Обзор утечек: 30 июня - 13 июля
Обзор утечек: 30 июня - 13 июля
Alexander Antipov
За период с 30 июня по 13 июля 2008 года аналитический центр Perimetrix зафиксировал 14 утечек информации.
За период с 30 июня по 13 июля 2008 года аналитический центр Perimetrix зафиксировал 14 утечек информации. В результате этих инцидентов пострадали как минимум 200 тыс. человек, а общий ущерб от них составил более 41 млн. долл. Краткая информация обо всех случившихся утечках представлена в сводной таблице:
Хочется также отметить, что большинство зафиксированных инцидентов оказались весьма интересными и, как правило, нетривиальными. Подробную информацию о каждом из них можно найти в ленте утечек Perimetrix на портале Security Lab.
Странные обстоятельства "бумажных" утечек
Обе "бумажные" утечки отчетного периода произошли пре весьма странных обстоятельствах. В начале отличилась австралийская организация SWAHS (Sydney West Area Health Service), которая решила выбросить приватные документы в весьма необычное место – заброшенный парк развлечений. После того, как бумаги были обнаружены, организацию обвинили не только в халатном отношении к своим клиентам, но и к загрязнению окружающей среды.
Однако еще более удивительный случай был зафиксирован в американском штате Миссисипи . На обочине одной из магистралей штата была обнаружена кипа бумаг, принадлежавшей компании Liberty Furniture, развалившейся более 20 лет назад. Более того, большинство найденных документов были напечатаны еще в конце семидесятых годов прошлого века, то есть – практически 30(!) лет назад. Еще более странным выглядит то обстоятельство, что фирма Liberty Furniture работала в штате Северная Каролина, который располагается довольно далеко от штата Миссисипи.
Тем не менее, информация на документах до сих пор способна вызвать навредить своим же владельцам. На данный момент местная полиция пытается понять, почему документы не были уничтожены за 30 лет, и как они попали на обочину дороги в штате Миссисипи.
В Гонконге пропадают ленты и дискеты
Тем временем, в китайском Гонконге стали пропадать различные носители. О масштабных инцидентах объявила крупнейшая банковская корпорация HSBC, а также одна из местных больниц Yan Chai. В первом случае были потеряны резервные ленты, а во втором – устаревшие 3,5`` дискеты.
По данным аналитического центра Perimetrix,резервная лента, принадлежавшая HSBC, бесследно исчезла во время транспортировки из Гуанчжоу в Гонконг. Как сообщает издание The Standard, носитель содержал записи 25 тыс. телефонных звонков, связанных «с запросами на получение кредитных карт, интернет-банкингом для корпоративных клиентов, а также записи стандартных исходящих вызовов из HSBC». Отметим, что в качестве курьера, который не сумел обеспечить беспроблемную доставку, выступила крупнейшая логистическая фирма DHL.
Дискеты, которые потеряла больница Yan Chai, использовались в качестве резервных носителей для записи логов неких «медицинских приложений» в 2005 году. Интересно, что дискеты потерялись во время процесса шифрования, в котором участвуют все резервные носители больницы. После того, как потеря была обнаружена, больница организовала внутреннее расследование, а вскоре, отчаявшись найти дискеты, сообщила в местную полицию.
Предполагается, в результате утечки из больницы, пострадали как минимум 3 000 человек.
Живых американцев по ошибке признали мертвыми
Американское ведомство Social Security Administration (SSA), управляющее программой социального страхования, давно и активно пытается бороться с утечками персональных данных. Однако в конце нынешнего июня стало понятно, что даже SSA не в состоянии защитить персональные сведения. По сведениям аналитического центра Perimetrix, номера социального страхования 20 тыс. американцев были обнаружены в публичной базе данных Death Master File (DMF). А в этой базе должны храниться сведения только об умерших американцах.
Генеральная прокуратура США предполагает, что причиной утечки стали не единичные ошибки персонала, а системные проблемы в бизнес-процессах SSA. Сведения о еще живых гражданах попадали в Death Master File начиная с 2004 г., однако были удалены только сейчас. Представители прокуратуры отмечают, что скомпрометированные записи уже успели распространиться по интернету.
Немецкое маркетинговое агентство не знает основ веб-программирования
Немецкое маркетинговое агентство Taylor Nelson Sofres (TNS) допустило довольно глупую утечку информации из-за ошибки в онлайновой форме одного из опросов. Как сообщает издание Chaos Computer Club, любой человек мог получить доступ к ответам других пользователей – для этого требовалось всего лишь изменить идентификационный номер участника в браузере. При этом используемые номера не являлись случайными последовательностями, и при любом изменении номера в браузере появлялась форма ответов другого участника, а не ошибка 404.
Эксперты Perimetrix предполагают, что в результате утечки может пострадать каждый из 41 тыс. человек, заполнивших анкету TNS. В рамках опроса им требовалось указать массу персональных сведений: имена, адреса, даты рождения, адреса электронной почты и телефонные номера. Кроме того, были скомпрометированы сведения о доходах, образовании, банковских вкладах, медицинской страховке, а также используемых кредитных картах.
Инсайдеры из Арканзаса любят подарочные карты WalMart
В конце мая полиция города Норт Литл Рок (North Little Rock) арестовала 30-летнюю сотрудницу приемного отделения медицинской организации Baptist Health Тамару Хилл (Tamara Hill). По данным полиции, женщина использовала персональные сведения клиентов Baptist Health для приобретения подарочных карт WalMart и дальнейшей покупки различных товаров по этим картам.
При обыске в доме Хилл были найдены персональные сведения 24 человек в виде напечатанных скриншотов с экрана компьютера. Предполагается, что женщина могла получить доступ к информации о 1 800 клиентах Baptist Health.
Персональные сведения членов верховного суда США можно найти в файлообменной сети
Ошибка сотрудника финансовой компании Wagner Resource Group привела к компрометации сведений Стефана Брейера, члена верховного суда США. Как сообщает Washington Post, этот сотрудник опубликовал конфиденциальную базу Wagner Resource в файлообменной сети LimeWire.
Эксперты аналитического центра Perimetrix предполагают, что инсайдер действовал не специально; он просто хотел закачивать фильмы и музыку, однако не справился с настройками P2P-клиента. Известно, что информации была доступна в LimeWare в течение как минимум шести месяцев, а значит – они, скорее всего, были давно скачаны мошенниками. «Меня ошеломила эта утечка, - заявил основатель Wagner Resource Group Филип Вагнер (Phylyp Wagner). – Раньше я ничего не знал о файлообменных технологиях, а теперь – знаю очень многое».
Оставшиеся утечки недели:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| Sydney West Area Health Service | медицина | бумажная утечка | нет данных | нет данных |
| Service Canada | госструктура | потеря носителя | 1 500 | 200 тыс. |
| Daily Mail | медиа | кража ноутбука | «тысячи» | сотни тыс. |
| University of Nebraska at Kearney | образование | хакерская атака | 2 035 | 450 тыс. |
| HSBC | финансы | потеря носителя (ленты) | 25 000 | 6 млн. |
| Social Security Administration | госструктура | ошибка персонала | 20 000 | 3 млн. |
| Taylor Nelson Sofres | консалтинг | веб-утечка | 41 000 | 6 млн. |
| Florida Agency for Health Care Administration | медицина | веб-утечка | 55 000 | 10 млн. |
| Baptist Health | медицина | инсайд | 1 800 | 500 тыс. |
| Liberty Furniture | производство | бумажная утечка | нет данных | нет данных |
| Yan Chai Hospital | медицина | потеря носителя | 3 000 | 300 тыс. |
| Wagner Resource Group | финансы | веб-утечка (P2P) | 2 000 | 800 тыс. |
| ИТОГО: | 151 335 | 27.2 млн. |
Хочется также отметить, что большинство зафиксированных инцидентов оказались весьма интересными и, как правило, нетривиальными. Подробную информацию о каждом из них можно найти в ленте утечек Perimetrix на портале Security Lab.
Странные обстоятельства "бумажных" утечек
Обе "бумажные" утечки отчетного периода произошли пре весьма странных обстоятельствах. В начале отличилась австралийская организация SWAHS (Sydney West Area Health Service), которая решила выбросить приватные документы в весьма необычное место – заброшенный парк развлечений. После того, как бумаги были обнаружены, организацию обвинили не только в халатном отношении к своим клиентам, но и к загрязнению окружающей среды.
Однако еще более удивительный случай был зафиксирован в американском штате Миссисипи . На обочине одной из магистралей штата была обнаружена кипа бумаг, принадлежавшей компании Liberty Furniture, развалившейся более 20 лет назад. Более того, большинство найденных документов были напечатаны еще в конце семидесятых годов прошлого века, то есть – практически 30(!) лет назад. Еще более странным выглядит то обстоятельство, что фирма Liberty Furniture работала в штате Северная Каролина, который располагается довольно далеко от штата Миссисипи.
Тем не менее, информация на документах до сих пор способна вызвать навредить своим же владельцам. На данный момент местная полиция пытается понять, почему документы не были уничтожены за 30 лет, и как они попали на обочину дороги в штате Миссисипи.
В Гонконге пропадают ленты и дискеты
Тем временем, в китайском Гонконге стали пропадать различные носители. О масштабных инцидентах объявила крупнейшая банковская корпорация HSBC, а также одна из местных больниц Yan Chai. В первом случае были потеряны резервные ленты, а во втором – устаревшие 3,5`` дискеты.
По данным аналитического центра Perimetrix,резервная лента, принадлежавшая HSBC, бесследно исчезла во время транспортировки из Гуанчжоу в Гонконг. Как сообщает издание The Standard, носитель содержал записи 25 тыс. телефонных звонков, связанных «с запросами на получение кредитных карт, интернет-банкингом для корпоративных клиентов, а также записи стандартных исходящих вызовов из HSBC». Отметим, что в качестве курьера, который не сумел обеспечить беспроблемную доставку, выступила крупнейшая логистическая фирма DHL.
Дискеты, которые потеряла больница Yan Chai, использовались в качестве резервных носителей для записи логов неких «медицинских приложений» в 2005 году. Интересно, что дискеты потерялись во время процесса шифрования, в котором участвуют все резервные носители больницы. После того, как потеря была обнаружена, больница организовала внутреннее расследование, а вскоре, отчаявшись найти дискеты, сообщила в местную полицию.
Предполагается, в результате утечки из больницы, пострадали как минимум 3 000 человек.
Живых американцев по ошибке признали мертвыми
Американское ведомство Social Security Administration (SSA), управляющее программой социального страхования, давно и активно пытается бороться с утечками персональных данных. Однако в конце нынешнего июня стало понятно, что даже SSA не в состоянии защитить персональные сведения. По сведениям аналитического центра Perimetrix, номера социального страхования 20 тыс. американцев были обнаружены в публичной базе данных Death Master File (DMF). А в этой базе должны храниться сведения только об умерших американцах.
Генеральная прокуратура США предполагает, что причиной утечки стали не единичные ошибки персонала, а системные проблемы в бизнес-процессах SSA. Сведения о еще живых гражданах попадали в Death Master File начиная с 2004 г., однако были удалены только сейчас. Представители прокуратуры отмечают, что скомпрометированные записи уже успели распространиться по интернету.
Немецкое маркетинговое агентство не знает основ веб-программирования
Немецкое маркетинговое агентство Taylor Nelson Sofres (TNS) допустило довольно глупую утечку информации из-за ошибки в онлайновой форме одного из опросов. Как сообщает издание Chaos Computer Club, любой человек мог получить доступ к ответам других пользователей – для этого требовалось всего лишь изменить идентификационный номер участника в браузере. При этом используемые номера не являлись случайными последовательностями, и при любом изменении номера в браузере появлялась форма ответов другого участника, а не ошибка 404.
Эксперты Perimetrix предполагают, что в результате утечки может пострадать каждый из 41 тыс. человек, заполнивших анкету TNS. В рамках опроса им требовалось указать массу персональных сведений: имена, адреса, даты рождения, адреса электронной почты и телефонные номера. Кроме того, были скомпрометированы сведения о доходах, образовании, банковских вкладах, медицинской страховке, а также используемых кредитных картах.
Инсайдеры из Арканзаса любят подарочные карты WalMart
В конце мая полиция города Норт Литл Рок (North Little Rock) арестовала 30-летнюю сотрудницу приемного отделения медицинской организации Baptist Health Тамару Хилл (Tamara Hill). По данным полиции, женщина использовала персональные сведения клиентов Baptist Health для приобретения подарочных карт WalMart и дальнейшей покупки различных товаров по этим картам.
При обыске в доме Хилл были найдены персональные сведения 24 человек в виде напечатанных скриншотов с экрана компьютера. Предполагается, что женщина могла получить доступ к информации о 1 800 клиентах Baptist Health.
Персональные сведения членов верховного суда США можно найти в файлообменной сети
Ошибка сотрудника финансовой компании Wagner Resource Group привела к компрометации сведений Стефана Брейера, члена верховного суда США. Как сообщает Washington Post, этот сотрудник опубликовал конфиденциальную базу Wagner Resource в файлообменной сети LimeWire.
Эксперты аналитического центра Perimetrix предполагают, что инсайдер действовал не специально; он просто хотел закачивать фильмы и музыку, однако не справился с настройками P2P-клиента. Известно, что информации была доступна в LimeWare в течение как минимум шести месяцев, а значит – они, скорее всего, были давно скачаны мошенниками. «Меня ошеломила эта утечка, - заявил основатель Wagner Resource Group Филип Вагнер (Phylyp Wagner). – Раньше я ничего не знал о файлообменных технологиях, а теперь – знаю очень многое».
Оставшиеся утечки недели:
- Канадское "единое окно" потеряло флешку
- Приватная информация доноров Флориды может попасть в руки мошенников
- Борцы с утечками из Daily Mail рискуют пострадать от кражи личности
- Университет Небраски не устоял перед атакой словенских хакеров
Устали от того, что Интернет знает о вас все?