет данных
Government of Newfoundland and Labrador госструктура веб-утечка 48 000 9,2 млн
Hampshire Primary Care Trust медицина кража носителя (ленты) 15 396 2,5 млн.
Franklin Savings and Loan финансы хакерская атака 25 000 4 млн.
Tennessee State University образование потеря носителя (флешки) 9 000 1,3 млн.
Ivy Tech Community College образование веб-утечка 23 000 2,8 млн.
Банки ОАЭ финансы хакерская атака / инсайд нет данных нет данных
национальная налоговая служба Норвегии госструктура ошибка персонала 4 000 000 80 млн.
BETonSPORTS интернет инсайд > 150 нет данных
Forever 21 розничная сеть хакерская атака 98 930 17 млн.
    ИТОГО: 4 212 476 117 млн.


Крупнейшая утечка в Норвегии: пострадали все совершеннолетние граждане страны

17 сентября стало известно, что Национальная налоговая служба Норвегии по ошибке разослала конфиденциальную информацию о более чем 4 миллионах жителей страны. Для страны с общим населением 4,6 миллиона человек масштаб утечки является просто гигантским, что с неохотой признают представители властей.

Как стало известно компании Perimetrix, речь идет о компакт-диске, копии которого получили 9 ведущих медиа-групп Норвегии. На диске были записаны сведения о возврате части уплаченных в 2006 году налогов. Сами по себе эти данные являются публичными в скандинавских странах. Однако на злополучном компакт-диске их сопровождали так называемые персональные номера, соответствующие банковским счетам жителей. Эти номера могут быть использованы для несанкционированной оплаты товаров и услуг от имени их непосредственного владельца.

Судя по всему, информация на дисках хранилась в незашифрованном виде. С другой стороны, в данном случае шифрование вряд ли бы как-то помогло, поскольку получатели имели права на доступ к информации и сумели бы ее раскодировать.

Крупнейшая утечка в ОАЭ: под угрозой сотни тысяч человек

Тем временем, группа хакеров сумела взломать межбанковскую систему, обслуживающую банкоматы Объединенных Арабских Эмиратов (ОАЭ). Мошенники сумели получить доступ к информации, записываемой на магнитной полосе банковских карт, а также персональным идентификационным (PIN) кодам владельцев карт.

Эксперты аналитического центра Perimetrix предполагают, что полученная мошенниками информация была использована для изготовления поддельных копий банковских карт, осуществления платежей и снятия наличных в банкоматах, расположенных в других странах. Сообщений о том, что опасность несанкционированного доступа к счетам клиентов ликвидирована, на сегодняшний день не поступало.

Название банка, через систему которого была проведена хакерская атака, а также точный масштаб утерянных данных пока в интересах следствия не сообщается. К расследованию подключены полиция и Центральный банк страны.

На условиях анонимности представитель одного из крупных банков выразил сомнение в том, что действительно имела место атака на компьютерную систему. По его словам, скорее всего инцидент связан с инсайдером, который на некоторое время получил физический доступ серверу. Инсайдером вполне мог оказаться инженер, работающий в ИТ-службе банка.

Тем не менее, официальные представители банковской сферы признают, что данная утечка является крупнейшей за всю историю страны. Банки ОАЭ уже начали рассылать сотням тысяч своих клиентов текстовые сообщения с просьбой в срочном порядке сменить используемый ими пин-код.

Руководитель онлайн-казино использовал персональные данные собственных клиентов

18 сентября бывший сотрудник интернет-портала BETonSPORTS.com Патрик Колонжи (Patrick Kalonji) признал себя виновным по факту незаконного использования информации о кредитных картах клиентов. Ему грозит до 30 лет тюремного заключения. По данным компании Perimetrix, также арестованы и находятся под следствием основатель компании Стивен Каплан (Stephen Caplan) и бывший CEO Дэвид Каррутерс (David Carruthers).

Сайт BETonSPORTS.com, принадлежащий оффшорной компании на Коста-Рике, предоставлял всем желающим возможность поучаствовать в азартных онлайн-играх на деньги. Указанные посетителями сайта данные кредитных карт, включая секретные коды, попадали в руки Калонжи. А затем по электронной почте отправлялись другим членам преступной цепочки, находившимся в странах Африки.

За все время существования сайта через него было сделано легальных ставок более чем на 3,5 млрд. долл. Поэтому, общий ущерб от деятельности мошенников может изменяться в сотнях миллионов долларов. На данный момент представители правоохранительных органов сообщают о 150 пострадавших, с чьих кредитных карт уже были незаконно списаны средства. Деньги с этих счетов переводились в другие банки, использовались при покупках в интернет-магазинах и для оплаты авиабилетов.

В настоящее время сайт закрыт, при обращении к нему выдается предупреждение.

Розничная сеть узнала об утечке от американских властей

На днях правоохранительные органы США уведомили розничную сеть Forever 21 о ряде незаконных хакерских вторжений в корпоративную ИТ-инфраструктуру этой компании. Предполагается, что целью атаки был доступ к конфиденциальной информации, касающейся платежных карт клиентов. В руки злоумышленников попали номера банковских карт, а также другие конфиденциальные сведения о транзакциях в различных магазинах Forever 21 в марте, июне и июле 2004 года, а также в августе 2007 года. Утечка данных из базы транзакций магазина в калифорнийском городе Фресно происходила в течение более длительного периода: с ноября 2003 по октябрь 2005 года. На данный момент до конца не ясно, являются ли все перечисленные случаи результатом действий одних и тех же хакеров или же имело место несколько изолированных атак на компьютерную систему компании.

Представители Forever 21, Inc указывают, что в 2007 года информационная система была сертифицирована на соответствие стандарту PCI DSS, однако после того, как стало известно об инциденте, была дополнительно введена в строй проактивная система защиты и включен регулярный мониторинг на предмет вторжений.

Добавим, что по сообщению властей США, Forever 21, Inc. является одной из 12 компаний-ритейлеров, пострадавших в результате действий группы лиц из трех человек, обвинения которым в мошенничестве с кредитными картами были предъявлены 5 августа 2008 года в Бостоне.

Очередная утечка в NHS: пострадали 15 тыс. пациентов

Национальная медицинская система Великобритании продолжает допускать публичные утечки информации. На этот раз «отличилось» отделение NHS в графстве Гемпшир (Hampshire Primary Care Trust), которое забыло зашифровать информацию на украденных резервных лентах. В результате данного инцидента пострадали более 15 тыс. человек.

Эксперты аналитического центра Perimetrix отмечают, что данная утечка стала как минимум 12 публичным инцидентом в NHS за последние 12 месяцев.

Оставшиеся утечки недели:


или введите имя

CAPTCHA