Дайджест событий ИТ-безопасности

Владимир Ульянов

Сомнительный рекорд генерального аудитора Ирландии

Deutsche Telekom велик во всем

Нестандартное наказание от судей из Мэриленда

Персональные данные с eBay

Крупнейшая утечка Кореи

Забастовка против утечки

 

Многочисленные инциденты ИТ-безопасности летних месяцев сменились в начале осени чередой не столь частых, но крупных утечек. Еще в конце августа произошла крупнейшая утечка персональных данных в истории Ирландии, а также кража 30-миллионной базы клиентов Deutsche Telekom. Сентябрьскими рекордсменами стали утечка сведений миллиона клиентов банков через eBay и инсайдерская кража персональных данных 12 млн корейцев.

Сомнительный рекорд генерального аудитора Ирландии

Сообщение о рекордной утечке сделало ирландское Министерство семьи и социальных проблем (Department of Social and Family Affairs). Масштабы инцидента не впечатляют на фоне миллионных краж персональных данных, случающихся, например, в США. Однако компрометация сведений 380 тыс. человек стала самой большой за всю историю Ирландии.

Утечка произошла из-за кражи ноутбука из офиса генерального аудитора Ирландии, проводившего проверку расходования бюджетных средств на социальные программы. Как отмечают эксперты Perimetrix, тенденцию к увеличению краж ноутбуков невозможно побороть, но вот минимизировать убытки можно запросто. Достаточно внедрить системы шифрования носителей информации.

Инцидент произошел еще в апреле прошлого года, однако информация поступила в министерство только в августе текущего года. Почему возникла такая задержка, не уточняется. В официальном сообщении говорится, что персональные данные не были зашифрованы, но хранились в «специально закодированном формате». По всей видимости, под этим понимается какая-то разновидность текстовой кодировки, что само по себе не является защитой.

Обеспокоенность инцидентом выразила министр семейных и социальных проблем Ирландии Мэри Ханафин (Mary Hanafin), а также комиссар по вопросам приватности Билли Хоукс (Billy Hawkes). Представители генерального аудитора, в свою очередь, пообещали больше не хранить персональные данные на ноутбуках и постоянно использовать шифрование. Следует отметить, что за последние 10 лет из офиса генерального аудитора пропало в общей сложности 16 корпоративных ноутбуков.

Тем не менее необходимо устранять последствия нынешнего инцидента. Планируется, что оповещения, а также ряд сервисов по предотвращению кражи личности получат около 100 тыс. человек, чьи персональные данные были наиболее подробными и включали некоторые финансовые сведения.

Deutsche Telekom велик во всем

Утечка информации из европейского оператора связи столь велика, что поражает своим размахом. По сведениям аналитического центра Perimetrix, Deutsche Telekom пострадал от инсайдеров из своего контактного центра, продававших персональные сведения клиентов.

По всей видимости, работники контактного центра сумели вскрыть приватную базу данных Deutsche Telekom и получили доступ к персональным данным 30 млн человек. Доступ к внутренним ресурсам оператора значительно облегчил задачу мошенникам. Какую именно информацию продавали сотрудники и сколько денег они выручили, пока не сообщается.

Примечательно, что руководство Deutsche Telekom узнало об утечке только из телепередачи на канале NDR. Когда сюжет вышел на телевидении, представители оператора сообщили, что они не располагают информацией об инциденте и возбудят разбирательство только тогда, когда NDR предоставит им расширенные данные.

По мнению специалистов аналитического центра Perimetrix, проблема утечек из контактных центров является по-настоящему актуальной. Обычно в call-центрах работают сотрудники не слишком лояльные и недостаточно квалифицированные. Однако возможностей украсть информацию, в силу служебного положения, они имеют немало.

Следует также отметить, что нынешняя утечка является уже не первым случаем злоупотребления доступом к информации со стороны сотрудников в Deutsche Telekom. В мае нынешнего года оператор оказался в центре скандала из-за действий своих бывших топ-менеджеров, которые даже наняли специальную фирму для сбора сведений о телефонных переговорах других руководителей, журналистов и акционеров. Тогда Deutsche Telekom заявлял о крупных инвестициях в систему безопасности, однако нужного результата вливания не принесли.

Нестандартное наказание от судей из Мэриленда

По сообщению The Roanoke Times, окружной суд штата Мэриленд разместил в Интернете персональные сведения автонарушителей. Среди них была и строго приватная информация, в том числе действующие номера социального страхования.

Скомпрометированные данные оказались неоднородными. Преимущественно это материалы судебных заседаний по факту нарушений правил дорожного движения без конфиденциальных сведений. Однако в некоторых случаях, если водитель был зарегистрирован в другом штате, его номер водительских прав мог совпадать с номером социального страхования. Дело в том, что практика отождествления номеров социального страхования и водительских прав была запрещена в различных штатах в разное время.

В Мэриленде, в частности, вообще не использовали номера социального страхования для выдачи водительских прав. Поэтому сотрудники окружного суда и решили разместить в Интернете протоколы судебных заседаний. Но они не учли особенности законодательства других штатов.

Всем водителям, кто нашел свой номер социального страхования на сайте, будут предоставлены бесплатные услуги кредитного мониторинга. Но что делать тем, кто не пользуется Интернетом или ничего не знает об утечке, — непонятно. В связи с этим необходимо упомянуть, что сведения с сайта не удалили до сих пор и не только проштрафившиеся автолюбители, но и мошенники могут искать через сайт номера социального страхования.

По мнению экспертов Perimetrix, в практике размещения в Интернете судебных отчетов нет ничего плохого. Такая процедура помогает повысить уровень юридической грамотности граждан. Однако большинство судебных материалов не соответствует современным требованиям к приватности. Поэтому сначала такие отчеты необходимо хотя бы обезличивать.

Персональные данные с eBay

Оказывается, на eBay можно купить не только подержанную технику, но и «подержанные» персональные данные, что продемонстрировал ИТ-специалист из Оксфорда Эндрю Чепмен (Andrew Chapman). Он купил на аукционе компьютер, на жестком диске которого оказалось около миллиона записей с конфиденциальными банковскими сведениями. В обнаруженную базу данных попали банковские записи клиентов American Express, NatWest и Royal Bank of Scotland. Если бы такая информация появилась на черном рынке, она стоила бы миллионы долларов. Однако компьютер с содержимым был оценен всего в 35 фунтов стерлингов.

Компьютер, который попал к Чепмену, принадлежал компании Mail Source из корпорации Graphic Data, предлагающей финансовым структурам услуги по обработке информации. Представители Mail Source сообщили, что в настоящее время уже проводится расследование для выяснения обстоятельств инцидента. Уже известно имя сотрудника, который выставил злополучный компьютер на аукцион.

Шокирован был и сам Чепмен. «Я не мог в это поверить. На компьютере хранились файлы со строго конфиденциальной информацией тысяч и тысяч людей, — отметил удивленный владелец подержанного компьютера. — Профессиональная организация, которая обрабатывает такую информацию, должна принять все меры, чтобы перед продажей компьютеров она была надежным образом уничтожена».

По сведениям аналитического центра Perimetrix, данный инцидент стал самой масштабной утечкой через интернет-аукционы, хотя подобные происшествия случались и раньше. Только в нынешнем году аналогичные инциденты произошли в штате Оклахома и в английском МВД. Наверняка таких инцидентов гораздо больше, просто не все покупатели сообщают о своих находках в прессу или в правоохранительные органы.

Крупнейшая утечка Кореи

Еще одной страной, которая поставила «внутренний» рекорд по количеству пострадавших от утечки граждан, наряду с Ирландией, стала Южная Корея. Здесь об инциденте объявила компания GS Caltex — второй по величине поставщик нефти в Южной Корее. По данным экспертов Perimetrix, в одном из мусорных контейнеров Сеула были найдены два диска с персональными данными почти 12 млн человек — без малого четверти населения государства.

Как стало известно в ходе расследования, пострадавшими оказались многочисленные клиенты-потребители компании. Конфиденциальная информация о людях хранилась в файлах Excel в директории, названной GS Caltex Customer List. Следует отметить, что в некоторых файлах содержалась информация не только о корейцах, но и о компаниях, в которых они работают.

В числе пострадавших от утечки оказались высокопоставленные корейские чиновники, министры правительства, консультанты президента и известные телевизионные ведущие.

Чтобы успокоить возмущенную общественность, GS Caltex организовала специальную пресс-конференцию. Руководители компании подтвердили факт утечки и отметили, что скомпрометированные данные использовались для подготовки бонусных программ для автовладельцев. Как было сказано на пресс-конференции, никаких следов внешнего вторжения в сеть не было обнаружено, а причиной утечки, скорее всего, являются действия инсайдеров.

Вскоре после того, как об утечке стало известно, опасения руководства GS Caltex подтвердились. 8 сентября южнокорейская полиция арестовала четырех человек, двое из которых являются сотрудниками одного из call-центров нефтяного гиганта. По версии правоохранительных органов, именно эти люди украли у компании массив персональных данных. Также было найдено несколько дисков с копиями конфиденциальной базы.

Остается только неясным, зачем было выкидывать диски в мусорный бак. Кроме того, подозрительно, что диски обнаружил некий офисный работник, возвращавшийся домой: торопящийся из офиса работник вдруг залез в контейнер, вытащил оттуда диски и принялся изучать их содержимое?

Забастовка против утечки

В Великобритании произошла утечка, которая рискует привести к забастовке тюремщиков. Сам инцидент (потеря диска с приватной информацией) случился еще летом прошлого года, однако публично известно о нем стало только сейчас. Национальная служба Великобритании по контролю за правонарушителями (National Offender Management Service, NOMS), чьи сотрудники пострадали в результате утечки, а также компания EDS, непосредственный виновник, замалчивали происшествие более года.

Компания EDS, являющаяся партнером NOMS, вместе с тем и крупнейший поставщик ИТ-услуг, который в мае нынешнего года был поглощен корпорацией НР за сумму около 14 млрд долл. Естественно, в портфеле EDS имеются и сервисы по информационной безопасности. Как указывают эксперты Perimetrix, скомпрометировав информацию NOMS, EDS присоединилась к внушительному списку ИБ-вендоров, допустивших масштабные утечки данных.

Секретарь министерства Джек Стро (Jack Straw) следующим образом прокомментировал инцидент: «Я очень озабочен потерей конфиденциальной информации. И обязательно разберусь, почему компания EDS не сообщала об утечке в течение года, а сотрудники NOMS молчали на протяжении двух месяцев». Стро также добавил, что принял решение о запуске экстренного расследования причин инцидента.

Еще более категорично высказался британский министр юстиции Дэвид Хэнсон (David Hanson). В интервью BBC он заявил, что «очень зол», а также назвал случившуюся утечку «исторической». Но никаких конкретных мер противодействия такого рода инцидентам министр предложить не смог.

Инцидент уже привел к волне недовольства среди основных пострадавших — тюремных офицеров. Глава соответствующей ассоциации Колин Мозес (Prison Officers Association’s national chairman, Colin Moses) прямо обвинил руководство NOMS в попытках скрыть реальные обстоятельства инцидента в течение длительного времени. По мнению руководства POA, конфиденциальная информация должна обрабатываться национальными агентствами, а не частными компаниями типа EDS. В качестве ответного шага ассоциация подумывает о забастовке своих членов.

 

В начало В начало

КомпьютерПресс 10'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует