Обзор утечек: 16 февраля -1 марта

Обзор утечек: 16 февраля -1 марта

За период с 16 февраля по 1 марта аналитический центр компании Perimetrix зафиксировал 11 масштабных утечек информации.

За период с 16 февраля по 1 марта аналитический центр компании Perimetrix зафиксировал 11 масштабных утечек информации. В течение второй половины февраля произошло сразу несколько серьезных инцидентов с многомиллионными долгосрочными потерями. Кроме того, в конце февраля продолжила циркулировать информация о второй крупнейшей утечке (после инцидента с Heartland ) из некого процессингового центра или банка, однако на данный момент точная информация на эту тему отсутствует.

Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
City of Muscogee госструктура потеря носителя (диска) 4 500 900 тыс.
Steamboat Springs School District образование кража ноутбука 1 300 500 тыс.
Mallard Landing Retirement Community социальная сфера инсайд не менее 3 100 тыс.
Western Oklahoma State College образование хакерская атака 1 500 240 тыс.
British Council госструктура потеря носителя (диска) 2 000 150 тыс.
Arkansas Department of Information Systems госструктура потеря носителя (ленты) 807 000 50 млн.
University of Florida образование хакерская атака 97 000 14 млн.
Rio Grande Food Project социальная сфера кража компьютера 36 000 1,9 млн.
Northeast Orthopaedics медицина веб-утечка 1 000 140 тыс.
The Johns Hopkins Hospital медицина инсайд не менее 5 1,5 млн.
Chandler Regional Medical Center медицина инсайд не менее 15 нет данных
    ИТОГО: 954 300 70,7 млн.


Штат Арканзас потерял ленту с номерами соцстрахования 807 000 человек

Департамент информационных систем штата Арканзас (Arkansas Department of Information Systems, DIS) объявил едва ли не о крупнейшей утечке в истории штата. Субподрядчик департамента, компания Information Vaulting Services, потеряла строго конфиденциальную ленту с резервной копии базы данных биографических проверок по уголовным делам 807 тыс. жителей штата за последние 12 лет. По данным аналитического центра Perimetrix, каждая биографическая проверка содержала массу персональных сведений, в том числе, имена, даты рождения и номера социального страхования граждан.

Исчезнувшая лента пропала из специализированного хранилища Information Vaulting Services, которая оказывала услуги по хранению данных властям Арканзаса на протяжении последних шести лет. По словам ее операционного директора (COO) Денни Пало (Danny Palo), он впервые столкнулся с таким случаем за 25 лет успешной работы.

«Я правда, честно, не знаю, что именно произошло, - оправдывался Пало в интервью местным СМИ. – Мне кажется, что даже если лента попадет в руки мошенников, они все равно сумеют получить доступ к данным. Больше такого не произойдет – в Information Vaulting Services недавно была внедрена специальная охранная система, позволяющая вести учет всех лент, которые попадают в хранилище или извлекаются из него».

Университет Флориды пострадал от действий антигуанского хакера

Об очередной масштабной утечке недавно объявил Университет штата Флорида. Неизвестный хакер, проживающий в карибском государстве Антигуа и Барбуда, взломал компьютерную систему Университета с помощью уязвимости в программном обеспечении и получил доступ к приватным сведениям (номерам социального страхования) 97 тыс. студентов. Эксперты компании Perimetrix отмечают, что данный инцидент стал уже как минимум четвертой утечкой в Университете Флориды за последний год и пятой – с ноября 2007 года. В общей сложности от этих утечек пострадали практически полмиллиона человек

По имеющейся информации, атака произошла 22 декабря прошлого года, однако была обнаружена только три недели спустя, в рамках очередной проверки. При этом руководство Университета не знает, скачал ли хакер информацию или оставил ее без внимания. «Мы знаем, что хакер зашел в вестибюль нашей компьютерной системы, однако у нас нет доказательств, что он открыл двери и украл информацию, которая находилась за ними», - отметила представитель пресс-службы ВУЗа Джанин Сайкс (Janine Sikes).

Бесплатная столовая из Альбукерка меняла персональные данные на еду

Благотворительная организация (бесплатная столовая, food pantry) Rio Grande Food Project из города Альбукерк (Albuquerque) штат Нью-Мексико, потеряла 36 тыс. номеров социального страхования. Все эти сведения хранились на корпоративном ноутбуке, который был украден из «офиса» Rio Grande Food Project в здании местной пресвитерианской церкви. По данным аналитического центра Perimetrix, сотрудники Rio Grande Food Project выдавали еду малообеспеченным гражданам в обмен на их персональные данные, которые собирались «с целью сообщить демографическую информацию организациям, которые финансируют бесплатную столовую».

Судя по всему, похитители ноутбука не преследовали цели украсть информацию – вместе с компьютером и церкви было вынесено «музыкальное оборудование». Руководство благотворительной столовой уже пообещало выслать оповещения всем потенциальным пострадавшим и рекомендовало им установить бесплатный fraud alert на свои счета. «Мы очень огорчены тем, что случилось с нами и нашими клиентами, - отметил исполнительный директор Rio Grande Food Project Дэвид Уитли (David Whiteley). – Многие из них итак находятся в тяжелом финансовом положение, и если кража персональных данных может стать еще одним серьезным ударом для них»

«Очередная американская организация поплатилась за бездумное хранение номеров социального страхования, - считает руководитель аналитического центра Perimetrix Владимир Ульянов. - Какая может быть связь между этими номерами и демографической информацией? В целом, Rio Grande Food Project занимает весьма странную позицию – обмен бесплатной еды на персональные сведения слабо похож на благотворительность и больше напоминает масштабную аферу»

Медсестра-кардер обманула стариков

27-летняя медсестра из Мериленда Тара Кемпбелл (Tara C. Campbell), работавшая в доме престарелых Mallard Landing Retirement Community, обокрала не менее трех своих пациентов, один из которых страдает болезнью Альцгеймера, а другой – скончался во время расследования кражи. По данным аналитического центра Perimetrix, Кемпбелл использовала персональные данные (номера социального страхования) пожилых людей для получения поддельных банковских карт на их имена.

В общей сложности, мошенница успела незаконно открыть три кредитные карты и снять с них более 8 тыс. долл. Провинившейся медсестре, которая до этого не имела проблем с правосудием, грозило 15-летнее тюремное заключение, однако итоговый срок наказания был уменьшен втрое. После выхода на свободу Кемпбелл придется еще 5 лет провести под наблюдением, а также выплатить ущерб пострадавшим.

По словам руководителя дома престарелых Арлин Спек (Arlene Spack), сотрудники центра были «шокированы и возмущены» действиями своей бывшей коллеги. По мнению заместителя прокурора местного округа Пола Монтемуро (Paul Montemuro), похищать информацию пожилых людей «неприемлемо», поскольку они находятся в «наиболее уязвимом» состоянии.

70-летняя женщина нашла утечку в Интернете

Американская хирургическая больница Northeast Orthopaedics из города Олбани (Albany), штат Нью-Йорк, не сумела обезопасить персональные данные тысячи собственных клиентов. Их медицинские сведения, а также имена и номера социального страхования каким-то образом попали на сайт уже не существующей индийской компании. По данным аналитического центра Perimetrix, наиболее вероятной причиной утечки является халатность одного из партнеров Northeast Orthopaedics.

Утечку обнаружила 70-летняя жительница небольшого города Шагхтикок (Schaghticoke) Элис Фиск (Alice Fisk), которая хотела найти в сети некролог для своей недавно умершей дочери. Однако вместо некролога, пожилая женщина нашла ее персональные данные, а также медицинские записи, связанные с лечением в Northeast Orthopaedics. «Я была возмущена, - рассказывает Фиск. – Публикация медицинских сведений в сети – это вопиющее нарушение законов о приватности».

В ходе расследования инцидента было установлено, что виновником утечки является сторонняя компания MRecord, предоставлявшая Northeast Orthopaedics различные услуги по обработке информации. Интересно, что сведения были найдены на официальном сайте индийской аутсорсинговой компании Visva BPO, которая, по-видимому, предоставляла услуги MRecord.

По словам одного из местных адвокатов Джеффри Шеррина (Jeffrey Sherrin), публикация медицинских сведений в Интернете является грубейшим нарушением директивы HIPAA. Организации, которые допустили утечку, могут быть оштрафованы на сумму до 25 тыс. долл. или до 100 долл. за одну запись. В том случае, если мотивы публикации информации были связаны с криминалом, штрафы за нарушение увеличиваются в 10 раз. Вместе с тем, штрафные санкции к организациям, нарушившим требования HIPAA, применяются сравнительно редко.

Оставшиеся утечки недели:

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!