Дайджест событий ИТ-безопасности
Самая крупная и дорогая утечка личной информации в истории
Российские студенты обворовывали американских граждан
Саботаж стоимостью 3,2 млн. долл.
В статье рассматриваются наиболее важные инциденты ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, в США имела место самая крупная и дорогая утечка конфиденциальных данных в истории. Ее последствия можно оценить в 26,5 млрд. долл. Между тем, используя чужие приватные данные, московские студенты обчищали банковские счета американцев. Вся преступная группа задержана. Кроме того, стали известны подробности компьютерного саботажа, который обошелся финансовому гиганту UBS в 3,2 млн. долл. Наконец, в Интернете появились приватные данные абонентов МТС…
Самая крупная и дорогая утечка личной информации в истории
лавным событием прошедшего месяца стала самая крупная и дорогая утечка частных данных в истории. 3 мая персональные сведения 26,5 млн. бывших военнослужащих США были украдены из квартиры чиновника Министерства по делам ветеранов. Инсайдер без разрешения забрал эти материалы с работы домой еще несколько месяцев назад, однако кража произошла только сейчас (Подробнее см.: http://www.infowatch.ru/threats?chapter=147151398&id=187237522) . Эксперты InfoWatch отмечают, что это самая крупная утечка подобных данных в истории. В прошлогоднем инциденте (Подробнее см.: http://www.infowatch.ru/threats?chapter=147151398&id=166089503) с утечкой 40 млн. номеров кредитных карт MasterCard, Visa и American Express из компании CardSystems Solution преступники скачали только 70 тыс. личных записей, в то время как оставшиеся 39,9 млн. были скомпрометированы лишь потенциально. В случае с ветеранами картина принципиально иная: достоверно известно, что в руки злоумышленников попали персональные сведения всех 26,5 млн. граждан.
Столь крупная утечка вызвала огромный общественный резонанс. Как оказалось, чиновники Министерства по делам ветеранов пытались скрыть факт утечки не только от граждан, но и от своего начальства. Сделать это не удалось, так как по ведомству пошли слухи о некоем инциденте. По этому неформальному каналу информация об утечке распространилась по всему министерству и достигла высших исполнительных лиц. Последние, в свою очередь, провели собственное расследование и в конце мая официально сообщили общественности о краже данных. Чиновникам, которые пытались замолчать факт утечки, теперь придется искать новую работу.
Но и это еще не все. Буквально через неделю после обнародования инцидента стало известно, что в руки преступникам попали частные сведения не только бывших военнослужащих США, но и действующих. При этом если число пострадавших ветеранов составило 26,5 млн. человек, то для действующих военных этот показатель достиг «лишь» 2,2 млн. человек. Именно на это «лишь» напирали высшие исполнительные лица министерства, оправдывая тот факт, что они попытались скрыть истинный масштаб утечки. Ведь теперь речь идет почти о 30 млн. граждан.
Таким образом, эта утечка является самой крупной в истории. Однако, как показывают расчеты, она занимает первое место и в списке самых дорогих. Выступая с докладом перед Сенатом США, министр по делам ветеранов Джим Николсон сообщил, что инцидент может обойтись правительству в 500 млн. долл. Однако, по мнению аналитического центра InfoWatch, эта оценка чересчур оптимистична. Реальные расходы американских налогоплательщиков могут составить более 4 млрд. долл. Например, стандартной практикой является предоставление всем пострадавшим бесплатной услуги по мониторингу кредитной активности. Это уже стало частью best practices, и ни одна американская организация, допустившая утечку за последние два года, ни разу это правило не нарушила. Между тем стоимость одного года мониторинга финансовой активности в кредитном агентстве Equifax составляет 130 долл. Эта компания, наряду с Experian и TransUnion, является одним из трех самых крупных кредитных агентств США. Она предлагает услугу мониторинга на 10-20 долл. дешевле, чем другие американские фирмы. Таким образом, чтобы попытаться хоть как-то защитить ветеранов от кражи личности, необходимо потратить 130 долл. x 26,5 млн. чел. = 3445 млн. долл. (то есть около 3,5 млрд. долл.). При этом злополучное министерство уже заявило, что ведет переговоры с кредитными агентствами, чтобы обеспечить финансовый мониторинг для бывших военнослужащих.
Между тем ветераны не стали дожидаться, пока преступники обчистят их банковские счета, и подали коллективный иск против Федерального правительства (Подробнее см.: http://www.infowatch.ru/threats?chapter=147151398&id=188714461). Они требуют компенсации в размере 1 тыс. долл. на каждого бывшего военнослужащего, чьи личные данные оказались скомпрометированы в результате утечки. Общая сумма иска, следовательно, составляет 26,5 млрд. долл. По мнению экспертов InfoWatch, суд вряд ли удовлетворит иск полностью, но частичная компенсация в размере 500 долл. на каждого пострадавшего выглядит более чем реальной. Таким образом, утечка может обойтись казне США в 13 млрд. долл.
Завершая рассмотрение самой крупной и дорогой утечки приватных данных в истории, хочется отметить, что долгосрочные последствия этого инцидента еще тяжелее. Теперь государственным и коммерческим организациям придется приложить немало усилий, чтобы доказать гражданам, что все их личные сведения надежно защищены от инсайдеров. Другими словами, если раньше средствами предотвращения утечек компании пользовались для того, чтобы не оказаться на месте Министерства по делам ветеранов, то теперь для американских фирм такая защита станет стандартом де-факто.
Российские студенты обворовывали американских граждан
дним из последствий утечки конфиденциальных данных является кража личности. О том, насколько это опасно, сообщили в середине мая представители УБЭП ГУВД Москвы (Подробнее см.: http://www.cnews.ru/news/line/index.shtml?2006/05/18/201533). Правоохранительные органы арестовали четырех москвичей, которые обчищали банковские счета американцев с помощью поддельных кредитных карт. Все это делалось в содружестве с криминальными элементами США, которые поставляли россиянам персональные сведения американцев (включая финансовые счета).
Поиском мошенников оперативники столичного УБЭПа занялись после того, как к ним обратились коллеги из полиции США. Они сообщили, что через московские банкоматы с банковских счетов граждан США регулярно похищаются крупные суммы денег. Столичным милиционерам стало ясно, что в Москве действует очередная группа так называемых кардеров преступников, похищающих деньги при помощи поддельных банковских карт. На этот раз выйти на след мошенников оказалось несложно. Они допустили очень серьезную ошибку: снимали деньги через одни и те же десять банкоматов в центре Москвы. Оперативники установили на этих банкоматах скрытые камеры и взяли их под наблюдение. Вскоре возле одного из них на Тверской улице были задержаны Николай Лючинов и Владимир Пономарев. Молодых людей взяли сразу после того, как по поддельной банковской карте они сняли 2,5 тыс. долл.
В карманах задержанных оперативники нашли еще 12 поддельных банковских карт с PIN-кодами. На допросе молодые люди рассказали, что они только снимали деньги, а придумали схему мошенничества и изготавливали карты их друзья выпускники одного из престижных технических вузов Москвы, специалисты по компьютерным технологиям Алексей Воздвиженский и Максим Трутнев. Их тоже задержали. Выяснилось, что еще в 2005 году Воздвиженский и Трутнев познакомились через Интернет с кардерами из США. Американцы предложили совместный бизнес: они поставляют приватные данные американцев, а их российские сообщники, используя эти данные, изготавливают поддельные карты, похищают по ним деньги и 80% переправляют через систему электронных платежей в Интернете американским партнерам.
Отметим, что по мере увеличения количества используемых в России кредитных карт преступники начнут грабить уже не иностранцев, а своих соотечественников. В этом случае существенно возрастет роль приватных данных, необходимых для осуществления кражи личности и изготовления фальшивых кредитных карт.
Саботаж стоимостью 3,2 млн. долл.
прошедшем месяце в открытом доступе появилась информация о компьютерном саботаже в компании UBS. О том, что три года назад финансовый гигант UBS PaineWebber чуть не обанкротился и подозревается в этом бывший системный администратор, известно уже давно. Однако только сейчас подробности вышли наружу. Как отмечают эксперты InfoWatch, саботаж является самым латентным преступлением, причем ущерб даже от незначительной компьютерной диверсии может варьироваться от нескольких сотен до миллионов долларов. Поэтому на каждом таком инциденте службам ИТ-безопасности следует учиться.
Компания UBS PaineWebber подала в суд на своего бывшего системного администратора. Она заявила, что только на то, чтобы поднять компьютерную сеть после диверсии инсайдера, у нее ушло несколько недель и 3,2 млн. долл. Компания утверждает, что инсайдер написал вредоносную программу, поразил ею всю сеть компании, а когда ИТ-инфраструктура рухнула попытался заработать на падении биржевых котировок фирмы.
Хотя сказать, что сеть компании упала, это все равно что не сказать ничего. Саботажник установил логическую бомбу на рабочие станции в центральном офисе корпорации, распространил ее на более чем 1 тыс. компьютеров почти в 400 филиалах, а также поразил вредителем систему резервного копирования. В результате в центральном офисе вычислительная сеть «лежала» несколько дней, а в филиалах несколько недель. Полиция нашла в доме обвиняемого исходные коды вредителя, так что теперь саботажнику грозит до 30 лет тюрьмы и многомиллионные штрафы. Каковы причины такого поступка бывшего администратора? Оказалось, инсайдер очень сильно разозлился на начальство, которое заплатило ему меньше, чем он ожидал. Таким образом саботажник решил отомстить и подзаработать. По мнению экспертов InfoWatch, корпорации UBS PaineWebber вообще повезло, что она не обанкротилась. Такой длительный простой мог стоить фирме всего бизнеса. Между тем к защите от саботажников следует подходить точно так же, как к защите от инсайдеров: мониторинг, мониторинг и еще раз мониторинг.
Телефон Путина за 15 руб.
заключение обратимся к скандалу «в своем отечестве». Как стало известно (Подробнее см.: http://www.infowatch.ru/threats?chapter=147151396&id=188146072), в российском Интернете появилась открытая база данных адресов, телефонов (в том числе мобильных), а также мест работы москвичей и жителей Санкт-Петербурга. Есть в базе и сведения о юридических фирмах. Полную информацию можно получить всего за 15 руб. Как ни странно, но компания МТС предоставила своему партнеру владельцу Интернет-ресурса услугу «короткого номера», позволяющего купить частные сведения. Как указывают эксперты InfoWatch, приватные сведения об абонентах МТС в режиме реального времени утекают у самого оператора сотовой связи, а между тем ему следовало бы позаботиться о защите персональных данных своих клиентов.
Полулегальный проект назван претенциозно «СССР», но расшифровывается эта аббревиатура как Система сервисных справочников России. Найти данные об интересующем лице можно и в Интернете, но информация показывается не полностью видны только первые несколько цифр телефона и первые буквы адреса. Полные данные можно получить только за плату владельцы просят всего 15 руб., или 50 центов. Журналистам удалось обнаружить личные телефоны мэра Москвы и домашние адреса с телефонами президента России в обеих столицах страны. Конечно, когда о торговле конфиденциальными данными стало известно на всю страну, компания МТС тоже обеспокоилась и решила все же провести собственное расследование. Ведь интересно, откуда у посторонних лиц информация об абонентах МТС?