Обзор утечек: 27 октября - 2 ноября
Обзор утечек: 27 октября - 2 ноября
Alexander Antipov
За период с 27 октября по 2 ноября аналитический центр компании Perimetrix зафиксировал 8 утечек информации, причем одна из них имеет поистине гигантские масштабы.
За период с 27 октября по 2 ноября аналитический центр компании Perimetrix зафиксировал 8 утечек информации, причем одна из них имеет поистине гигантские масштабы. В очередной раз "отличились" английские чиновники, которые потеряли флешку с кодами доступа к правительственной базе данных. В скомпрометированной базе содержались сведения 12 млн. человек.
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
Очередная гигантская утечка в Англии: халатность ИТ-специалиста угрожает 12 000 000 человек
База данных крупнейшего английского портала Government Gateway, предоставлявшего сервисы электронного правительства для всех жителей страны, может быть скомпрометирована. Флеш-накопитель, содержавший "коды доступа" к этой базе был найден автостоянки около паба в городе Кэннок, графство Стеффордшир (Cannock, Staffordshire). В хранилище содержались различные персональные сведения 12 млн. человек – их имена, адреса, сведения о заработных палатах и даже номера национального страхования.
По данным аналитического центра Perimetrix, носитель потерял 29-летний ИТ-аналитик Даниэль Харрингтон (Daniel Harrington), работавший в фирме Atos Origin, которая оказывала услуги британскому правительству. На самой флешке не содержались персональные данные, однако скомпрометированная информация могла помочь хакерам получить доступ к огромной базе данных Government Gateway.
В частности, носитель содержал в себе некие "коды доступа", программное обеспечение по информационной безопасности и даже часть исходных кодов системы. По заверениям представителей правительства, с помощью этой информации трудно, однако вполне возможно взломать портал. Проконсультировавшись с экспертами, чиновники приняли решение на время закрыть Government Gateway (на данный момент портал возобновил свою работу).
«С помощью данной флешки мошенник может не только получить доступ к персональным данным жителей, но и взломать платежную систему Government Gateway и даже переводить деньги на свои личные счета», - отметил эксперт по безопасности из компьютерной фирмы PrevX Жак Эразмус (Jacques Erasmus). По мнению Эразмуса, который долгое время работал с правительственными агентствами, взлом данной системы для опытного хакера – это всего лишь «дело времени».
На данный момент полиция не располагает сведениями о том, что информация с носителя кем-то когда-то использовалось. Скорее всего, скомпрометированные "коды доступа" к системе уже потеряли свою актуальность и были заменены на новые.
Медицинский центр в Техасе скомпрометировал 100 000 приватных записей
Тем временем, масштабную утечку допустил медицинский центр при Университете Бейлора (Baylor Health Care System), штат Техас. В результате кражи ноутбука из автомобиля сотрудницы центра, под угрозой компрометации данных оказались практически 100 тыс. его пациентам.
По данным аналитического центра Perimetrix, на пропавшем компьютере хранились номера социального страхования 7 400 человек и более 90 тыс. «ограниченных» медицинских записей, которые включали в себя специальный код выписанного рецепта. Чтобы определить по этому коду реальное название препарата, необходим доступ к специальным медицинским реестрам.
«Согласно букве закона, мы должны оповестить только тех людей, чьи номера социального страхования были на ноутбуке, - отметил руководитель HealthTexas Provider Network Дэвид Винтер (David Winter). – Однако мы приняли решение послать оповещения всем пострадавшим, поскольку каждый из них имеет право знать об инциденте».
Судя по всему, информация на пропавшем компьютере была не зашифрована. По утверждению Винтера, в будущем Baylor Health Care System планирует внедрить новые технологии защиты и, в частности, использовать программное обеспечение для удаленной очистки диска в случае кражи компьютера или ноутбука.
Согласно политике безопасности центра, допустившая утечку сотрудница имела право собирать персональные данные на ноутбуке, однако не могла оставлять компьютер на ночь в автомобиле. В результате, сотрудница была уволена. В рамках компании по ликвидации последствий утечки Baylor Health Care System уже организовала телефонную линию для пострадавших и пообещала предоставить бесплатный кредитный мониторинг пациентам с украденными номерами соцстрахования.
Отметим, что Baylor Health Care System предлагает 1 000 долл. за возвращение украденного ноутбука. При этом представители центра обещают не задавать никаких вопросов.
Приватные данные пропадают даже из госдепартамента США
В конце октября стало известно о достаточно странной утечке, которая случилась в госдепартаменте США еще в начале нынешнего года. Группа аферистов, работавших в госдепартаменте и других федеральных учреждениях, подделывала кредитные карты, используя копии заявок на получение гражданских паспортов. От действий мошенников пострадали как минимум 400 человек.
Все началось 25 марта, когда рядовой полицейский офицер округа Колумбия остановил случайный автомобиль из-за слишком сильно затонированных стекол. В ходе проверки у водителя автомобиля, 24-летнего Карла Харриса-младшего (Quarles Harris Jr.) были обнаружены копии паспортных форм, а также поддельные кредитные карты на имя лиц, заполнявших эти формы. В машине Харриса также была обнаружена марихуана.
Эксперты Perimetrix отмечают, что в ходе расследования Харрис согласился сотрудничать со следствием и рассказал о двух сообщниках, один из которых работал в госдепартаменте США, другой – в федеральной почтовой службе (U. S. Postal Service). Но уже спустя несколько дней, 17 апреля, Харрис был застрелен неизвестными преступниками в одном из районов Вашингтона. На данный момент полиция не сообщает, успел ли Харрис указать имена подельников или нет. Однако можно не сомневаться, что это убийство непосредственно связано с его участием в карточной афере.
На сегодняшний день доподлинно неизвестно, каким образом группа аферистов сумела получить доступ к секретной информации. Расследование их деятельности будет продолжено, а всем потенциальным пострадавшим предоставят бесплатный кредитный мониторинг.
Школы Сиэтла неправильно отправили почту в профсоюз
Самая глупая утечка недели случилась в общественные школах города Сиэтла, штат Вашингтон. По данным аналитического центра Perimetrix, сотрудники школьного округа случайно разослали по электронной почте приватные данные 5 000 собственных коллег.
В качестве получателей информации выступили 700 человек – членов местного отделения профсоюза инженеров-эксплуатационщиков (International Union of Operating Engineers). Согласно американскому законодательству, все общественные организации (в том числе, и школы) должны предоставлять таким профсоюзам сведения о зарплатах собственных сотрудников. В данном случае, в письме оказались не только сведения о зарплатах, но и другая конфиденциальная информация (номера соцстрахования и домашние адреса), которой там не должно было быть.
По словам представителей профсоюза, поступившее письмо практически сразу было уничтожено и доступ к нему успели получить только два сотрудника. Таким образом, риск использования информации в незаконных целях расценивается как достаточно низкий.
Оставшиеся утечки недели:
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| Government Gateway | госструктура | потеря носителя | 12 000 000 | 50 млн. |
| Baylor Health Care System | медицина | кража ноутбука | 100 000 | 15 млн. |
| Госдепартамент США | госструктура | инсайд | 400 | "сотни тысяч" |
| Seattle Public Schools | образование | ошибка персонала | 5 000 | 1,5 млн. |
| Western Recycling | переработка | бумажная утечка | не менее 100 | нет данных |
| Aspen Dental | медицина | бумажная утечка | 60 | 10 тыс. |
| Portland VA Medical Center | медицина | веб-утечка | 1 600 | 350 тыс. |
| Abbey National | финансы | бумажная утечка | нет данных | нет данных |
| ИТОГО: | 12 107 060 | 68 млн. |
Очередная гигантская утечка в Англии: халатность ИТ-специалиста угрожает 12 000 000 человек
База данных крупнейшего английского портала Government Gateway, предоставлявшего сервисы электронного правительства для всех жителей страны, может быть скомпрометирована. Флеш-накопитель, содержавший "коды доступа" к этой базе был найден автостоянки около паба в городе Кэннок, графство Стеффордшир (Cannock, Staffordshire). В хранилище содержались различные персональные сведения 12 млн. человек – их имена, адреса, сведения о заработных палатах и даже номера национального страхования.
По данным аналитического центра Perimetrix, носитель потерял 29-летний ИТ-аналитик Даниэль Харрингтон (Daniel Harrington), работавший в фирме Atos Origin, которая оказывала услуги британскому правительству. На самой флешке не содержались персональные данные, однако скомпрометированная информация могла помочь хакерам получить доступ к огромной базе данных Government Gateway.
В частности, носитель содержал в себе некие "коды доступа", программное обеспечение по информационной безопасности и даже часть исходных кодов системы. По заверениям представителей правительства, с помощью этой информации трудно, однако вполне возможно взломать портал. Проконсультировавшись с экспертами, чиновники приняли решение на время закрыть Government Gateway (на данный момент портал возобновил свою работу).
«С помощью данной флешки мошенник может не только получить доступ к персональным данным жителей, но и взломать платежную систему Government Gateway и даже переводить деньги на свои личные счета», - отметил эксперт по безопасности из компьютерной фирмы PrevX Жак Эразмус (Jacques Erasmus). По мнению Эразмуса, который долгое время работал с правительственными агентствами, взлом данной системы для опытного хакера – это всего лишь «дело времени».
На данный момент полиция не располагает сведениями о том, что информация с носителя кем-то когда-то использовалось. Скорее всего, скомпрометированные "коды доступа" к системе уже потеряли свою актуальность и были заменены на новые.
Медицинский центр в Техасе скомпрометировал 100 000 приватных записей
Тем временем, масштабную утечку допустил медицинский центр при Университете Бейлора (Baylor Health Care System), штат Техас. В результате кражи ноутбука из автомобиля сотрудницы центра, под угрозой компрометации данных оказались практически 100 тыс. его пациентам.
По данным аналитического центра Perimetrix, на пропавшем компьютере хранились номера социального страхования 7 400 человек и более 90 тыс. «ограниченных» медицинских записей, которые включали в себя специальный код выписанного рецепта. Чтобы определить по этому коду реальное название препарата, необходим доступ к специальным медицинским реестрам.
«Согласно букве закона, мы должны оповестить только тех людей, чьи номера социального страхования были на ноутбуке, - отметил руководитель HealthTexas Provider Network Дэвид Винтер (David Winter). – Однако мы приняли решение послать оповещения всем пострадавшим, поскольку каждый из них имеет право знать об инциденте».
Судя по всему, информация на пропавшем компьютере была не зашифрована. По утверждению Винтера, в будущем Baylor Health Care System планирует внедрить новые технологии защиты и, в частности, использовать программное обеспечение для удаленной очистки диска в случае кражи компьютера или ноутбука.
Согласно политике безопасности центра, допустившая утечку сотрудница имела право собирать персональные данные на ноутбуке, однако не могла оставлять компьютер на ночь в автомобиле. В результате, сотрудница была уволена. В рамках компании по ликвидации последствий утечки Baylor Health Care System уже организовала телефонную линию для пострадавших и пообещала предоставить бесплатный кредитный мониторинг пациентам с украденными номерами соцстрахования.
Отметим, что Baylor Health Care System предлагает 1 000 долл. за возвращение украденного ноутбука. При этом представители центра обещают не задавать никаких вопросов.
Приватные данные пропадают даже из госдепартамента США
В конце октября стало известно о достаточно странной утечке, которая случилась в госдепартаменте США еще в начале нынешнего года. Группа аферистов, работавших в госдепартаменте и других федеральных учреждениях, подделывала кредитные карты, используя копии заявок на получение гражданских паспортов. От действий мошенников пострадали как минимум 400 человек.
Все началось 25 марта, когда рядовой полицейский офицер округа Колумбия остановил случайный автомобиль из-за слишком сильно затонированных стекол. В ходе проверки у водителя автомобиля, 24-летнего Карла Харриса-младшего (Quarles Harris Jr.) были обнаружены копии паспортных форм, а также поддельные кредитные карты на имя лиц, заполнявших эти формы. В машине Харриса также была обнаружена марихуана.
Эксперты Perimetrix отмечают, что в ходе расследования Харрис согласился сотрудничать со следствием и рассказал о двух сообщниках, один из которых работал в госдепартаменте США, другой – в федеральной почтовой службе (U. S. Postal Service). Но уже спустя несколько дней, 17 апреля, Харрис был застрелен неизвестными преступниками в одном из районов Вашингтона. На данный момент полиция не сообщает, успел ли Харрис указать имена подельников или нет. Однако можно не сомневаться, что это убийство непосредственно связано с его участием в карточной афере.
На сегодняшний день доподлинно неизвестно, каким образом группа аферистов сумела получить доступ к секретной информации. Расследование их деятельности будет продолжено, а всем потенциальным пострадавшим предоставят бесплатный кредитный мониторинг.
Школы Сиэтла неправильно отправили почту в профсоюз
Самая глупая утечка недели случилась в общественные школах города Сиэтла, штат Вашингтон. По данным аналитического центра Perimetrix, сотрудники школьного округа случайно разослали по электронной почте приватные данные 5 000 собственных коллег.
В качестве получателей информации выступили 700 человек – членов местного отделения профсоюза инженеров-эксплуатационщиков (International Union of Operating Engineers). Согласно американскому законодательству, все общественные организации (в том числе, и школы) должны предоставлять таким профсоюзам сведения о зарплатах собственных сотрудников. В данном случае, в письме оказались не только сведения о зарплатах, но и другая конфиденциальная информация (номера соцстрахования и домашние адреса), которой там не должно было быть.
По словам представителей профсоюза, поступившее письмо практически сразу было уничтожено и доступ к нему успели получить только два сотрудника. Таким образом, риск использования информации в незаконных целях расценивается как достаточно низкий.
Оставшиеся утечки недели:
Тени в интернете всегда следят за вами