Обзор утечек: 15-29 марта

Теги: Perimetrix, утечка информации, waf

Аналитический центр компании Perimetrix представляет обзор утечек за период с 15 по 29 марта в обновленном, более насыщенном и интересном формате.

Аналитический центр компании Perimetrix представляет обзор утечек за период с 15 по 29 марта в обновленном, более насыщенном и интересном формате.

Главная утечка

Самая масштабная утечка отчетного периода случилась в госпитале Jackson Memorial, штат Флорида, который потерял жесткий диск с резервной копией клиентской базы данных. Пропавший носитель содержал информацию обо всех посетителях госпиталя – с мая 2007 по март 2008 годов – а это более чем 200,000 человек. Точные подробности пропажи на данный момент непонятны, однако руководство госпиталя предполагает, что диск был именно украден, причем грабитель не знал о ценности информации, которая была записана на носителе.

Американская банда

Типично американская банда из 6 человек недавно была обезврежена в штате Нью-Джерси. Мохамад Шейх, Афзаль Шейх, Рубина Шейх, Кайсар Махмуд, Рафик Малик и Рауф Фаруки (Mohammad Sheikh, Afzal Sheikh, Rubina Sheikh, Quaisar Mahmood, Rafiq Malik, Rauf Farooqi) подозреваются в организации преступного картеля, который сумел обокрасть американские финансовые институты на $6 млн. Первые трое деятелей уже арестованы, оставшиеся мошенники, возможно, сумели вовремя покинуть страну.

Американская банда использовала вполне обычную тактику – мошенники применяли украденные персональные данные для создания кредитных счетов в банках. А затем - переводили деньги с этих счетов на счета собственных подставных компаний. После нескольких транзакций на кредитном счете появлялась гигантская дыра, которую, естественно, никто не закрывал.

Липосакция и новая грудь под чужим именем

В отличие от предыдущего случая, 30-летнюю жительницу Калифорнии Ивон Жеан Пампелонн (Yvonne Jean Pampellonne) деньги совершенно не интересовали. Как и любая женщина, она просто хотела быть красивой. Возможно, именно поэтому она использовала чужие персональные данные для оплаты пластической хирургии – липосакции и установки грудных имплантантов. Операции общей стоимостью $15,000 прошли успешно, однако теперь красоте Пампелонн будут радоваться разве что ее сокамерницы.

Красивые цифры

€319,641 похитил 24-летний ирландский кассир Даррен МакКомиски (Darren McComiskey). Для этого ему потребовалось приобрести скиммер, использовать его 87 раз и изготовить поддельные банковские карты. Потом его, правда, арестовали, однако дали лишь условный срок.

24 картонных коробки с приватной информацией 350 клиентов могут стоить лицензии ипотечному брокеру Seaview Financial из Калифорнии. Коробки с конфиденциальными бумагами почему-то оказались в мусорке около местной начальной школы.

3 года заключения получил уже почти легендарный австралийский сисадмин Дэвид Энтони МакИнтош (David Anthony McIntosh). Напомним, что именно этот человек недавно напился и удалил кучу очень важной информации. После выхода из тюрьмы, МакИнтош намеревается стать шеф-поваром.

$10 – розничная цена полного набора сведений о банковской карте. Журналисты BBC приобрели 50 комплектов , каждый седьмой из которых оказался валидным. Информацию о картах продавал выходец из Индии – по его словам, она получена из тамошних кол-центров.

Знаковые слова

«Мы являемся естественной мишенью. У нас уже такая… особенная репутация в университетском сообществе», - директор по вопросам приватности Университета Флориды Сьюзан Блер (Susan Blair) о том, как плохо живется учреждению , которое допустило 12 утечек за последний год. «Я не знаю, откуда это идет. Возможно, это идет из соседней комнаты».

«Мне позвонили из American Express. Они сказали мне – похоже твоя карта была клонирована. Я посмотрел на карту и понял, что использовал ее примерно в двух местах», - житель Лондона Марк Боуен (Mark Bowen) о том, какие мысли посещают человека после того, как с его банковской карты незаконно списываются деньги.

Преступление и наказание
  • Доктор Лиза Барден (Dr. Lisa Barden) из населенного пункта Ранчо Кукумонга (Rancho Cucumonga) незаконно приобрела более 30 тыс. таблеток Викодина и Оксикотина, используя персональные данные пациентов, которым она сама же выписывала поддельные рецепты. Пересмотрела «Доктора Хауса», наверное;
  • 42-летняя сотрудница дома престарелых из Портленда Диана Мишель Николсон (Diane Michelle Nicholson) подозревается в мошенничестве с кредитными картами. Николсон обокрала 6 пожилых постояльцев и одного сотрудника дома престарелых на общую сумму в $10,255;
  • 20-летний сотрудник магазина 7-Eleven Стефан Симмонс (Steffan R. Simmons) фотографировал кредитные карты клиентов, а затем - приобретал на эти карты аудио-оборудование к своей машине в интернет-магазине;
  • Жители канадского города Брамптон (Brampton) Тиина Элдридж (Tiina Eldridge)и Жан Пол Рудахунга (Jean Paul Rudahunga) арестованы по подозрению в хранении поддельных банковских карт;
  • 34-летняя сотрудница министерства социальных сервисов штата Юта Лаура Бустаманте (Laura Bustamante) осуждена на три года лишения свободны. Бустаманте заказывала по интернету кредитные карты на имя жителей штата, а затем забирала их из чужих почтовых ящиков. Суд также обязал Бустаманте выплатить несколько штрафов, в общей сложности почти на $70,000;
  • 22-летний спамер/фишер из штата Коннектикут Томас Тейлор (Thomas Taylor Jr.) приговорен к четырем годам пробации . Тейлор вместе со своими подельниками занимался распространением трояна через рассылку спама с фишерским контентом. Троян вымогал у пользователей номера соцстрахования, с помощью которых Тейлор изготовлял банковские карты и обналичивал их в банкоматах. Тейлору также придется выплатить штраф в $33,714. На самом деле, молодому человеку еще повезло – его подельник Майкл Дилан (Michael Dylon) несколько месяцев назад получил вполне реальные 7 лет без всяких пробаций;
  • 36-летняя Мелисса Суэйн Парриш (Melissa Swain Parrish), страховой агент компании Miracle Insurance была арестована полицией по подозрению в мошенничестве. Суэйн Парриш использовала персональные данные посторонних людей для подписки на планы медстрахования Medicare и получения по ним страховых сумм по выдуманным случаям болезни. Интересно, что некоторые из пострадавших пациентов давно умерли. Общий ущерб от действий мошенницы составил $7,000;
  • 47-летний житель Луизианы Элтон Девис (Alton Davis) арестован по подозрению в краже персональных данных как минимум 31 офицера полиции. Девис использовал данные для оформления кредитных карт, которые в дальнейшем использовались для покупок электроники в онлайне. Мошеннику угрожает до 15 лет лишения свободы.
Утечки, в которых пострадали как минимум 5 тысяч человек:

Организация: The University of Toledo
Пострадавшие: студенты (24К) и сотрудники (0,5К)
Данные: SSN (только для сотрудников), ПД, сведения об успеваемости
Причина: украли незашифрованный ноутбук, взломав дверь кампуса с помощью фомки
Референс: Stolen computer at UT contains personal information of students, faculty

Организация: Shell Oil
Пострадавшие: клиенты в Новой Зеландии (1,4К) и Австралии (4,5К)
Данные: ПД, банковские аккаунты (скорее всего, сведения о кредитных картах)
Причина: хакеры взломали онлайн-сервис по заказу карт для скидок на бензоколонках
Референс: Hackers steal Shell Oil customer details

Организация: Huron University College
Пострадавшие: студенты (24К)
Данные: ПД, SIN (канадский аналог номеров социального страхования)
Причина: на сервере было обнаружено вредоносное ПО (возможно, сервер попал в ботнет)
Референс: Huron University College data exposure

Организация: Kentucky Retirement Systems
Пострадавшие: местные пенсионеры (28К)
Данные: ПД,SSN
Причина: аутсорсер послал пенсионному фонду электронное письмо, не используя при этом шифрование
Референс: Ky. retiree data sent without proper security

Организация: пока неизвестно, кто именно
Пострадавшие: держатели банковских карт (19К)
Данные: подробные сведения о картах
Причина: секретная информация обнаружилась в Google Alerts
Референс: Aussie stumbles on 19,000 exposed credit card numbers

Организация: Jackson Memorial Hospital
Пострадавшие: клиенты (200К)
Данные: ПД, номера прав. Номера соцстрахования не пострадали
Причина: то ли украденный, то ли пропавший жесткий диск из датацентра. Бэкапа так и не обнаружили
Референс: JMH Security Advisory

Организация: FEMA (американский аналог МЧС)
Пострадавшие: пострадавшие от урагана Катрина (19К)
Данные: ПД, SSN
Причина: некто (наверное, сотрудник FEMA) опубликовал информацию на сайтах scribd.com и esnips.com
Референс: Katrina evacuees may have had personal information published on web


comments powered by Disqus