Обзор утечек: 2 - 15 февраля

Теги: Perimetrix, утечка данных

За период с 2 по 15 февраля аналитический центр компании Perimetrix зафиксировал 7 крупных, а также несколько незначительных утечек информации.

За период с 2 по 15 февраля аналитический центр компании Perimetrix зафиксировал 7 крупных, а также несколько незначительных утечек информации. По-настоящему масштабных инцидентов за этот период времени не произошло, однако в американской прессе активно муссируется тема серьезной утечки «карточной» информации в неком крупном процессинговом центре. Напомним, что в конце января похожий случай уже произошел в компании Heartland Payment Systems, и в результате той утечки уже как минимум 400 банков объявили о заменах пластиковых карт.

Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
Broome Community College образование ошибка персонала нет данных нет данных
Kaiser Permanente медицина хакерская атака 30 000 4 млн.
Federal Aviation Administration госструктура хакерская атака 45 000 1 млн.
Catskill Regional Medical Center медицина инсайд 431 100 тыс.
Parkland Memorial Hospital медицина кража ноутбука 9 300 1,4 млн.
Alabama University образование хакерская атака 37 000 2 млн.
Best Buy розничная торговля инсайд 4 000 1,3 млн.
    ИТОГО: 125 731 9,8 млн.


Неизвестные хакеры взломали "компьютерный файл" Kaiser Permanente

Крупнейшая американская медицинская сеть Kaiser Permanente объявила о масштабной утечке информации. По данным аналитического центра компании Perimetrix, в результате хакерского вторжения были скомпрометирован некий «компьютерный файл» с персональными данными (в том числе, номерами социального страхования) 45 тыс. сотрудников организации.

Пресс-служба Kaiser Permanente предоставляет лишь самую общую информацию об инциденте. На данный момент известно, что информация была найдена у некого преступника, который впоследствии был заключен под стражу. Эксперты Perimetrix полагают, что арест злоумышленника вряд ли был связан с Kaiser Permanente, поскольку медицинская корпорация узнала об утечке только постфактум. Скорее всего, информация была найдена случайно, и послужила поводом для запуска внутреннего расследования.

При этом по утверждению представителя Kaiser Permanente Герри Гинзбурга (Gerri Ginsburg), от утечки уже пострадали «несколько» сотрудников Kaiser. Всем остальным потенциальным пострадавшим будет предоставлен бесплатный кредитный мониторинг сроком на один год.

Сотрудник медцентра с 10-летнем стажем уволен за излишнее любопытство

Медицинский центр Catskill Regional Medical Center (штат Нью-Йорк) уволил сотрудницу с 10-летним стажем за то, что она просматривала персональные данные пациентов. По сведениям аналитического центра Perimetrix, записи содержали исчерпывающие сведения о пациентах, в том числе, их медицинскую информацию, номера социального страхования, а также финансовые данные. В общей сложности, от действий уволенной сотрудницы пострадал 431 человек.

По словам представителей медицинского центра, неподобающие действия сотрудницы были обнаружены в результате случайной проверки. Отметим, что данной сотруднице действительно был нужен доступ к персональным сведениям клиентам, однако она использовала его для просмотра записей, не относящихся к ее прямым обязанностям. Руководство центра предполагает, что сотрудница просматривала записи знакомых и соседей «из простого любопытства».

Добавим, что против сотрудницы не будут предъявляться никакие уголовные обвинения, поскольку для этого нет «веских оснований». Вместе с тем, сам медицинский центр может быть оштрафован за нарушение законодательства в области защиты персональных данных пациентов.

Сотрудник Best Buy занимался скиммингом на рабочем месте

Полиция штата Флорида объявила о задержании 22-летней сотрудницы супермаркета Best Buy по подозрению в краже сведений банковских карт покупателей. Кассирша Бриттани Джонсон (Brittany Johnson) копировала информацию банковских карт на портативное устройство и в дальнейшем продавала ее своему сообщнику, 28-летнему Мариусу Хардену (Marius Tyree Harden). Харден платил Джонсон $17 за запись, после чего сбывал записи на черном рынке за несколько сотен долларов.

Эксперты Perimetrix отмечают, что Джонсон занималась мошенничеством в течение двух месяцев, однако точное количество пострадавших на данный момент неизвестно. В настоящее время оба подозреваемых по этому делу находятся под стражей и ожидают решения суда. Руководство Best Buy уже разослало всем потенциальным жертвам мошенничества (а это 4 000 человек) специальные оповещения с рекомендацией проверить состояние своих счетов и в случае необходимости заменить карту.

Управление гражданской авиации США скомпрометировало данные 45 тыс. сотрудников

Тем временем, неизвестные хакеры проникли на сервер управления гражданской авиации США (Federal Aviation Administration - FAA) и скачали как минимум два файла с приватными сведениями сотрудников на февраль 2006 года. По данным аналитического центра Perimetrix, в результате утечки были скомпрометированы номера социального страхования 45 000 человек.

Сразу после появления информации об инциденте, представители FAA поспешили заверить общественность в том, что атакованный сервер был изолирован от систем контроля за воздушным движением. Другими словами, данная хакерская атака не могла привести к проблемам в области безопасности авиаперевозок.

Точные методы взлома, которые использовали злоумышленники, на данный момент не сообщаются. Отметим, что информация о сотрудниках FAA хранилась лишь в одном из похищенных файлов, в то время как второй файл содержал зашифрованные медицинские данные. При этом совершенно неясно, по какой причине шифрование не применялось в первом файле.

FAA уверяет, что этот инцидент стал первой утечкой в истории данной организации. Вместе с тем, имеются сведения о том, что профсоюз FAA уже сообщал об утечке персональных данных своих членов несколько лет назад.

Университет Алабамы пострадал от хакерской атаки

Об очередной масштабной утечке недавно сообщил Университет штата Алабама. По информации аналитического центра Perimetrix, учебное заведение пострадало от хакерской атаки, инициированной неизвестным злоумышленником. Хакеру удалось получить доступ к персональным сведениям (в том числе и номерам социального страхования) 37 тыс. бывших и нынешних студентов, участвовавших в работе медицинской лаборатории с 1994 года.

По словам проректора Университета по информационным технологиям Джона МакГована (John McGowan), хакер обнаружил уязвимый сервер в результате «случайного сканирования сети», однако, не найдя «интересной» ему информации, вскоре прекратил атаку. Дальнейшее расследование показало, что злоумышленник, скорее всего, не скачал персональные сведения студентов, хотя имел такую возможность.

Оповещение, которое Университет разослал студентам, рекомендует всем пострадавшим проверить свои банковские счета, а также установить на них fraud alert. Предоставлять бесплатную услугу кредитного мониторинга Университет пока не планирует.

Оставшиеся утечки:


или введите имя

CAPTCHA
sgib
20-02-2009 16:32:21
Ну вроде пиндосия, первыми забили тревогу о защите персональных данных, а об обеспечении разграничения доступа как-то заботиться видимо не стремятся, все надеются на лояльность сотрудников. Успехов им..
0 |
insider
20-02-2009 16:36:28
еще одного Хартленда банковская система США не переживет
0 |
sgib
20-02-2009 16:36:04
Отметим, что данной сотруднице действительно был нужен доступ к персональным сведениям клиентам, однако она использовала его для просмотра записей, не относящихся к ее прямым обязанностям.Хотя кому щас охота мудохаться с нарезкой прав доступа...
0 |
insider
20-02-2009 16:37:38
а нафига ее вообще увольнять было? что она нарушила, если ей такие права дали?
0 |
Семёныч
23-02-2009 12:22:39
Ах ты очкастая бесстыжая морда. Как тебя ещё люди терпят. Столько фекалий им за эти ходы уже скормил. Так ещё же за это деньги берёшь!
0 |