7 мая 2008
Обзор утечек: 28 апреля - 4 мая
Ровно половина утечек прошедшей недели пришлась на образовательные организации. По мнению экспертов компании Perimetrix, такая ситуация неудивительна, поскольку школы и институты обрабатывают большие объемы персональных сведений. А степень проникновения информационных технологий (и, тем более, систем информационной безопасности) традиционно находится на не слишком высоком уровне.
Кто такой телемаркетолог?
Несмотря на сложное название, телемаркетологи выполняют довольно банальные обязанности - обзванивают потенциальных клиентах и предлагают им купить товар или услугу. Телемаркетолог, работавший в крупном американском сотовом операторе Verizon Wireless, добавил к этим обязанностям еще одну - кражу персональной информации. Полиция округа Самерсет (Somerset County), штат Нью-Джерси, предполагает, что инсайдер занимался кражей сведений клиентов Verizon с 2003 по 2005 года.
По сведениям аналитического центра Perimetrix, мошенник использовал весьма интересный канал утечки - он печатал скриншоты компьютера, содержавшие приватную информацию. Точные подробности инцидента, имя и мотивы мошенника на данный момент не сообщаются. Отметим, что два года назад Verizon провела обновление своих корпоративных систем с целью не показывать полные номера социального страхования телемаркетологам, а также службе технической поддержки. Всем пострадавшим будет предоставлена бесплатная услуга кредитного мониторинга сроком на один год.
Финансово-образовательная фирма теряет конфиденциальный жесткий диск
Тем временем, некоммерческая организация CollegeInvest, выдающая кредиты на образование в штате Колорадо, объявила о пропаже носителя с приватными сведениями. Диск, на котором хранились номера социального страхования 200 000 человек, таинственным образом исчез при переезде в новый офис. По словам представителя CollegeInvest Дженнифер Робинсон (Jennifer Robinson), в список пострадавших попала почти четверть (23%) клиентов организации, однако кража личности маловероятна - поскольку информация была зашифрована.
Издание The Denver Post сообщает, что пострадавшим предложено две программы мониторинга на выбор: Triple Alert и FamilySecure. Стоимость первой из них составляет $10.5 в год, второй - практически $30. Таким образом, расходы CollegeInvest только на кредитный мониторинг будут измеряться в миллионах долларов - а ведь есть еще и репутационные потери.
Эксперты Perimetrix отмечают, что шифрование способно обеспечить стопроцентную защиту информации. В данном случае о стопроцентной защите речь не идет - в противном случае, CollegeInvest не стал бы предоставлять кредитный мониторинг. Как следствие, можно предположить, что шифрование либо вообще отсутствовало, либо использовало слабые криптографические алгоритмы.
Кража в Нью-Йорке угрожает десяткам тысяч людей
Похожий случай случился на другом конце США - в крупнейшем мегаполисе Штатов Нью-Йорке. Местный Университет Статен-Айленда (а вернее - госпиталь при Университете) также не уследил за носителями конфиденциальной информации. Однако в отличие от случая в Колорадо, компьютерное оборудование не пропало, а было украдено.
Как следствие, было объявлено об утечке, которая угрожает 88 000 человек. Любопытно, что в офисе была установлена система видеонаблюдения, которая зафиксировала преступление, однако, несмотря на достаточно хорошую запись, никто так и не был арестован. Судя по видео с камер наблюдения, виновником утечки стал чернокожий мужчина в возрасте от 30 до 40 лет. Сообщается, что он похитил настольный компьютер, а также диск для резервного копирования информации.
Вредоносный файл посеял панику в Университете Колорадо
Случай с CollegeInvest оказался не единственным инцидентом в штате Колорадо. Несколько дней спустя об утечке объявил местный Университет, который базируется в городе Боулдер (The University of Colorado at Boulder). По сообщениям американских СМИ, в результате инцидента были скомпрометированы номера социального страхования 9 500 человек, в том числе, 500 преподавателей.
Сама же утечка оказалась довольно экзотической. 24 апреля сотрудники департамента ИТ-безопасности ВУЗа обнаружили на компьютерах некий «вредоносный файл». Несмотря на то, что точная природа файла не установлена до сих пор, Университет уже успел заявить о возможном вторжении и начал рассылать письма потенциальным жертвам утечки. Отметим, что все пострадавшие учились или преподавали в Университете достаточно давно (с 1997 по 2003 гг.), и зачем хранилась их информация - непонятно.
Оставшиеся утечки недели
О других утечках недели трудно рассказывать подробно, поскольку информации о них крайне мало. Отметим, что второй инцидент за месяц допустил Университет Южного Коннектикута (Southern Connecticut State University), потерявший номера социального страхования 11 000 студентов в результате хакерской атаки. Министерство здравоохранения Гонконга не уследило за флешкой с информацией о «проблемных» подростках, а финансовая контора Hough, MacAdam & Wartnik потеряла ноутбук с конфиденциальными сведениями клиентов.
Конец недели ознаменовался еще тремя утечками. Так, Университет Массачусетса не смог обеспечить внешнюю безопасность своей корпоративной сети, а Университет Калифорнии допустил классическую веб-утечку. Последней жертвой стало налоговое ведомство округа Айрделл (Iredell, Северная Каролина), у которого угнали машину вместе с носителями приватных сведений.
Краткая информация обо всех случившихся инцидентах представлена в сводной таблице:
| Компания | Сфера деятельности | Причина утечки | Количество пострадавших (человек) | Примерный ущерб ($) |
| Verizon Wireless | телекоммуникации | инсайд | нет данных | нет данных |
| Southern Connecticut State University | образование | хакерская атака | 11 000 | 1 млн. |
| CollegeInvest | финансы | потеря носителя | 200 000 | 15 млн. |
| Министерство здравоохранения Гонконга | госструктура | кража носителя | 700 | 80 тыс. |
| Hough, MacAdam & Wartnik | финансы | кража ноутбука | 482 | 120 тыс. |
| University of Colorado | образование | хакерская атака | 9 500 | 950 тыс. |
| University of Massachusetts | образование | хакерская атака | нет данных | нет данных |
| The Iredell County Tax Collector's Office | финансы | кража носителя | 468 | 70 тыс. |
| Staten Island University Hospital | образование | кража носителя | 88 000 | 15 млн. |
| University of California San Francisco | образование | веб-утечка | 6 313 | 800 тыс. |
| | | ИТОГО: | 316 463 | 37 млн. |
По материалам сайта http://www.securitylab.ru
Как предотвратить утечки информации, читать...
Публикации по теме
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
 |
25 февраля 2011
Утечка данных о бюджетах пользователей сервиса контекстной рекламы Google AdWords стала одной из самых интересных в прошедшем году.
|
|
24 февраля 2011
Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
|
|
|
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
 |
