Дайджест событий ИТ-безопасности

Владимир Ульянов

Утечка-симбиоз: студенты и пациенты

Официальные лица компрометируют персональные данные

Купил в магазине Hannaford, купи и мошеннику

Веб-дизайнер на поверку оказался инсайдером-мошенником

Я бы в хакеры пошел — пусть меня научат!

Насколько квалифицированны эксперты по безопасности?

Искать работу... небезопасно для личности

WellPoint + WellCare = 200 тыс. разочарованных пациентов

Новая угроза — азербайджанские хакеры

Ирландский банк узнал об утечке из телевизора

Пойман инсайдер из американского телекома

HSBС: свыше полумиллиона пострадавших клиентов за месяц

Adobe собирает досье на пользователей

 

За последние два месяца в мире зарегистрировано огромное количество инцидентов, связанных с информационной безопасностью. Новостные агентства рапортовали об утечках практически каждый день, а иногда и по нескольку раз в сутки. В сегодняшний обзор включены лишь наиболее запомнившиеся инциденты, среди которых гигантская утечка 4 млн номеров пластиковых карт из сети Hannaford, компрометация 5 млн резюме портала Jobs.ie, очередной масштабный инцидент в HSBC и сомнительная услуга Adobe для образовательных учреждений.

Утечка-симбиоз: студенты и пациенты

По статистике, чаще всего становится известно об утечках персональных данных из различных образовательных и медицинских учреждений. Инцидент, произошедший в середине марта в Университете штата Юта, объединил две эти категории граждан, страдающих от компрометации данных чаще других. Дело в том, что ноутбук с персональными сведениями 5 тыс. человек украли из медицинского пункта вуза. Естественно, на компьютере находилась информация о студентах, обращавшихся за помощью к докторам.

Сообщается, что неизвестный пробрался в закрытое помещение и выкрал ноутбук, а также флэш-диск. Представители университета уверены, что вора интересовал исключительно компьютер, а не находящаяся на нем информация. Кроме того, вход в систему защищен паролем, а потому невозможно получить доступ к данным. Однако в аналитическом центре компании Perimetrix придерживаются противоположной точки зрения — теперь, когда об утечке стало известно, вор приложит все усилия, чтобы взломать компьютер и выгодно продать размещенные в нем персональные данные. За такой вариант развития событий говорит и другая реакция университета — всем пострадавшим планируется предоставить годовой кредитный мониторинг.

Впрочем, пока непонятно, пойдут ли в вузе на этот шаг, поскольку доподлинно не известно, какая информация хранилась на лэптопе и чьи персональные данные могли там оказаться. К сожалению, большинство организаций пренебрегают классификацией данных и зачастую не знают, какими сведениями располагают и где хранят их.

Официальные лица компрометируют персональные данные

Секретарь округа Оклахома Кэролинн Коудилл (Carolynn Caudill) выложила на своем официальном веб-сайте свыше миллиона документов с конфиденциальной информацией. Через Интернет стали доступны ипотечные документы, долговые обязательства и даже права собственности на земельные участки начиная со второй половины XIX века! Некоторые документы содержали приватные данные, например номера социального страхования.

Примечательно, что среди пострадавших от утечки людей — известные граждане округа: члены администрации, крупнейшие бизнесмены, телеведущие Оклахомы. Номера социального страхования этих людей также были скомпрометированы. Предполагается, что инцидент может стоить Кэролинн Коудилл должности.

Как отмечают специалисты компании Perimetrix, интернет-утечки через порталы государственных учреждений и деятелей в США не редкость. Но масштаб данного инцидента действительно впечатляет. Вряд ли можно говорить о злом умысле секретаря, но о халатности — безусловно.

Купил в магазине Hannaford, купи и мошеннику

Как вы относитесь к идее оплачивать чужие счета? А может быть, согласитесь дать незнакомому человеку попользоваться вашей кредиткой? Между тем для миллионов покупателей американской сети бакалейных магазинов Hannaford такие сценарии стали реальностью. Причиной тому — гигантская утечка информации. Всего скомпрометированными оказались свыше 4 млн номеров пластиковых карт. А по поводу мошеннических операций с картами в правоохранительные органы обратились уже 2 тыс. человек. В аналитическом центре Perimetrix полагают, что при таком масштабе утечки число пострадавших еще будет расти.

По сообщениям СМИ, в результате инцидента пострадали посетители почти 300 магазинов Hannaford и Sweetbay, оплатившие покупки пластиковыми картами с 7 декабря прошлого года по 10 марта нынешнего. Подробности инцидента не сообщаются. Известно лишь, что номера карточек были украдены во время передачи данных «для авторизации банковских карт». По всей видимости, речь идет о хакерской атаке, но точная технология взлома до сих пор неизвестна.

В Hannaford узнали об утечке только после того, как стали поступать жалобы от недовольных клиентов. Случаи нелегального использования банковских карт были зафиксированы сразу в нескольких американских городах (Хьюстон, Детройт, Сан-Франциско), и даже на территории других государств (Франция, Бразилия). Такой географический разброс говорит о смекалке хакеров, которые не стали использовать украденную информацию, а продали ее через Интернет.

Администрация Hannaford уже работает с банками и другими финансовыми организациями с целью пресечь случаи мошенничества. Кроме того, в расследовании принимают участие правоохранительные органы, в том числе секретная служба США (US Secret Service). Предварительные итоги, по мнению аналитиков Perimetrix, указывают на пренебрежительное отношение Hannaford к положениям стандарта PCI DSS (Payment Card Industry Data Security Standard). В нем, в частности, указывается, что передача платежной информации должна происходить исключительно по зашифрованным каналам.

Еще один вывод, лежащий на поверхности, — это то, что хакеры воровали информацию на протяжении нескольких недель или даже месяцев. Ведь в список пострадавших попали и покупатели, посетившие магазины 10 марта, а к середине месяца набралось уже около 2 тыс. пострадавших граждан. И это при том, что на изготовление копий карт требуется некоторое время.

Веб-дизайнер на поверку оказался инсайдером-мошенником

В продолжение темы о карточных мошенниках — сообщение об инсайдере-кардере из Калифорнии. В отличие от хакеров из Hannaford, веб-дизайнер Тревор Хаммондс (Trevor Hammonds) из Ньюпорт Бич (Newport Beach) ничего не взламывал. Все сведения он получил... по долгу службы. В 2005 году Хаммондс создал сайт для благотворительной организации Catalina Conservancy Divers (CCD), собирающей пожертвования на защиту природы острова Санта-Каталина (Santa Catalina Island). Ресурс Хаммондса, в частности, включал форму для осуществления онлайн-пожертвований. Эту опцию Хаммондс и использовал для кражи номеров кредитных карт людей, которые жертвовали свои деньги CCD.

Хаммондс неоднократно пользовался поддельными пластиковыми карточками, что, видимо, притупило его бдительность. Сначала бывший веб-мастер использовал прикарманенные сведения для онлайн-покупок и оплаты различных услуг, а затем попытался поддельной кредиткой оплатить аренду жилья. Тут-то его и арестовали. Предварительный ущерб от действия кардера в аналитическом центре Perimetrix оценивают в несколько десятков тысяч долларов. Примечательно, что после того, как стало известно об утечке, организация CCD приостановила прием онлайн-пожертвований.

Я бы в хакеры пошел — пусть меня научат!

А вот 18-летнего паренька из Флориды учить ничему не надо. Он уже и сам неплохо подкован. Майкл Васа (Michael Wasa), учащийся школы J.P. Taravella в городе Корал Спрингс (Coral Springs), взломал сразу несколько баз данных и программ с большим количеством строго приватных данных. В общей сложности от действий малолетнего хакера пострадали 38 тыс. жителей штата.

Предполагается, что Васа, в частности, взломал программу Pinnacle Gradebook — электронный журнал учета успеваемости учащихся, весьма распространенный в американских школах. Помощником хакера стали многочисленные программы и утилиты для взлома, найденные на компьютере мальчишки. Кроме того, хакер работал с генераторами информации о кредитных картах и дешифровальным ПО. Несмотря на достаточно большое количество скомпрометированной информации, юный хакер может не подвергнуться уголовному преследованию, так как, по мнению правоохранительных органов, он взламывал базы исключительно из любопытства, а не ради преступного умысла. Тем не менее аналитики Perimetrix полагают, что Васа может не остановиться на достигнутом и продолжить деятельность в сугубо преступном русле. Кроме того, юноше могут вскружить голову легкие деньги — иначе зачем бы ему понадобились утилиты-генераторы номеров кредиток?

Насколько квалифицированны эксперты по безопасности?

До чего же беспечной должна быть компания, которая перевозила свои ленты с резервными данными так, что по дороге кассеты выскочили из грузовика! Но когда виновником такой глупой утечки становятся эксперты по безопасности, остается просто развести руками.

Предыстория утчеки такова: компания Agilent Technologies заключила контракт на управление акциями сотрудников с компанией Fidelity Investments. До этого контракта акциями управляла другая фирма — Smith Barney, которая должна была передать базы данных новому управляющему. Для контроля над переносом данных, чтобы не допустить компрометации, Agilent Technologies наняла экспертов — фирму Stock & Options Solutions — именно она и стала виновником инцидента. В результате кражи незашифрованного ноутбука под угрозой компрометации оказались около 51 тыс. человек. По сведениям аналитического центра компании Perimetrix, на пропавшем компьютере содержались номера социального страхования и информация об акциях сотрудников компании.

Представитель Agilent Technologies Эми Флорес (Amy Flores) выразила удивление тем фактом, что данные на компьютере не были зашифрованы. По ее словам, в Stock & Options заявили, что допустивший утечку сотрудник уже направлялся на процедуру шифрования, и в этот момент его обокрали. Совпадение возможно, однако во избежание подобного инцидента данные следовало зашифровать на месте, в компании-источнике.

Искать работу... небезопасно для личности

Услугами интернет-порталов по поиску работы пользуется все большее число людей. Однако эксперты компании Perimetrix считают, что, размещая резюме на таких сайтах, надо быть бдительным — вы при этом указываете свои персональные данные. Крупнейший ирландский портал по поиску работы Jobs.ie, содержащий более 5 млн резюме, сообщил о серьезной утечке информации. Неизвестный хакер (или даже группа хакеров) проник в базу данных Jobs.ie и скачал огромное число анкет. Точное количество пострадавших неизвестно.

Благодаря оперативным действиям работников сайта клиенты получили уведомления уже на следующий день после взлома. Тем не менее остается открытым вопрос, «а был ли мальчик?». Среди разговоров о хакерах упускается из виду тот факт, что, по сути, взлома не было. Просто неизвестный вошел в базу данных под логином и с паролем одного из администраторов. Таким образом, правильнее будет говорить о компрометации учетных данных. Точнее сказать невозможно, ведь работник мог попросту вступить в сговор с так называемыми хакерами.

Несмотря на то что в большинстве резюме отсутствуют действительно конфиденциальные сведения (например, финансовая информация), скачанных данных вполне достаточно для осуществления различных незаконных действий. В частности, мошенники могут позвонить жертвам утечки и, представляясь респектабельным работодателем, выманить у них другие данные. Кроме того, полученная база электронных адресов может в дальнейшем использоваться для фишинговых атак либо для рассылки спама.

WellPoint + WellCare = 200 тыс. разочарованных пациентов

Две очень похожие по названию медицинские компании в начале апреля сообщили об инцидентах-близнецах. Первой об утечке заявила WellCare. Базу данных с ее пациентами нашли в Интернете. Расследование выявило, что скомпрометированная база содержала имена, даты рождения, идентификационные номера, номера социального страхования и другую персональную информацию 71 тыс. человек. Предполагается, что база попала в Интернет из-за ошибки персонала, однако кто именно опубликовал сведения и когда это произошло — неизвестно.

Днем позже «раскололась» и WellPoint. Эта компания скомпрометировала персональные сведения 126 тыс. человек. Основное различие между инцидентами состоит в том, что базу WellPoint в Интернет выложил подрядчик организации. Кроме того, WellPoint смогла более конкретно рассказать о сроках — сведения пролежали в Сети не менее года. В аналитическом центре Perimetrix полагают, что данные, находившиеся в Интернете в течение столь длительного времени, будут скомпрометированы с большей долей вероятности. Поэтому неудивительно, что обе компании предложили клиентам годовой мониторинг банковских счетов.

Новая угроза — азербайджанские хакеры

Группа азербайджанских хакеров попалась в Турции на махинациях с пластиковыми карточками. От действий кардеров пострадали около 2 тыс. человек. А общий ущерб составил свыше 5 млн долл.

Многочисленная банда (67 человек) действовала по обычной схеме. Сначала мошенники через Интернет распространяли вирусы, которые разыскивали на зараженных компьютерах сведения о карточках. Далее на специальном оборудовании кардеры делали дубликаты карточек и обналичивали деньги в банкоматах.

Большое количество преступников в банде говорит о хорошо поставленном бизнесе. Наверняка существовало и разделение труда. Кто-то писал вирусные программы, кто-то подсовывал их пользователям, а кто-то создавал копии карточек.

Интересно, что часть украденных денег мошенники успели потратить на другом конце света — во время карнавала в Рио-де-Жанейро. Как предполагают эксперты Perimetrix, кардеры планировали расширить сферу деятельности.

Ирландский банк узнал об утечке из телевизора

Беспечность руководителей одного из крупнейших ирландских банков Bank of Ireland может стоить учреждению серьезных убытков. В течение короткого промежутка времени в прошлом году банк потерял четыре ноутбука с персональными данными клиентов. Однако ни об одном из инцидентов сами клиенты не узнали. И скорее всего, не узнали бы вовсе, если бы не публичное выступление комиссара по вопросам приватности Билли Хоукса (Billy Hawkes) по национальному телеканалу RTE.

Всего от утечек могут пострадать около 10 тыс. клиентов банка, чьи имена, адреса, а также сведения о банковских счетах и медицинская информация хранились на пропавших компьютерах. Шифрование данных на ноутбуках не применялось.

После телевизионной передачи пресса обратилась в Bank of Ireland за комментариями. Представитель банка Брайан Форестер (Brian Forester) заявил, что информация об инциденте не дошла до менеджеров должного уровня из-за проблем с выполнением внутренних процедур.

Как полагают эксперты компании Perimetrix, руководители банка действительно могли не знать о случившемся. Может быть, ответственные лица специально держали их в неведении, чтобы скрыть инциденты и избежать наказания. Однако более вероятно, что правление само замалчивало утечку.

Пойман инсайдер из американского телекома

В США арестован бывший сотрудник Verizon Wireless, второго по величине сотового оператора США, по подозрению в краже персональной информации. Подозреваемый работал в Verizon в должности телемаркетолога с ноября 2003-го по январь 2005 года. Официальные лица компании никак не комментируют произошедший инцидент.

Согласно сведениям прокуратуры, инсайдер сохранял изображения экрана компьютера с приватной информацией (имена, адреса, номера социального страхования, а также номера телефонных счетов) клиентов Verizon. Для чего данная информация нужна была сотруднику — не сообщается. Однако всем клиентам, чьи данные скопировал инсайдер, будет оплачен годовой мониторинг банковских счетов.

Отметим, что, желая спрятать полные номера социального страхования, Verizon два года назад провела обновление своих корпоративных систем телемаркетологам, а также службе технической поддержки. В аналитическом центре Perimetrix считают, что с угрозой инсайдерской утечки особенно трудно бороться, когда в роли мошенников выступают специалисты начального уровня на позициях с большим уровнем текучки. И наиболее эффективным мероприятием в данном случае будет ограничение доступа к лишней информации.

HSBС: свыше полумиллиона пострадавших клиентов за месяц

Корпорация HSBC допустила вторую за месяц крупную утечку информации. И если в первый раз, когда из-за потери жесткого диска в Великобритании пострадали 370 тыс. человек, можно было говорить о случайности, то второй очередной инцидент указывает на закономерность.

Утечка случилась в отделении HSBC в Гонконге. Во время ремонта здания неизвестным образом пропал один из серверов. Виноваты ли в пропаже отделочные бригады или собственные сотрудники воспользовались моментом и вынесли компьютер — не уточняется.

На сервере хранились имена клиентов, номера их банковских счетов и данные о транзакциях за большой промежуток времени. В общей сложности инцидент затронул около 159 тыс. человек.

По словам представителей банка, риск компрометации информации невысок, поскольку сервер был защищен многоуровневой системой безопасности с использованием шифрования. Однако не ясно, какие именно применялись алгоритмы и можно ли данные расшифровать. По словам одного из местных экспертов Чарльза Мок Най-квонга (Charles Mok Nai-kwong), если сервер попадет в полицию, там сумеют прочитать всю хранившуюся на нем информацию.

По мнению экспертов компании Perimetrix, сомнения могут развеять только ответственные сотрудники HSBC. Если данные на украденном сервере были зашифрованы по всем правилам, вряд ли кто-то сможет прочесть информацию. Когда сведения шифруются стойкими алгоритмами, на их расшифровку может понадобиться не одна тысяча лет.

Adobe собирает досье на пользователей

Всемирно известная компания Adobe скомпрометировала себя весьма глупой утечкой. Как отмечают в аналитическом центре Perimetrix, Adobe не первая компания, наступившая на грабли сбора и хранения избыточных сведений. Подробности инцидента неизвестны, однако его последствия удручающие. Из-за того что сервер софтверного гиганта не отвечал требованиям безопасности, информация о клиентах Adobe оказалась доступной в Интернете.

Примечательно то, какая именно информация оказалась скомпрометированной — это заявки на приобретение льготных версий программного обеспечения для образовательных учреждений. Удивление вызывает перечень сведений, которые необходимо указать для составления заявки: имя, дату рождения, адрес, номера домашнего и сотового телефонов, адрес электронной почты, номер кредитной карты, срок действия кредитной карты и ее защитный код, номер банковского счета, номер социального страхования, номер водительских прав, правительственный номер, военный номер и, наконец, название школы и школьный идентификационный номер.

Зачем нужны все эти сведения — непонятно. Ведь подтвердить принадлежность к учебному заведению можно множеством других способов. А если следовать концепции Adobe, можно еще запросить анализ крови и образцы ДНК.

 

В начало В начало

КомпьютерПресс 6'2008

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует