Обзор утечек: 30 марта - 12 апреля
Обзор утечек: 30 марта - 12 апреля
Alexander Antipov
Аналитический центр компании Perimetrix представляет обзор утечек за период с 30 марта по 12 апреля. За это время в мире произошло не менее 7 масштабных утечек информации, в которых пострадали не менее 1,6 млн. человек.
Аналитический центр компании Perimetrix представляет обзор утечек за период с 30 марта по 12 апреля. За это время в мире произошло не менее 7 масштабных утечек информации, в которых пострадали не менее 1,6 млн. человек.
Главная утечка
Главная утечка первой половины апреля произошла в Японии. Финансовая группа Mitsubishi UFJ объявила об аресте инсайдера , который скопировал на компакт-диск персональные сведения полутора миллионов клиентов. После того, как об утечке стало известно, нерадивый сотрудник вернул носитель, однако это вряд ли спасет его от наказания. Отметим, что инсайдер успел продать своим подельникам около 50 тысяч конфиденциальных записей, состоявших из имени клиента, его адреса, даты рождения, сведений о работе и заработной плате. Общая стоимость такой базы персональных данных составила 328 тыс. йен, что соответствует сумме примерно в 7 центов за одну похищенную запись. Если бы преступник успел продать все похищенные записи даже по такой смешной цене – он получил бы прибыль примерно в 100 тыс. долл. Интересно, что данный инсайдер мог запросто уйти от ответственности из-за особенностей японского законодательства. Дело в том, что кража клиентской информации в Японии является преступлением, только тогда, когда сотрудник не имел к ней легального доступа. В данном случае, инсайдер воспользовался идентификационными сведениями своего коллеги, чем и обеспечил себе как минимум судимость. А как максимум – год в японской тюрьме и штраф размером в 500 тыс. йен.
Британская безалаберность
В прошлом году портал SecurityLab сообщал об инциденте в банке HSBC , который случился из-за того, что банковское отделение забыли закрыть на ночь. На прошлой неделе ситуация повторилась, и снова – на территории Великобритании. На этот раз отличился не менее известный банк Barclays , а вернее – один из его субподрядчиков, сотрудники которого не удосужились закрыть дверь банка после завершения рабочего дня. Самое смешное, что открытое помещение банка вроде бы никто и не заметил.
Администраторы отсудили 90 тыс. долларов у бывших работодателей
Довольно интересный случай случился в американском штате Огайо. Местный Университет согласился выплатить двум системным администраторам компенсацию за незаконное увольнение трехлетней давности. Самое смешное, что судя по имеющимся сообщениям, администраторов уволили по делу. Аудит, который прошла информационная система Университета в 2006 году, наглядно показал огромное количество "дыр" и брешей в безопасности. Номера социального страхования некоторых студентов были опубликованы в интернете и пролежали там более года. Однако спустя некоторое время, административная панель Университета почему-то решила, что из системных администраторов сделали козлов отпущения, а в утечке на самом деле виноват проректор по информационным технологиям Уильям Самс (William F. Sams). По-видимому, именно это решение побудило суд назначить компенсацию несправедливо уволенным сотрудникам. Впрочем, из выписанных им $90 тыс., администраторы получат лишь $22 тыс. – все остальное уйдет на оплату услуг адвокатов.
Красивые цифры
150 фунтов стерлингов стоил коммуникатор BlackBerry, который приобрел 44-летний студент факультета журналистики у бомжа из английского города Шеффилд (Sheffield). Изучив аппарат, студент был очень удивлен, когда обнаружил там персональные данные (в том числе, и номера социального страхования) руководства лейбористской партии Британии.
73 годаможет провести в тюрьме житель американского города Тастин (Tustin) Энтони Франклин (Gene Anthony Franklin Jr.). 34-летний человек провернул не менее 12 афер , представляясь агентом по недвижимости и используя персональные данные своих клиентов. Интересно, что он умудрился обмануть даже своего сокамерника, который подозревался в умышленном убийстве жены. Общий ущерб от действий Франклина оценивается в $2,8 млн.
45 американских штатов уже приняли законодательные акты об обязательном оповещении пострадавших в результате утечки граждан. Последним штатом, в котором была одобрена эта инициатива стал штат Миссури , а на подходе принятие закона в штате Алабама . Требование оповещать об утечках пока остается неактуальным лишь в штатах Кентукки, Миссисипи, Нью-Мексико и Южная Дакота
Знаковые слова
«Это очень расстраивает. Я не понимаю… почему они посылают информацию по почте, если существует куча способов отправить ее по электронным каналам», - руководитель американской организации госслужащих (American Federation of State, County and Municipal Employees) Патрик Моран (Patrick Moran) об утечке в штате Мериленд
«Это очень прискорбная ситуация. Город делает все возможное, чтобы разослать оповещения пострадавшим и сделать так, чтобы его субподрядчики заботились о персональных данных граждан. Вообще-то, я не знаю, как именно произошла утечка, и мы будем продолжать расследовании», - городской управляющий Джефф Маззи (Jeff Muzzy) признался, что он не в курсе подробностей утечки в подотчетном ему городе Кульпепер
Преступление и наказание
Организация: Wigan Council’s Children and Young People’s Services
Пострадавшие:Дети и подростки, 33К
Данные:ПД (имена, даты рождения, почтовые индексы, расовая принадлежность, а также информация о специальных потребностях)
Причина:кража нескольких компьютеров из офиса организации. Один из украденных компьютеров содержал приватную базу данных
Референс: Stolen laptop contains pupils' data
Организация:штат Мериленд
Пострадавшие:сотрудники аппарата штата, 8К человек
Данные: ПД (имена) и SSN
Причина: сторонняя организация прислала службам штата порванное письмо, в котором должна была быть информация служащих
Референс: State employee information lost in the mail
Организация:город Кульпепер (Culpeper), штат Вирджиния
Пострадавшие: налогоплательщики, 8К
Данные:ПД (имена, адреса), SSN
Причина:данные были выложены на password-protected сайт, который был скомпрометирован
Референс: Error exposes town residents' tax info online
Организация:Университет штата Вашингтон
Пострадавшие:сотрудники, 6К
Данные:ПД (имена) и SSN
Причина: взлом двух компьютеров, отвечавших за управление системой парковки
Референс: 6,000 UW workers' personal information at risk
Организация:Финансовая группа Mitsubishi UFJ, Япония
Пострадавшие:клиенты, 1500К
Данные:ПД (имена, адреса, даты рождения, сведения о работе и заработной плате)
Причина:сотрудник скопировал базу данных Mitsubishi UFJ на оптический диск и вскоре продал одну из ее частей
Референс: Coworker's ID used to take client info
Организация:Nashville Metro Public Schools
Пострадавшие: учащиеся школ, 18К
Данные:ПД (имена, адреса, даты рождения) и SSN
Причина:субподрядчик городских школ опубликовал данные в интернете. Информация была проиндексирована Google и пролежала в сети в течение трех месяцев
Референс: Personal information of 18,000 Metro students found on Google
Организация:Peninsula Orthopaedic Associates, медицинская клиника в штате Мериленд
Пострадавшие: пациенты клиники, 100К человек
Данные:ПД, SSN
Причина:ленты с информацией были потеряны в ходе транспортировки. Данные хранились в «проприетарной» базе и особом формате
Референс: Patient records stolen
Главная утечка
Главная утечка первой половины апреля произошла в Японии. Финансовая группа Mitsubishi UFJ объявила об аресте инсайдера , который скопировал на компакт-диск персональные сведения полутора миллионов клиентов. После того, как об утечке стало известно, нерадивый сотрудник вернул носитель, однако это вряд ли спасет его от наказания. Отметим, что инсайдер успел продать своим подельникам около 50 тысяч конфиденциальных записей, состоявших из имени клиента, его адреса, даты рождения, сведений о работе и заработной плате. Общая стоимость такой базы персональных данных составила 328 тыс. йен, что соответствует сумме примерно в 7 центов за одну похищенную запись. Если бы преступник успел продать все похищенные записи даже по такой смешной цене – он получил бы прибыль примерно в 100 тыс. долл. Интересно, что данный инсайдер мог запросто уйти от ответственности из-за особенностей японского законодательства. Дело в том, что кража клиентской информации в Японии является преступлением, только тогда, когда сотрудник не имел к ней легального доступа. В данном случае, инсайдер воспользовался идентификационными сведениями своего коллеги, чем и обеспечил себе как минимум судимость. А как максимум – год в японской тюрьме и штраф размером в 500 тыс. йен.
Британская безалаберность
В прошлом году портал SecurityLab сообщал об инциденте в банке HSBC , который случился из-за того, что банковское отделение забыли закрыть на ночь. На прошлой неделе ситуация повторилась, и снова – на территории Великобритании. На этот раз отличился не менее известный банк Barclays , а вернее – один из его субподрядчиков, сотрудники которого не удосужились закрыть дверь банка после завершения рабочего дня. Самое смешное, что открытое помещение банка вроде бы никто и не заметил.
Администраторы отсудили 90 тыс. долларов у бывших работодателей
Довольно интересный случай случился в американском штате Огайо. Местный Университет согласился выплатить двум системным администраторам компенсацию за незаконное увольнение трехлетней давности. Самое смешное, что судя по имеющимся сообщениям, администраторов уволили по делу. Аудит, который прошла информационная система Университета в 2006 году, наглядно показал огромное количество "дыр" и брешей в безопасности. Номера социального страхования некоторых студентов были опубликованы в интернете и пролежали там более года. Однако спустя некоторое время, административная панель Университета почему-то решила, что из системных администраторов сделали козлов отпущения, а в утечке на самом деле виноват проректор по информационным технологиям Уильям Самс (William F. Sams). По-видимому, именно это решение побудило суд назначить компенсацию несправедливо уволенным сотрудникам. Впрочем, из выписанных им $90 тыс., администраторы получат лишь $22 тыс. – все остальное уйдет на оплату услуг адвокатов.
Красивые цифры
150 фунтов стерлингов стоил коммуникатор BlackBerry, который приобрел 44-летний студент факультета журналистики у бомжа из английского города Шеффилд (Sheffield). Изучив аппарат, студент был очень удивлен, когда обнаружил там персональные данные (в том числе, и номера социального страхования) руководства лейбористской партии Британии.
73 годаможет провести в тюрьме житель американского города Тастин (Tustin) Энтони Франклин (Gene Anthony Franklin Jr.). 34-летний человек провернул не менее 12 афер , представляясь агентом по недвижимости и используя персональные данные своих клиентов. Интересно, что он умудрился обмануть даже своего сокамерника, который подозревался в умышленном убийстве жены. Общий ущерб от действий Франклина оценивается в $2,8 млн.
45 американских штатов уже приняли законодательные акты об обязательном оповещении пострадавших в результате утечки граждан. Последним штатом, в котором была одобрена эта инициатива стал штат Миссури , а на подходе принятие закона в штате Алабама . Требование оповещать об утечках пока остается неактуальным лишь в штатах Кентукки, Миссисипи, Нью-Мексико и Южная Дакота
Знаковые слова
«Это очень расстраивает. Я не понимаю… почему они посылают информацию по почте, если существует куча способов отправить ее по электронным каналам», - руководитель американской организации госслужащих (American Federation of State, County and Municipal Employees) Патрик Моран (Patrick Moran) об утечке в штате Мериленд
«Это очень прискорбная ситуация. Город делает все возможное, чтобы разослать оповещения пострадавшим и сделать так, чтобы его субподрядчики заботились о персональных данных граждан. Вообще-то, я не знаю, как именно произошла утечка, и мы будем продолжать расследовании», - городской управляющий Джефф Маззи (Jeff Muzzy) признался, что он не в курсе подробностей утечки в подотчетном ему городе Кульпепер
Преступление и наказание
- Преступная группа, состоящая из пяти выходцев из Китая была арестована в одном из районов Лондона. В период с 28 сентября по 8 октября прошлого года, мошенники использовали поддельные банковские карты для снятия денег и покупки товаров на общую сумму в 3,5 млн. фунтов стерлингов.
- 45-летний хиропрактик Дуглас Дворак (Douglas Dvorak) обвиняется в 39 случаях мошенничества с использованием персональных данных детей. Врач-аферист посылал фальшивые отчеты о лечении детей в страховую организацию и получал за них вполне реальную оплату.
- 41-летний почтальон из Хьюстона Родни Эрвин (Rodney Ervin) проведет не менее 25 месяцев в тюрьме за кражу писем с кредитными картами жителей.
- 36-летний владелец ресторана Эндрю Папарелла (Andrew Paparella) подозревается в краже номеров кредитных карт собственных клиентов. С помощью этих номеров Папарелла заказывал товары в интернете, а затем продавал их на аукционе eBay.
- 24-летний компьютерный специалист из Гонконга Дже Хо Чун (Sze Ho-chun) предстал перед судом . В июле 2006 года Чун, работавший специалистом по ремонту ноутбуков, скачал около 1300 эротических фотографий местной кинозвезды Эдисона Чена с его личного компьютера. Кроме самого Чена, на фотографиях фигурировали еще несколько китайских знаменитостей – такие как актриса Сесилия Чеунг (Cecilia Cheung) и певица Джилиан Чанг (Gillian Chung).
Организация: Wigan Council’s Children and Young People’s Services
Пострадавшие:Дети и подростки, 33К
Данные:ПД (имена, даты рождения, почтовые индексы, расовая принадлежность, а также информация о специальных потребностях)
Причина:кража нескольких компьютеров из офиса организации. Один из украденных компьютеров содержал приватную базу данных
Референс: Stolen laptop contains pupils' data
Организация:штат Мериленд
Пострадавшие:сотрудники аппарата штата, 8К человек
Данные: ПД (имена) и SSN
Причина: сторонняя организация прислала службам штата порванное письмо, в котором должна была быть информация служащих
Референс: State employee information lost in the mail
Организация:город Кульпепер (Culpeper), штат Вирджиния
Пострадавшие: налогоплательщики, 8К
Данные:ПД (имена, адреса), SSN
Причина:данные были выложены на password-protected сайт, который был скомпрометирован
Референс: Error exposes town residents' tax info online
Организация:Университет штата Вашингтон
Пострадавшие:сотрудники, 6К
Данные:ПД (имена) и SSN
Причина: взлом двух компьютеров, отвечавших за управление системой парковки
Референс: 6,000 UW workers' personal information at risk
Организация:Финансовая группа Mitsubishi UFJ, Япония
Пострадавшие:клиенты, 1500К
Данные:ПД (имена, адреса, даты рождения, сведения о работе и заработной плате)
Причина:сотрудник скопировал базу данных Mitsubishi UFJ на оптический диск и вскоре продал одну из ее частей
Референс: Coworker's ID used to take client info
Организация:Nashville Metro Public Schools
Пострадавшие: учащиеся школ, 18К
Данные:ПД (имена, адреса, даты рождения) и SSN
Причина:субподрядчик городских школ опубликовал данные в интернете. Информация была проиндексирована Google и пролежала в сети в течение трех месяцев
Референс: Personal information of 18,000 Metro students found on Google
Организация:Peninsula Orthopaedic Associates, медицинская клиника в штате Мериленд
Пострадавшие: пациенты клиники, 100К человек
Данные:ПД, SSN
Причина:ленты с информацией были потеряны в ходе транспортировки. Данные хранились в «проприетарной» базе и особом формате
Референс: Patient records stolen
Ваша приватность умирает красиво, но мы можем спасти её.