Обзор утечек: 13 октября -19 октября

Теги: Perimetrix, утечка данных

За период с 13 по 19 октября аналитический центр компании Perimetrix зафиксировал 8 утечек конфиденциальной информации.

За период с 13 по 19 октября аналитический центр компании Perimetrix зафиксировал 8 утечек конфиденциальной информации. Большинство инцидентов имели строго локальный характер, однако один из них (утечка в британском министерстве обороны) оказался весьма масштабным. Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
Southwest Mississippi Community College образование веб-утечка 7 000 800 тыс.
Somerset County Public Schools образование бумажная утечка 400 75 тыс.
Federal Emergency Management Agency госструктура почтовая утечка 1 000 400 тыс.
Правительство г. Индианаполис госструктура веб-утечка 3 300 800 тыс.
CollegeNET образование кража ноутбука нет данных нет данных
The United Kingdom Ministry of Defense госструктура потеря носителя (жесткий диск) 1 700 000 140 млн.
Lansky`s услуги нет данных больше 40 "сотни тысяч"
Mary Washington Hospital медицина веб-утечка > 803 150 тыс.
    ИТОГО: 1 712 503 143 млн.


Британские военные потеряли почти 2 млн. приватных записей

Крупнейший системный интегратор EDS, недавно купленный корпорацией НР, подставил британское министерство обороны. На портативном жестком диске, который недавно потерялся в одном из офисов EDS, хранились строго секретные персональные данные 1,7 млн. военнослужащих и кандидатов в английскую армию.

Как сообщает издание The Times, носитель пропал из владений EDS в городе Хук (Hook), графство Гемпшир (Hampshire). Огромный масштаб утечки привлек внимание британского министра обороны Боба Эйнсворта (Bob Ainsworth), который отметил, что «данный инцидент продемонстрировал необходимость все время увеличивать защиту персональных данных». По словам Эйнсворта, большинство пострадавших являлись случайными кандидатами в армию и потому не оставляли в своих заявках подробной информации о себе. Это означает, что их информация на пропавшем диске также была существенно ограничена.

По информации аналитического центра Perimetrix, информация на диске была не зашифрована, однако носитель хранился в неком «защищенном месте». Именно это обстоятельство стало главным оправданием руководства EDS – как отметил глава EDS Defense Роберт Фрай (Robert Fry), политика министерства обороны не предусматривают шифрования носителей в защищенных помещениях.

Настолько крупная утечка не могла остаться без внимания британской оппозиции, которая тут же упрекнула действующее правительство в неумении управлять страной. Представитель либерально-демократической партии Ник Харви (Nick Harvey) отметил, что данная утечка показала неспособность правительства справляться даже с элементарными проблемами. «В прошлом наши солдаты подвергались атакам со стороны различных экстремистов. Трудно представить, что может произойти, если диск с их персональными данными попадет в руки злоумышленника», - отметил г-н Харви.

Сеть ресторанов не сумела защитить банковские карты собственных клиентов

Тем временем в американском штате Небраска пытаются нарисовать картину инцидента в одном из местных ресторанов Lansky`s. По данным аналитического центра Perimetrix, группа неизвестных мошенников каким-то образом получила доступ к информации о банковских картах клиентов Lansky`s. Точная технология взлома на данный момент неизвестна, однако в ней вряд ли были явно замешаны сотрудники ресторана. По мнению детективов, сеть Lansky`s пострадала от некого «электронного» взлома («the accounts were breached electronically»), а информация о банковских картах «могла быть получена через веб» («The information might have been obtained over the Web»).

Дальнейшая схема мошенников крайне проста – полученные данные заливались на пустые карты, с которых в дальнейшем снимались деньги. Списания были зафиксированы в семи американских штатах, а самое крупное из них составило 20 тыс. долл. На данный момент полиции известна информация как минимум о 40 пострадавших от действий преступной группировки.

Еще один американский госпиталь допустил серьезную веб-утечку

Госпиталь им. Мэри Вашингтон (Mary Washington Hospital), расположенный в штате Вирджиния (Virginia), не умеет создавать защищенные веб-сайты. В результате уязвимости в форме онлайн-регистрации в интернете появились исчерпывающие сведения как минимум 800 пациенток родильного отделения госпиталя. По данным аналитического центра Perimetrix, на сайте были опубликованы не только их имена, адреса и даты рождения, но и номера социального страхования и даже фамилии лечащих врачей.

Информация о данной утечке просочилась в прессу благодаря жителю Спотсильвании Гэри Деннисону (Gary Dennison), жена которого Ребекка (Rebecca) лежала в родильном отделении госпиталя. Ночью 11 октября Деннисонам позвонил некий человек по имени Майк и сообщил точные персональные данные Ребекки.

По словам Майка, он пытался зарегистрировать свою будущую жену в онлайн-системе госпиталя и случайно изменил строку в браузере. Однако вместо сообщения об ошибке, Майк попал на одну из внутренних страниц системы, которая содержала строго конфиденциальную информацию. Насколько долго сведения пролежали в интернете на данный момент неизвестно.

Отметим, что руководство колледжа оперативно заблокировало доступ к секретным сведениям, однако не стало оповещать всех потенциальных пострадавших. «Мы уверены, что это был изолированный инцидент, и Майк сумел открыть всего несколько конфиденциальных записей. Остальным пациенткам родильного отделения незачем беспокоиться», - отметила представитель госпиталя Кэтлин Алленбо (Kathleen Allenbaugh).

Американское агентство допустило ошибку в почтовой рассылке

Американское агентство FEMA, помогающее жертвам различных чрезвычайных ситуаций, допустило ошибку в почтовой рассылке. Примерно 1 000 писем, адресованным пострадавшим от ураганов, были случайно разосланы по неправильным адресатам. Таким образом, возникла высокая вероятность утечки, поскольку в письмах содержались строго конфиденциальные данные, такие как номера социального страхования и даже сведения о годовых доходах.

Житель Хьюстона Кевин Фаркуар (Kevin Farquhar) очень удивился, когда ему позвонил человек, получивший конверт с его (Фаркуара) персональными данными. В конверте Фаркуара содержались сведения о жителе города Пирленд (Pearland) Бреннане Джексоне (Brennan Jackson), а в конверте Джексона – информация о жителе города Томболл (Tomboll). По-видимому, ни один из отправленных конвертов так и не дошел до своего правильного адресата.

По данным аналитического центра Perimetrix, ошибку допустил некий «почтовый субподрядчик», название которого не сообщается. Точные причины ошибки также до сих пор неизвестны. Планируется, что агентство FEMA предоставит всем пострадавшим бесплатную услугу кредитного мониторинга сроком на один год.

Оставшиеся утечки недели:


или введите имя

CAPTCHA