Обзор утечек: 24 ноября - 7 декабря

Обзор утечек: 24 ноября - 7 декабря

За период с 24 ноября по 7 декабря аналитический центр компании Perimetrix зафиксировал 9 утечек информации.

За период с 24 ноября по 7 декабря аналитический центр компании Perimetrix зафиксировал 9 утечек информации, среди которых оказались весьма любопытные инциденты. В очередной раз не обошлось без "миллионной" утечки, случившейся на территории Канады. Краткая информация обо всех зафиксированных инцидентах представлена в сводной таблице:

Компания
Сфера деятельности
Причина утечки
Количество пострадавших (человек)
Примерный ущерб ($)
C-W Group маркетинг, ИТ-услуги инсайд 3 200 000 50 млн.
Florida Agency for Workforce Innovation госструктура веб-утечка 250 000 24 млн.
Spicy Pickle розничная торговля хакерская атака не менее 100 "сотни тысяч"
Ralph Cummings, M.D. медицина бумажная утечка нет данных нет данных
US Army оборона P2P-утечка 24 000 ок 3 млн.
US Army оборона кража ноутбука 6 000 500 тыс.
California State Polytechnic University образование веб-утечка 675 110 тыс.
Central California Appellate Program некоммерческая организация кража носителя нет данных нет данных
B.J. Accessories and Tax Preparation финансы, услуги кража ноутбука 70 15 тыс.
    ИТОГО: 3 480 845 ок. 78 млн.



Канадская фирма подозревает бывшего топ-менеджера в краже резервного носителя

Канадское агентство прямого маркетинга C-W Group, также предоставляющее ИТ-услуги и услуги управления базами данных, пострадало от действий собственного вице-президента. Ник Бельмонте (Nick Belmonte), занимавший должность вице-президента C-W Group по информационным технологиям подозревается в краже резервной ленты с персональными сведениями 3 200 000 человек. По данным аналитического центра Perimetrix, на ленте также содержались 800 000 записей о кредитных картах и банковских счетах.

По оценкам руководителя C-W Group Глории Эванс (Gloria Evans), стоимость украденной информации может измеряться в «десятках миллионов долларов». «Ник Бельмонте был проблемным сотрудником – он не всегда появлялся на работе вовремя и часто тратил рабочее время на посторонние занятия, - отметила Эванс в официальном заявлении суду. – Продажа информации, которая хранилась не резервной ленте, могла нанести непоправимый ущерб для бизнеса C-W Group».

Как утверждает Эванс, 4 ноября нынешнего года ее сын Кит (Keith Evans), работающий системным администратором той же фирмы, сообщил о странном поведении Бельмонте, который попросил его и еще одного сотрудника принести три резервные ленты. Руководство C-W Group (в лице Глории Эванс и еще одного директора фирмы Брайна Пейджа) попросило Бельмонте вернуть носители на место, однако тот отказался это сделать. Позднее, две ленты были найдены на столе Бельмонте, а местонахождение третьего носителя до сих пор остается неизвестным.

«Мы с Брайном несколько раз звонили Бельмонте и спрашивали насчет третьей ленты, но каждый раз он отвечал, что понятия не имеет о чем идет речь», - отметила Эванс в своем заявлении. На следующий день Бельмонте написал электронное письмо, в котором объяснил неудовлетворительное поведение на работе недавней кончиной его друга и бывшего президента C-W Group Рэндалла Тимера (Randall Thiemer), однако отказался признать кражу конфиденциального носителя.

Отдельно отметим, что на момент возможной кражи Бельмонте уже знал о своем скором увольнении из C-W Group.

P2P-утечки, о которых не сообщают в новостях

Давно известно, что файлообменные или пиринговые (P2P) сети являются весьма опасным каналом утечки информации. Аналитический центр Perimetrix несколько раз сообщал о подобных инцидентах в различных организациях по всему миру. Как показало экспериментальное исследование Райна Вроблевски (компания RedTeam Protection), любой человек может найти в пиринговых сетях огромное количество весьма любопытной информации.

Примеры утечек в файлообменных сетях можно найти здесь

Агентство из штата Флоридо подставило местных безработных

Тем временем, агентство трудовых ресурсов штата Флорида допустило утечку сведений 250 000 собственных клиентов. По сообщениям американских СМИ, база безработных жителей Флориды случайно оказалась на тестовом сервере, который был доступен в глобальной сети. Персональные сведения хранились в нескольких текстовых файлах, а также файлах Microsoft Excel. Утечка была обнаружена абсолютно случайно – ее заметил специалист сторонней компании Liberty Coalition Аарон Титус (Aaron Titus), который тут же оповестил представителей агентства, правоохранительные органы и администрацию поисковых систем, проиндексировавших секретную информацию.

«Данная утечка – пример вопиющей халатности со стороны сотрудников агентства, - отметил Аарон Титус. – Я не понимаю, как можно было разместить настолько большую базу на сервере, который имел доступ в интернет? Это самая большая утечка, с которой я когда-либо напрямую сталкивался».

По данным аналитического центра Perimetrix, информация была доступна в интернете в течение как минимум календарного месяца. На данный момент агентство не располагает сведениями об использовании приватных данных в незаконных целях, однако такая возможность не может быть исключена. Всем пострадавшим в результате утечки жителям будут разосланы специальные оповещения.

Интересно, что вскоре после появления сообщений об утечке, агентство запустило специальный сайт помощи пострадавшим. Посетителям этого сайта, в частности, предлагалось ввести четыре последних цифры своего номера социального страхования «для целей верификации». При этом, передача данных сведений (которые в некоторых случаях используются для выдачи кредитов) велась по незащищенным и незашифрованным каналом.

В американской армии случились сразу две утечки подряд

Сразу две утечки подряд допустили различные подразделения американской армии. В первом случае военные потеряли конфиденциальный ноутбук на базе в немецком Вильзеке, а во втором – издание The Wall Street Journal сообщило об утечке данных уже на территории США.

Пожалуй, наибольший интерес представляет именно вторая утечка. Она в некотором смысле двойная – в редакцию The Wall Street Journal "утекло" письмо со сведениями о другой утечке информации. В письме, которое датировано августом нынешнего года, сенатор Джозеф Байден (будущий вице-президент США) пишет министру сухопутных войск Питу Герену (Pete Geren) об утечке персональных данных 24 тыс. военнослужащих через файлообменную сеть.

Представители армии не раскрывают подробностей инцидента, заявляя лишь, что принимаются все необходимые меры «для повышения уровня безопасности». По мнению экспертов аналитического центра Perimetrix, наиболее вероятен классический сценарий утечки из P2P-сетей – в результате ошибки военнослужащего во время «расшаривания» файлов. При этом, остается непонятным, разрешено ли использование файлообменных сетей в американских силовых структурах, и если нет (а этот вариант наиболее вероятен) – то почему они все-таки использовались?

По мнению бывшего CIO разведывательного управления министерства обороны (Defense Intelligence Agency) Боба Гурли (Bob Gourley) данная утечка вполне могла быть предотвращена. «Для решения этой проблемы необходимо инвестировать в технологии, которые позволяют понять, кто имел доступ к конфиденциальной информации, и соответствует ли этот доступ принятым политикам, - отметил Гурли. – Короче говоря, для защиты необходимы деньги, время и существенные усилия со стороны Армии. На данный момент я не вижу никакого желания реализовать эти усилия на практике».

Противоречивый доктор выбрасывал медицинские записи в мусорку

В конце отчета остановимся на весьма забавном инциденте, который произошел в крупнейшем американском штате Калифорния. Доктор медицины Ральф Каммингс, практиковавший в городке Лагуна Хиллс, выбросил в мусорку сразу несколько коробок с конфиденциальными бумагами.

Эта утечка особенно интересна тем, что, по словам Каммингса, подавляющее большинство документов содержали только его личные персональные данные, и лишь на одном листе хранилась информация об пациентах. Но даже если это утверждение является правдой (что довольно удивительно, поскольку в мусорке были найдены не просто документы, а коробки с документами), то действия Каммингса все равно являются нарушением акта HIPAA, регламентирующего действия по обращению с медицинской информации.

В частности, HIPAA предписывает использовать «адекватные способы уничтожения медицинской информации». Из этого требования очевидно следует, что уничтожение документов в шредере является таким способом, а их выброс в мусорный контейнер – нет.

Дальнейшее поведение д-ра Каммингса оказалось не менее странным и противоречивым. На вопрос журналистов об утечке он ответил, что ничего не помнит о ней и никогда не выбрасывает приватные документы в мусорку. Позже Каммингс все-таки вспомнил инцидент, однако отказался признать факт выброса документов с медицинскими историями пациентов.

Оставшиеся утечки недели:

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!