Ровно половина утечек прошедшей недели пришлась на образовательные организации.
Ровно половина утечек прошедшей недели пришлась на образовательные организации. По мнению экспертов компании Perimetrix, такая ситуация неудивительна, поскольку школы и институты обрабатывают большие объемы персональных сведений. А степень проникновения информационных технологий (и, тем более, систем информационной безопасности) традиционно находится на не слишком высоком уровне.
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
Verizon Wireless | телекоммуникации | инсайд | нет данных | нет данных |
Southern Connecticut State University | образование | хакерская атака | 11 000 | 1 млн. |
CollegeInvest | финансы | потеря носителя | 200 000 | 15 млн. |
Министерство здравоохранения Гонконга | госструктура | кража носителя | 700 | 80 тыс. |
Hough, MacAdam & Wartnik | финансы | кража ноутбука | 482 | 120 тыс. |
University of Colorado | образование | хакерская атака | 9 500 | 950 тыс. |
University of Massachusetts | образование | хакерская атака | нет данных | нет данных |
The Iredell County Tax Collector's Office | финансы | кража носителя | 468 | 70 тыс. |
Staten Island University Hospital | образование | кража носителя | 88 000 | 15 млн. |
University of California San Francisco | образование | веб-утечка | 6 313 | 800 тыс. |
| | ИТОГО: | 316 463 | 37 млн. |
Кто такой телемаркетолог?
Несмотря на сложное название, телемаркетологи выполняют довольно банальные обязанности – обзванивают потенциальных клиентах и предлагают им купить товар или услугу. Телемаркетолог, работавший в крупном американском сотовом операторе Verizon Wireless, добавил к этим обязанностям еще одну –
кражу персональной информации . Полиция округа Самерсет (Somerset County), штат Нью-Джерси, предполагает, что инсайдер занимался кражей сведений клиентов Verizon с 2003 по 2005 года.
По сведениям аналитического центра Perimetrix, мошенник использовал весьма интересный канал утечки – он печатал скриншоты компьютера, содержавшие приватную информацию. Точные подробности инцидента, имя и мотивы мошенника на данный момент не сообщаются. Отметим, что два года назад Verizon провела обновление своих корпоративных систем с целью не показывать полные номера социального страхования телемаркетологам, а также службе технической поддержки. Всем пострадавшим будет предоставлена бесплатная услуга кредитного мониторинга сроком на один год.
Финансово-образовательная фирма теряет конфиденциальный жесткий диск
Тем временем, некоммерческая организация CollegeInvest, выдающая кредиты на образование в штате Колорадо,
объявила о пропаже носителя с приватными сведениями . Диск, на котором хранились номера социального страхования 200 000 человек, таинственным образом исчез при переезде в новый офис. По словам представителя CollegeInvest Дженнифер Робинсон (Jennifer Robinson), в список пострадавших попала почти четверть (23%) клиентов организации, однако кража личности маловероятна – поскольку информация была зашифрована.
Издание The Denver Post сообщает, что пострадавшим предложено две программы мониторинга на выбор: Triple Alert и FamilySecure. Стоимость первой из них составляет $10.5 в год, второй – практически $30. Таким образом, расходы CollegeInvest только на кредитный мониторинг будут измеряться в миллионах долларов – а ведь есть еще и репутационные потери.
Эксперты Perimetrix отмечают, что шифрование способно обеспечить стопроцентную защиту информации. В данном случае о стопроцентной защите речь не идет – в противном случае, CollegeInvest не стал бы предоставлять кредитный мониторинг. Как следствие, можно предположить, что шифрование либо вообще отсутствовало, либо использовало слабые криптографические алгоритмы.
Кража в Нью-Йорке угрожает десяткам тысяч людей
Похожий случай случился на другом конце США – в крупнейшем мегаполисе Штатов Нью-Йорке. Местный Университет Статен-Айленда (а вернее – госпиталь при Университете)
также не уследил за носителями конфиденциальной информации . Однако в отличие от случая в Колорадо, компьютерное оборудование не пропало, а было украдено.
Как следствие, было объявлено об утечке, которая угрожает 88 000 человек. Любопытно, что в офисе была установлена система видеонаблюдения, которая зафиксировала преступление, однако, несмотря на достаточно хорошую запись, никто так и не был арестован. Судя по видео с камер наблюдения, виновником утечки стал чернокожий мужчина в возрасте от 30 до 40 лет. Сообщается, что он похитил настольный компьютер, а также диск для резервного копирования информации.
Вредоносный файл посеял панику в Университете Колорадо
Случай с CollegeInvest оказался не единственным инцидентом в штате Колорадо. Несколько дней спустя об утечке
объявил местный Университет , который базируется в городе Боулдер (The University of Colorado at Boulder). По сообщениям американских СМИ, в результате инцидента были скомпрометированы номера социального страхования 9 500 человек, в том числе, 500 преподавателей.
Сама же утечка оказалась довольно экзотической. 24 апреля сотрудники департамента ИТ-безопасности ВУЗа обнаружили на компьютерах некий «вредоносный файл». Несмотря на то, что точная природа файла не установлена до сих пор, Университет уже успел заявить о возможном вторжении и начал рассылать письма потенциальным жертвам утечки. Отметим, что все пострадавшие учились или преподавали в Университете достаточно давно (с 1997 по 2003 гг.), и зачем хранилась их информация – непонятно.
Оставшиеся утечки недели
О других утечках недели трудно рассказывать подробно, поскольку информации о них крайне мало. Отметим, что второй инцидент за месяц
допустил Университет Южного Коннектикута (Southern Connecticut State University), потерявший номера социального страхования 11 000 студентов в результате хакерской атаки. Министерство здравоохранения Гонконга
не уследило за флешкой с информацией о «проблемных» подростках , а финансовая контора Hough, MacAdam & Wartnik
потеряла ноутбук с конфиденциальными сведениями клиентов .
Конец недели ознаменовался еще тремя утечками. Так, Университет Массачусетса
не смог обеспечить внешнюю безопасность своей корпоративной сети , а Университет Калифорнии
допустил классическую веб-утечку . Последней жертвой стало налоговое ведомство округа Айрделл (Iredell, Северная Каролина),
у которого угнали машину вместе с носителями приватных сведений .
…
В завершении обзора, хочется отметить интервью некоего Александра Сергеева, опубликованное на информационно-аналитическом портале «Евразия». Этот человек с абсолютно заурядным именем представился, как «заместитель директора по рекламе» скандального проекта Radarix.com. Из уст Александра Сергеева прозвучало сразу несколько интересных, даже «программных» заявлений, которые мы собрали в представленный ниже список:
- «Их [другие ресурсы с базами персональных данных и телефонных номеров ] можно понять - появление нашего сервиса означает для них полную катастрофу. Особенно потому, что наша деятельность законна, а их – нет»
- «Мы приобретаем информацию, начиная с 1999 года. Люди, стоявшие у истоков системы, занимались в России частной детективной деятельностью, потом решили продолжить её за пределами страны… Единственное, что можно добавить: мы приобретаем информацию только у компаний, которые имеют соответствующие сертификаты и разрешения. Нам это необходимо для легализации информации в стране нашей юрисдикции. Именно с этим связаны некоторые ограничения на публичный доступ к информации 2006-2008 годов»
- «Но когда видишь письма "Храни вас Бог, с помощью сайта я нашла свою сестру, с которой не виделась 20 лет", или благодарности от помощников передачи "Жди меня", с сердечными поклонами, понимаешь, что честных людей, которым наш сервис служит исключительно во благо, несоизмеримо больше, чем тех, кому не по душе раскрытие сведений о былых грехах»
- «На нас практически ежедневно выходят представители официальных структур разных стран… Одни просят помощи в предоставлении доступа сотрудникам. Другие с целью проверки легальности нашей деятельности. Удовлетворенными остаются и те, и другие»
- «[На Radarix заходят] Около четверти миллиона хостов в среднем за сутки, но бывало по полмиллиона, а в момент публикации статей на крупных новостных ресурсах – десятки тысяч в час»
По сути, Александр Сергеев утверждает, что деятельность портала Radarix.com абсолютно легальна, что бы не писали по этому поводу журналисты. Однако эксперты компании Perimetrix абсолютно не согласны с такой оценкой, поскольку данный ресурс противоречит как минимум российской Конституции, а также Федеральному Закону «О персональных данных». Вполне возможно, интервью попросту является подделкой.
Однако специалисты компании Perimetrix советуют не торопиться с выводами. Еще месяц назад аналитики говорили о том, что Radarix является средством сбором электронных адресов, однако портал вскоре заработал. Кто знает, какой сюрприз приготовит Radarix на этот раз? Может быть, руководство Radarix, а также «официальные структуры разных стран», действительно считают подобную деятельность легальной? Несмотря на кажущуюся парадоксальность, этот вариант имеет право на существование, поскольку за месяц работы портала не было предпринято ни одной попытки его закрыть. И будет очень печально, если последняя версия действительно подтвердится.