Обзор утечек: 22 - 28 декабря
Обзор утечек: 22 - 28 декабря
Alexander Antipov
За последнюю неделю года (22-28 декабря) аналитический центр компании Perimetrix зафиксировал 9 утечек информации.
За последнюю неделю года (22-28 декабря) аналитический центр компании Perimetrix зафиксировал 9 утечек информации. В этот период времени среднее количество инцидентов несколько выросло – компании стремятся сообщить об утечках именно сейчас, чтобы избежать масштабных репутационных потерь на волне рождественской и предновогодней активности. Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
Платежная система Royal Bank of Scotland теряет сведения 1,5 млн. платежных карт
Компания RBS Worldpay, обслуживающая платежную систему The Royal Bank of Scotland на территории США, объявила о масштабной утечке информации. В результате действий неизвестного хакера под угрозой компрометации оказались финансовые сведения 1,5 млн. человек, а также номера социального страхования 1,1 млн. клиентов.
По данным аналитического центра Perimetrix, хакерская атака на сервер RBS WorldPay была зафиксирована сравнительно недавно - 10 ноября - однако мошенники уже успели незаконно использовать около 100 скомпрометированных платежных карт. Отметим, что RBS WorldPay не предоставляет информации о подробностях вторжения и методах, использованных хакерами. Известно лишь, что в результате утечки пострадали владельцы подарочных карт, а также карт, применявшихся для перечисления заработных плат.
«Приватность крайне важна для нас, и мы извиняемся перед клиентами за все предоставленные неудобства, - отметил президент и генеральный директор (СЕО) RBS WorldPay Билл Бароне (Ben Barone). – Мы уже приняли все необходимые меры для минимизации рисков и готовы взять на себя ответственность за негативные финансовые последствия для наших клиентов».
Клиентам, чьи номера социального страхования были задействованы в данной утечке, будет предоставлен бесплатный кредитный мониторинг. Добавим, что непроданные подарочные карты, задействованные в утечке, уже были деактивированы.
Инсайдер из медицинского центра готовил поддельные страховые требования
Тем временем, серьезный инсайдерский инцидент был зафиксирован в элитном медицинском центре Cedars-Sinai, расположенном в одном из районов Лос-Анджелеса. По информации экспертов Perimetrix, бывший сотрудник этого центра использовал служебный доступ к персональным данным для подготовки поддельных страховых требований.
44-летний Джеймс Аллен Уилсон (James Allen Wilson) работал в бухгалтерии медицинского центра до марта 2007 года. Уилсон имел легальные права доступа к персональным сведениям клиентов, которые впоследствии были использованы в незаконных целях. По данным полиции, Уилсон получил не менее 69 тыс. долл., изготавливая поддельные страховые требования за сервисы, которые на самом деле никому не предоставлялись.
В результате, 6 ноября 2008 года Уилсон был арестован сразу по нескольким обвинениям: в краже персональных данных, страховом мошенничестве и мошенничестве в особо крупных размерах. Скорее всего, в ходе расследования величина ущерба от действий Уилсона будет увеличена. «Отмечу, что мы не имеем дело с неавторизованным доступом информации – Уилсону требовался доступ к сведениям для исполнения служебных обязанностей», - заявил финансовый директор медицинского центра Эдвард Прунчунас (Edward Prunchunas). При этом, по словам Прунчунаса, действия Уилсона привели к ущербу только для страховых компаний, а не клиентов медицинского центра.
На момент ареста в доме Уилсона были найдены персональные сведения 1 005 пациентов. Интересно, что для отмывания денег мошенник даже зарегистрировал поддельную лабораторию, которая и оказывала несуществующие услуги.
Руководство медицинского центра также отметило, что дело Уилсона – это не первый инсайдерский случай в их организации. Как минимум три сотрудника центра были уволены в нынешнем году за просмотр медицинских сведений особо важных клиентов, среди которых присутствовала первая леди Калифорнии Мария Шривер (Maria Shriver) и известная певица Бритни Спирс (Britney Spears). Впрочем, в отличие от Уилсона, предыдущие инсайдеры не преследовали каких-то корыстных целей, и последствия от их действий были значительно менее тяжелыми.
Американский застройщик теряет коробку с резервными лентами
Третий по величине американский застройщик Pulte Homes объявил о масштабной утечке информации. По данным аналитического центра Perimetrix, кража коробки с резервными лентами угрожает как минимум 16 тыс. человек, среди которых присутствуют как сотрудники, так и клиенты Pulte Homes. Похищенные носители содержали их имена, адреса, номера водительских прав и банковских счетов.
«На данный момент мы точно не знаем, осознавал ли похититель коробки ее ценность и сможет ли он прочесть информацию, хранившуюся на наших лентах», - говорится в официальном сообщении Pulte Homes. Отметим, что кража лент произошла еще в начале ноября, и месячная задержка с оповещением была связана с необходимостью идентификации всех пострадавших.
«Мы уже направили оповещения всем людям, которые могут пострадать от данной утечки, - отметила пресс-секретарь Pulte Homes Жаки Петролакис (Jacque Petroulakis). – Мы гордимся, что можем обеспечить безопасность наших клиентов». По словам Петролакис, каждому пострадавшему будет предложен бесплатный кредитный мониторинг сроком на один год.
Жертвы урагана Катрина теперь страдают и от утечки информации
Федеральное агентство по чрезвычайным ситуациям США (FEMA) допустило вторую утечку за последние два месяца. Но если последствия первой утечки вряд ли окажутся слишком серьезными, то второй инцидент способен привести к самым непредсказуемым проблемам.
По данным аналитического центра Perimetrix, на этот раз FEMA потеряла персональные сведения (имена и номера социального страхования) 16 857 человек, обращавшихся за помощью после урагана Катрина. В конце нынешнего года эта информация случайно обнаружилась на нескольких частных сайтах, однако до сих пор точно неясно, как именно она там оказалась и сколько времени там пролежала.
В официальном сообщении Федерального агентства указано, что ответственность за утечку несет техасское отделение FEMA, которое не сумело обеспечить безопасность информации. Руководство FEMA уже обратилось к владельцам сайтов, и сведения были удалены.
Отметим, что на момент урагана, практически все пострадавшие проживали в штате Луизиана. Где они находятся сейчас – неизвестно – и это обстоятельство существенно осложняет процесс оповещения. В ближайших планах FEMA телефонный обзвон всех пострадавших, рассылка формальных бумажных оповещений и предоставление бесплатной услуги кредитного мониторинга сроком на 18 месяцев.
Университет Северной Каролины допускает файлообменную утечку
Еще одна утечка произошла в школе искусств Университете Северной Каролины (University of North Carolina School of the Arts). По данным аналитического центра Perimetrix, приватная информация 2,7 тыс. студентов школы долгое время пролежала в общем доступе в файлообменной сети.
«У нас нет никаких сведений, о том, что скомпрометированная информация была похищена или скопирована злоумышленником, - отметила директор по информационным технологиям UNCSA Лиза Смит (Lisa Smith). – Тем не менее, мы предпринимаем все необходимые шаги для оповещения пострадавших студентов и предоставления им бесплатной услуги кредитного мониторинга сроком на 1 год». По данным Университета, в результате утечки могут пострадать студенты, учившиеся в школе искусств с 2003 по 2006 год.
На данный момент не сообщается, каким образом информация с почтового сервера попала в файлообменную сеть. Судя по комментариям представителей UNCSA, файлообменный клиент был установлен непосредственно на почтовом сервере и был неправильно сконфигурирован. Таким образом, непосредственным виновником инцидента, скорее всего, является сотрудник ИТ-департамента школы, отвечающий за администрирование почтового сервера.
Добавим, что косвенной причиной утечки стала распространенная практика использования номеров социального страхования как идентификаторов студентов. Эта практика использовалась UNCSA до 2006 года и была заменена на другой метод идентификации с использованием ничего не значащих кодов из 8 символов.
Оставшиеся утечки недели:
|
Компания
|
Сфера деятельности
|
Причина утечки
|
Количество пострадавших (человек)
|
Примерный ущерб ($)
|
|---|---|---|---|---|
| RBS WorldPay | финансы | хакерская атака | 1 500 000 | 80 млн. |
| Cedars-Sinai | медицина | инсайд | 1 005 | 1,3 млн. |
| Pulte Homes | строительство | кража носителя (ленты) | 16 000 | 3,3 млн. |
| University of North Carolina School of the Arts | образование | P2P-утечка | 2 700 | 500 тыс. |
| Lorain County Community College | образование | хакерская атака | 22 000 | 1,5 млн. |
| North Cascades National Bank | финансы | кража ноутбука | 500 | 70 тыс. |
| Federal Emergency Management Agency | госструктура | веб-утечка | 16 875 | 1,2 млн. |
| Oak Tree Medical Centre | медицина | кража носителя (ленты) | 8 000 | 500 тыс. |
| Austin Peay State University | образование | кража компьютеров | 750 | 110 тыс. |
| ИТОГО: | 1 567 830 | 88 млн. |
Платежная система Royal Bank of Scotland теряет сведения 1,5 млн. платежных карт
Компания RBS Worldpay, обслуживающая платежную систему The Royal Bank of Scotland на территории США, объявила о масштабной утечке информации. В результате действий неизвестного хакера под угрозой компрометации оказались финансовые сведения 1,5 млн. человек, а также номера социального страхования 1,1 млн. клиентов.
По данным аналитического центра Perimetrix, хакерская атака на сервер RBS WorldPay была зафиксирована сравнительно недавно - 10 ноября - однако мошенники уже успели незаконно использовать около 100 скомпрометированных платежных карт. Отметим, что RBS WorldPay не предоставляет информации о подробностях вторжения и методах, использованных хакерами. Известно лишь, что в результате утечки пострадали владельцы подарочных карт, а также карт, применявшихся для перечисления заработных плат.
«Приватность крайне важна для нас, и мы извиняемся перед клиентами за все предоставленные неудобства, - отметил президент и генеральный директор (СЕО) RBS WorldPay Билл Бароне (Ben Barone). – Мы уже приняли все необходимые меры для минимизации рисков и готовы взять на себя ответственность за негативные финансовые последствия для наших клиентов».
Клиентам, чьи номера социального страхования были задействованы в данной утечке, будет предоставлен бесплатный кредитный мониторинг. Добавим, что непроданные подарочные карты, задействованные в утечке, уже были деактивированы.
Инсайдер из медицинского центра готовил поддельные страховые требования
Тем временем, серьезный инсайдерский инцидент был зафиксирован в элитном медицинском центре Cedars-Sinai, расположенном в одном из районов Лос-Анджелеса. По информации экспертов Perimetrix, бывший сотрудник этого центра использовал служебный доступ к персональным данным для подготовки поддельных страховых требований.
44-летний Джеймс Аллен Уилсон (James Allen Wilson) работал в бухгалтерии медицинского центра до марта 2007 года. Уилсон имел легальные права доступа к персональным сведениям клиентов, которые впоследствии были использованы в незаконных целях. По данным полиции, Уилсон получил не менее 69 тыс. долл., изготавливая поддельные страховые требования за сервисы, которые на самом деле никому не предоставлялись.
В результате, 6 ноября 2008 года Уилсон был арестован сразу по нескольким обвинениям: в краже персональных данных, страховом мошенничестве и мошенничестве в особо крупных размерах. Скорее всего, в ходе расследования величина ущерба от действий Уилсона будет увеличена. «Отмечу, что мы не имеем дело с неавторизованным доступом информации – Уилсону требовался доступ к сведениям для исполнения служебных обязанностей», - заявил финансовый директор медицинского центра Эдвард Прунчунас (Edward Prunchunas). При этом, по словам Прунчунаса, действия Уилсона привели к ущербу только для страховых компаний, а не клиентов медицинского центра.
На момент ареста в доме Уилсона были найдены персональные сведения 1 005 пациентов. Интересно, что для отмывания денег мошенник даже зарегистрировал поддельную лабораторию, которая и оказывала несуществующие услуги.
Руководство медицинского центра также отметило, что дело Уилсона – это не первый инсайдерский случай в их организации. Как минимум три сотрудника центра были уволены в нынешнем году за просмотр медицинских сведений особо важных клиентов, среди которых присутствовала первая леди Калифорнии Мария Шривер (Maria Shriver) и известная певица Бритни Спирс (Britney Spears). Впрочем, в отличие от Уилсона, предыдущие инсайдеры не преследовали каких-то корыстных целей, и последствия от их действий были значительно менее тяжелыми.
Американский застройщик теряет коробку с резервными лентами
Третий по величине американский застройщик Pulte Homes объявил о масштабной утечке информации. По данным аналитического центра Perimetrix, кража коробки с резервными лентами угрожает как минимум 16 тыс. человек, среди которых присутствуют как сотрудники, так и клиенты Pulte Homes. Похищенные носители содержали их имена, адреса, номера водительских прав и банковских счетов.
«На данный момент мы точно не знаем, осознавал ли похититель коробки ее ценность и сможет ли он прочесть информацию, хранившуюся на наших лентах», - говорится в официальном сообщении Pulte Homes. Отметим, что кража лент произошла еще в начале ноября, и месячная задержка с оповещением была связана с необходимостью идентификации всех пострадавших.
«Мы уже направили оповещения всем людям, которые могут пострадать от данной утечки, - отметила пресс-секретарь Pulte Homes Жаки Петролакис (Jacque Petroulakis). – Мы гордимся, что можем обеспечить безопасность наших клиентов». По словам Петролакис, каждому пострадавшему будет предложен бесплатный кредитный мониторинг сроком на один год.
Жертвы урагана Катрина теперь страдают и от утечки информации
Федеральное агентство по чрезвычайным ситуациям США (FEMA) допустило вторую утечку за последние два месяца. Но если последствия первой утечки вряд ли окажутся слишком серьезными, то второй инцидент способен привести к самым непредсказуемым проблемам.
По данным аналитического центра Perimetrix, на этот раз FEMA потеряла персональные сведения (имена и номера социального страхования) 16 857 человек, обращавшихся за помощью после урагана Катрина. В конце нынешнего года эта информация случайно обнаружилась на нескольких частных сайтах, однако до сих пор точно неясно, как именно она там оказалась и сколько времени там пролежала.
В официальном сообщении Федерального агентства указано, что ответственность за утечку несет техасское отделение FEMA, которое не сумело обеспечить безопасность информации. Руководство FEMA уже обратилось к владельцам сайтов, и сведения были удалены.
Отметим, что на момент урагана, практически все пострадавшие проживали в штате Луизиана. Где они находятся сейчас – неизвестно – и это обстоятельство существенно осложняет процесс оповещения. В ближайших планах FEMA телефонный обзвон всех пострадавших, рассылка формальных бумажных оповещений и предоставление бесплатной услуги кредитного мониторинга сроком на 18 месяцев.
Университет Северной Каролины допускает файлообменную утечку
Еще одна утечка произошла в школе искусств Университете Северной Каролины (University of North Carolina School of the Arts). По данным аналитического центра Perimetrix, приватная информация 2,7 тыс. студентов школы долгое время пролежала в общем доступе в файлообменной сети.
«У нас нет никаких сведений, о том, что скомпрометированная информация была похищена или скопирована злоумышленником, - отметила директор по информационным технологиям UNCSA Лиза Смит (Lisa Smith). – Тем не менее, мы предпринимаем все необходимые шаги для оповещения пострадавших студентов и предоставления им бесплатной услуги кредитного мониторинга сроком на 1 год». По данным Университета, в результате утечки могут пострадать студенты, учившиеся в школе искусств с 2003 по 2006 год.
На данный момент не сообщается, каким образом информация с почтового сервера попала в файлообменную сеть. Судя по комментариям представителей UNCSA, файлообменный клиент был установлен непосредственно на почтовом сервере и был неправильно сконфигурирован. Таким образом, непосредственным виновником инцидента, скорее всего, является сотрудник ИТ-департамента школы, отвечающий за администрирование почтового сервера.
Добавим, что косвенной причиной утечки стала распространенная практика использования номеров социального страхования как идентификаторов студентов. Эта практика использовалась UNCSA до 2006 года и была заменена на другой метод идентификации с использованием ничего не значащих кодов из 8 символов.
Оставшиеся утечки недели:
Домашний Wi-Fi – ваша крепость или картонный домик?