Обзор утечек: 27 апреля - 10 мая

Обзор утечек: 27 апреля - 10 мая

Аналитический центр компании Perimetrix представляет обзор утечек за период с  27 апреля по 10 мая. За это время в мире было зафиксировано не менее 7 масштабных инцидентов, в рамках которых могут пострадать более 9 млн. человек.

Аналитический центр компании Perimetrix представляет обзор утечек за период с 27 апреля по 10 мая. За это время в мире было зафиксировано не менее 7 масштабных инцидентов, в рамках которых могут пострадать более 9 млн. человек.

Главная утечка

Главная утечка отчетного периода на этот раз произошла в штате Вирджиния. Неизвестный хакер взломал несколько серверов министерства здравоохранения штата и скопировал приватную базу данных выписанных медицинских рецептов. Как указал сам злоумышленник, в его собственность попали более 8 млн. записей пациентов (каждая из них содержит номер социального страхования) и более 35 млн. назначений.

В письме хакера, опубликованном на портале Wikileaks.org, была указана сумма в $10 млн. – именно за такое вознаграждение мошенник согласился вернуть украденные сведения. Однако министерство здравоохранения штата сумело восстановить их самостоятельно и выплата компенсации хакеру, тем самым, потеряла всякий смысл. Но так или иначе, утечка все равно произошла и большинство жителей штата по-прежнему находятся под серьезной угрозой.

Тайнам «Газпрома» «утечь» не дали

Если в большинстве западных стран об утечках оповещают постфактум, то в России такие инциденты предотвращаются заранее. На прошлой неделе в сети появилось довольно редкое сообщение о «российской» утечке, которая могла бы произойти в компании «Газпром». Однако этому весьма печальному событию помешали сотрудники управления ФСБ.

7 мая тверской райсуд Москвы вынес приговор бывшему сотруднику департамента по нормативно-правовым вопросам компании "ТНК-ВР Менеджмент" Илье Заславскому и его брату Александру. Братья были признаны в попытке незаконного сбора сведений, составляющих коммерческую тайну ОАО «Газпром» и осуждены условно. Как сообщают российские СМИ, Заславские пытались приобрести у сотрудника партнера «Газпрома» некие конфиденциальные сведения, сначала за 500, а потом – уже за 5 тыс. долл. В результате, потенциальный инсайдер обратился в правоохранительные органы и братьев вскоре задержали.

По мнению аналитического центра Perimetrix, данный инцидент показывает отношение российских компаний к утечкам, и отсутствие правового поля для получения информации об истинном положении дел. Пока в нашей стране не будет принят закон об обязательном оповещении пострадавших, компании будут замалчивать свои ошибки и предъявлять публике лишь вылизанные success stories о задержаниях инсайдеров и лиц, которые хотели этих инсайдеров подкупить.

Еврокомиссия рассматривает строгий вариант закона об утечках

Тем временем, в Европе идет всеобщее обсуждение закона «об обязательном оповещении» пострадавших в результате утечек информации. В начале мая комиссар еврокомиссии по вопросам телекоммуникаций Вивиан Рединг (Viviane Reding) заявила , что еврокомиссия планирует принять «всеобъемлющий» норматив по данным вопросам до конца 2012 года. Предполагается, что в документе будут прописаны требования по оповещению жертв утечек для подавляющего большинства коммерческих организаций, агентств и госструктур.

Пока же комиссар планирует начать с малого и закрепить требование «обязательного оповещении» в новом законе, регулирующем деятельность европейских операторов связи.

Красивые цифры

317 писем за один день получила жительница английского города Эрит Сандра Грант (Sandra Grant) от банка Barclaycard. 55-летней женщине по ошибке была доставлена корреспонденция, которая была предназначена другим клиентам. Вполне естественно, что в каждом из доставленных писем была приватная финансовая информацию соответствующего клиента.

600 тысяч долл. с кредитных карт похитил сотрудник американской газовой заправки Гагик Урутян. По данным полиции, мошенник использовал кредитные данные клиентов для снятия денег в банкоматах сразу нескольких регионов – от штата Вирджинии и до штата Нью-Джерси.

Знаковые слова

«Вначале я некоторое паниковал, а затем – почувствовал отвращение к тем людям, которые позволили утечке произойти. После этого я пошел в банк и застраховал себя от риска мошенничества с моими персональными и медицинскими данными. Послушайте, эта утечка уже потребовала от меня финансовых затрат», - пациент больницы Бредфорда рассказывает о последствиях , к которым может привести потеря всего лишь одной флешки.

«ATTENTION VIRGINIA! I have your sh**! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted the original. Unfortunately for Virginia, their backups seem to have gone missing, too. Uhoh :(», - сообщение хакера-шантажиста, взломавшего медицинскую систему штата Вирджиния, пожалуй, не нуждается в переводе

Утечки, в которых пострадали как минимум 5 тысяч человек:

Организация: финансово-жилищное агентство штата Оклахома (Oklahoma Housing Finance Agency)
Пострадавшие: жители штата Оклахома, принимавшие участие в одной из программ агентства, в общей сложности 225К человек
Данные: ПД, SSN, tax identification numbers
Причина: корпоративный ноутбук сотрудника агентства был украден из его дома вместе с ювелирными украшениями, камерой, оружием и другим ноутбуком. Компьютер использовал двухуровневую парольную защиту – первый пароль был предназначен для доступа к ОС, а второй – для доступа к секретным файлам. По-видимому, информация была незашифрована
Референс: Laptop stolen with ID's of 225,000 Oklahomans

Организация: больница г. Бредфорда, Англия
Пострадавшие: пациенты госпиталя, в общей сложности 5,6К человек
Данные: медицинская информация
Причина: сотрудница госпиталя потеряла флешку с приватной информацией пациентов госпиталя в библиотеке. После того, как об утечке стало известно, она оставила свой пост
Референс: 5,600 patients' records 'lost' on memory stick

Организация: министерство здравоохранения штата Вирджиния (Virginia Department of Health Professions)
Пострадавшие: пациенты, приобретавшие медикаменты по рецептам, до 8М человек
Данные: ПД, SSN, а также медицинские назначения
Причина: хакерское вторжение в дата-центр министерства. Спустя несколько дней после вторжения на сайте Wikileaks было опубликовано письмо хакера, в котором тот требовал $10М за похищенную информацию
Референс: Virginia Department of Health Professions Refutes Hacker's Claim

Организация: компания LexisNexis, крупный агрегатор коммерческой информации и бизнес-данных
Пострадавшие:пользователи LexisNexis, 32К человек
Данные: номера кредитные карт
Причина: некоторые клиенты сервиса использовали его для изготовления поддельных кредитных карт. Деятельность мошенников была зафиксирована и остановлена еще в 2007 году, однако публичная информация об утечке появилась в сети только сейчас
Референс: LexisNexis says its data was used by fraudsters

Организация: Kapiolani Community College, американский колледж в Гонолулу, Гавайи
Пострадавшие: учащиеся колледжа, более 15К человек
Данные: ПД, SSN
Причина: компьютер с конфиденциальной информацией был заражен вредоносной программой. Эта программа обладала способностью копировать приватную информацию на сервера своих создателей
Референс: Security Breach Affects 15,487 KCC Students

Организация: Университет Калифорнии (Беркли)
Пострадавшие: студенты, в общей сложности 160К человек
Данные: ПД, SSN (для 97К записей), а также «не относящиеся к диагнозам и лечению» медицинские данные
Причина: вторжение «заокеанских» хакеров
Референс: UC hacking leaves thousands at risk of ID theft

Организация: избирательная комиссия округа Фултон, штат Джорджия
Пострадавшие: жители штата, до 100К человек
Данные: ПД, SSN и прочие данные – различная информация, которая содержалась в документах комиссии и избирательных бланках
Причина: избирательная комиссия не сочла нужным правильным образом утилизировать документы и просто выбросила их в мусорку
Референс: Georgia Voter Records Discarded

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!