Обзор утечек: 20 октября - 26 октября
Обзор утечек: 20 октября - 26 октября
Alexander Antipov
За период с 20 по 26 октября аналитический центр компании Perimetrix зафиксировал 8 утечек информации.
За период с 20 по 26 октября аналитический центр компании Perimetrix зафиксировал 8 утечек информации. Крупных утечек на прошлой неделе не случилось, однако совокупный ущерб от инцидентов все равно превысил 10 млн. долл.
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
15-летний школьник обвиняется в трех преступлениях за доступ к конфиденциальному файлу
15-летний ученик Shenendehowa Central Schools (г. Клифтон Парк, штат Нью-Йорк) обвиняется сразу в трех различных преступлениях за то, что он открыл файл с конфиденциальными записями водителей автобусов. Ему предъявлены обвинения в компьютерном взломе, незаконном владении персональными сведениями и краже личности.
По сведениям аналитического центра Perimetrix, такие масштабные обвинения выдвинуты из-за банальной халатности ИТ-персонала школы, которая неправильно сконфигурировала доступ к конфиденциальным файлам. В результате, ученик школы случайно открыл секретный файл с использованием своего обычного студенческого аккаунта в обычном компьютерном классе школы. После этого, он зачем-то послал этот файл школьному директору и спустя два часа уже сидел в его кабинете.
«По-моему, правоохранительные органы немного перестарались, отметил руководитель аналитического центра Perimetrix Владимир Ульянов. - О каком взломе может идти речь, ведь школьник получил доступ с использованием абсолютно легального пароля? Конечно, этого школьника следует наказать, однако предъявлять ему обвинения в трех уголовных преступлениях – это как-то чересчур. Но лучше всего наказать школьную ИТ-службу, которая не в состоянии выполнить свои элементарные обязанности»
Одиннадцать компьютерных дисков потеряны во время пересылки по почте
Тем временем, достаточно серьезную утечку допустила медицинская страховая компания Medical Mutual из штата Огайо. Одиннадцать компьютерных дисков Medical Mutual с приватными сведениями 36 000 жителей штата потерялись во время пересылки с помощью обычной почтовой службы (U. S. Postal Service).
«Мы полагаем, что диски находятся где-то в почтовой системе и сделаем все возможное, чтобы их найти», - отметил директор по коммуникациям Medical Mutual Джаред Чейни (Jared Chaney). Эксперты Perimetrix отмечают, что носители исчезли во время пересылки из одной организации г. Коламбус в другую из-за неправильно указанного почтового адреса.
По словам Чейни, в компании Medical Mutual предусмотрен специальный план ликвидации утечек информации. «Если в ближайшее время диски не будут найдены – мы запустим процесс оповещения пострадавших и предоставим им бесплатный кредитный мониторинг», - отметил Чейни. Судя по всему, пропавшие носители не использовали шифрования данных.
Утечка в рамках закона: на сайте американского округа опубликованы персональные данные
Пока в Огайо разбирались с пропавшими дисками, в Северной Каролине произошла абсолютно законная утечка. Как сообщают местные СМИ, жительница Северной Каролина искала свои документы на сайте палаты регистрации актов (Register of Deeds) и вместе с документами нашла там свой номер социального страхования.
Как объяснил руководитель палаты Крейг Олив (Craig Olive), причина утечки связана с несовершенством принятых в штате законов. Основной норматив, которому подчиняется палата (Identity Theft Protection Act, 2005) предписывают удалять персональные данные только по запросу жителей штата. При этом большинство жителей не имеют никакого представления о том, что информация о них доступна в глобальной сети.
Эксперты аналитического центра Perimetrix отмечают, что тот же самый документ предписывает не использовать секретные сведения (такие как номера социального страхования) в новых документах. Однако для людей, которые оформляли какие-то договора до 2005 года, это требование не выполняется и их информация может быть опубликована на сайте.
«Закон предписывает нам публиковать все зарегистрированные акты, но запрещает удалять персональные данные без письменного запроса от их владельца, - отметил Крейг Олив. – Каждый год мы пишем письма законодателям и просим хоть как-то изменить сложившуюся ситуацию». В ближайшем будущем Крейг Олив планирует оповестить всех людей (как минимум 22 000 жителей), чья информация была скомпрометирована.
Утечка из eBay: мошенники "увели" 5,5 тыс. аккаунтов
Специалист по информационной безопасности Кристофер Бойд (Christopher Boyd) сообщил о масштабной утечки из пользовательской базы аукциона eBay. Расследуя какой-то инцидент, связанный с фишингом, Бойд обнаружил крупнейший список учетных записей к аукциону eBay, который он когда либо видел.
По утверждению специалиста, список состоял из 5 534 записей, соответствовавших учетным записям в системе eBay. Некоторые записи были удалены или перестали существовать, однако большинство из них относятся к реальным аккаунтам, принадлежавшим реальным пользователям системы. По мнению Бойда, информация об учетных записях была украдена с помощью классической фишинговой схемы.
«Самое печальное, что многие пользователи используют одни и те же пароли для доступа к онлайн-сервисам типа eBay и платежным системам типа PayPal. – отметил Кристофер Бойд в своем блоге. – Таким образом, зная учетные данные пользователя в eBay, можно получить доступ к его финансовым сбережениям».
Оставшиеся утечки недели:
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| Shenendehowa Central Schools | образование | инсайд | нет данных | нет данных |
| Medical Mutual of Ohio | финансы, медицина | потеря носителей | 36 000 | 5,3 млн. |
| Johnston County | госструктура | веб-утечка | 22 000 | 3,6 млн. |
| eBay | онлайн-аукцион | нет данных | 5 534 | нет данных |
| KRM Risk Management | финансы | кража компьютера | 5 700 | 1,1 млн. |
| City of Goodyear | госструктура | потеря носителя | 570 | 100 тыс. |
| Things Remembered | интернет-магазин | нет данных | нет данных | нет данных |
| Binghamton University | образование | бумажная утечка | 56 | 5 тыс. |
| ИТОГО: | 69 860 | 10,5 млн. |
15-летний школьник обвиняется в трех преступлениях за доступ к конфиденциальному файлу
15-летний ученик Shenendehowa Central Schools (г. Клифтон Парк, штат Нью-Йорк) обвиняется сразу в трех различных преступлениях за то, что он открыл файл с конфиденциальными записями водителей автобусов. Ему предъявлены обвинения в компьютерном взломе, незаконном владении персональными сведениями и краже личности.
По сведениям аналитического центра Perimetrix, такие масштабные обвинения выдвинуты из-за банальной халатности ИТ-персонала школы, которая неправильно сконфигурировала доступ к конфиденциальным файлам. В результате, ученик школы случайно открыл секретный файл с использованием своего обычного студенческого аккаунта в обычном компьютерном классе школы. После этого, он зачем-то послал этот файл школьному директору и спустя два часа уже сидел в его кабинете.
«По-моему, правоохранительные органы немного перестарались, отметил руководитель аналитического центра Perimetrix Владимир Ульянов. - О каком взломе может идти речь, ведь школьник получил доступ с использованием абсолютно легального пароля? Конечно, этого школьника следует наказать, однако предъявлять ему обвинения в трех уголовных преступлениях – это как-то чересчур. Но лучше всего наказать школьную ИТ-службу, которая не в состоянии выполнить свои элементарные обязанности»
Одиннадцать компьютерных дисков потеряны во время пересылки по почте
Тем временем, достаточно серьезную утечку допустила медицинская страховая компания Medical Mutual из штата Огайо. Одиннадцать компьютерных дисков Medical Mutual с приватными сведениями 36 000 жителей штата потерялись во время пересылки с помощью обычной почтовой службы (U. S. Postal Service).
«Мы полагаем, что диски находятся где-то в почтовой системе и сделаем все возможное, чтобы их найти», - отметил директор по коммуникациям Medical Mutual Джаред Чейни (Jared Chaney). Эксперты Perimetrix отмечают, что носители исчезли во время пересылки из одной организации г. Коламбус в другую из-за неправильно указанного почтового адреса.
По словам Чейни, в компании Medical Mutual предусмотрен специальный план ликвидации утечек информации. «Если в ближайшее время диски не будут найдены – мы запустим процесс оповещения пострадавших и предоставим им бесплатный кредитный мониторинг», - отметил Чейни. Судя по всему, пропавшие носители не использовали шифрования данных.
Утечка в рамках закона: на сайте американского округа опубликованы персональные данные
Пока в Огайо разбирались с пропавшими дисками, в Северной Каролине произошла абсолютно законная утечка. Как сообщают местные СМИ, жительница Северной Каролина искала свои документы на сайте палаты регистрации актов (Register of Deeds) и вместе с документами нашла там свой номер социального страхования.
Как объяснил руководитель палаты Крейг Олив (Craig Olive), причина утечки связана с несовершенством принятых в штате законов. Основной норматив, которому подчиняется палата (Identity Theft Protection Act, 2005) предписывают удалять персональные данные только по запросу жителей штата. При этом большинство жителей не имеют никакого представления о том, что информация о них доступна в глобальной сети.
Эксперты аналитического центра Perimetrix отмечают, что тот же самый документ предписывает не использовать секретные сведения (такие как номера социального страхования) в новых документах. Однако для людей, которые оформляли какие-то договора до 2005 года, это требование не выполняется и их информация может быть опубликована на сайте.
«Закон предписывает нам публиковать все зарегистрированные акты, но запрещает удалять персональные данные без письменного запроса от их владельца, - отметил Крейг Олив. – Каждый год мы пишем письма законодателям и просим хоть как-то изменить сложившуюся ситуацию». В ближайшем будущем Крейг Олив планирует оповестить всех людей (как минимум 22 000 жителей), чья информация была скомпрометирована.
Утечка из eBay: мошенники "увели" 5,5 тыс. аккаунтов
Специалист по информационной безопасности Кристофер Бойд (Christopher Boyd) сообщил о масштабной утечки из пользовательской базы аукциона eBay. Расследуя какой-то инцидент, связанный с фишингом, Бойд обнаружил крупнейший список учетных записей к аукциону eBay, который он когда либо видел.
По утверждению специалиста, список состоял из 5 534 записей, соответствовавших учетным записям в системе eBay. Некоторые записи были удалены или перестали существовать, однако большинство из них относятся к реальным аккаунтам, принадлежавшим реальным пользователям системы. По мнению Бойда, информация об учетных записях была украдена с помощью классической фишинговой схемы.
«Самое печальное, что многие пользователи используют одни и те же пароли для доступа к онлайн-сервисам типа eBay и платежным системам типа PayPal. – отметил Кристофер Бойд в своем блоге. – Таким образом, зная учетные данные пользователя в eBay, можно получить доступ к его финансовым сбережениям».
Оставшиеся утечки недели:
Тени в интернете всегда следят за вами