Дайджест событий ИТ-безопасности
«Дисней»: не только мультфильмы, но и утечки
Resona Bank потерял приватные данные почти миллиона клиентов
Утечка финансовой информации из Fidelity National Information Services
Британские хакеры на поверку оказались инсайдерами
Утечка из Milwaukee PC: бизнес на грани краха
Утечка персональных данных вынудила губернатора шт. Огайо побираться
В прошедшем месяце произошел целый ряд значительных инцидентов. Например, крупную утечку персональных данных допустила всемирно известная компания «Дисней». В то же самое время еще одна утечка привела к краху американского интернет-провайдера, тогда как другой инцидент заставил взывать к помощи целый штат Огайо.
«Дисней»: не только мультфильмы, но и утечки
В результате крупной утечки из компании «Дисней» оказались скомпрометированными персональные данные членов Клуба киноманов. Виновник инцидента — контрактник, который украл базу данных клуба. Среди прочей информации инсайдер получил номера кредитных карт. Компания уже уведомила затронутых инцидентом людей, однако число пострадавших не сообщается. Как считают эксперты InfoWatch, убытки членов клуба могут оказаться очень значительными, а масштаб утечки сравним с крупнейшими инцидентами текущего года.
Все это произошло в конце мая в штате Висконсин. Агенты Секретной службы США (US Secret Service) задержали работника фирмы Alta Resources при попытке продать персональные данные граждан. Данная компания в течение уже 10 лет является подрядчиком кинокомпании «Дисней» и обеспечивает обработку платежей по пластиковым картам Клуба киноманов. Как оказалось, 25-летний Дэвид Халтиннер воспользовался служебным доступом и украл базу данных диснеевского клуба. В руки инсайдера попали имена и адреса членов клуба, а также номера пластиковых карт и другие сведения.
Точное число пострадавших от утечки людей ни в «Диснее», ни в Alta Resources не называют, поскольку Секретная служба продолжает расследование инцидента. Однако все, кто оказался под угрозой кражи личности, уже получили почтовые уведомления. Известно, что Клуб киноманов «Диснея» насчитывает около миллиона членов во многих странах. Таким образом, утечка приобрела мировой масштаб.
Представители «Диснея» уже заявили, что инцидент не должен отразиться на взаимоотношениях между компаниями, хотя, очевидно, предстоят крупные траты на ликвидацию последствий утечки. Тем не менее теперь киногигант будет предъявлять более жесткие требования к обеспечению сохранности приватных данных своих подписчиков, и Alta Resources придется использовать системы защиты от внутренних инцидентов.
Эксперты InfoWatch отмечают, что в этом году уже произошло несколько крупных утечек, в том числе кража номеров кредитных карт из TJX Companies, рассмотренная в предыдущих дайджестах. Инцидент с клубными диснеевскими картами может стать в один ряд с ними. Причем люди могут понести даже большие убытки, ведь база данных TJX Companies включала большое число записей о картах, срок действия которых истек, в то время как диснеевские данные являются актуальными.
Resona Bank потерял приватные данные почти миллиона клиентов
В предыдущем инциденте за кадром остался масштаб утечки, а к следующему случаю внимание привлекает именно число пострадавших. Крупный японский банк потерял приватные данные почти миллиона клиентов. Пропали платежные документы и протоколы транзакций банкоматов. Подробности неизвестны, однако эксперты InfoWatch считают, что утечка не является следствием локального инцидента, поскольку пропала информация из 27 филиалов банка.
Интересно, что в прошлом году в Японии дважды происходили утечки из банка Tokyo-Mitsubishi UFJ. В результате последней утечки (октябрь 2006 года) скомпрометированными оказались персональные данные 960 тыс. человек. Новый инцидент, теперь в банке Resona, превзошел прошлогоднюю утечку по числу пострадавших. Банк Resona потерял приватные сведения и информацию о транзакциях 980 тыс. человек.
Пропажу обнаружили еще полгода назад, когда отделения банка начали пересылать годовые отчеты в центры обработки информации в Токио и Осаке. Центральный офис Resona Bank начал расследовать инцидент и лишь к середине лета выяснил, каких же данных не хватает. Это протоколы терминалов и банкоматов, приходные и расходные квитанции, а также налоговые отчисления граждан. Таким образом, пропали имена, номера счетов и детали транзакций клиентов. Всего информации не доставало в 27 филиалах Resona Bank в Токио, Осаке и близлежащих районах.
Аналитический центр InfoWatch отмечает, что проблемы с утечкой обнаружились почти в трех десятках отделений банка, а следовательно, можно утверждать, что банковская система защиты информации в Resona имеет существенные недостатки. Пока не известно, как пропали данные: может быть, их украли в самих филиалах или перехватили при транспортировке. Но не исключено, что виноват кто-то из работников центра обработки, собиравших сведения.
Утечка финансовой информации из Fidelity National Information Services
В результате предыдущей утечки пострадал почти миллион граждан. Казалось бы, куда уж больше? Оказывается, можно и больше. Яркий пример — утечка из американской процессинговой компании Fidelity National Information Services, которая угрожает кражей личности 2,3 млн человек. В инциденте виноват сотрудник компании, который украл электронную базу данных. Предполагается, что инсайдер уже успел продать копии сведений нескольким фирмам. Fidelity National Information Services собирается через суд вернуть информацию и наказать нечестного работника. Как считают эксперты InfoWatch, компании следовало бы проявить подобное рвение в отношении собственных систем безопасности.
Остановимся на подробностях инцидента. Инсайдер из дочерней фирмы Certege украл электронные базы данных. Одна из них содержала информацию о банковских счетах 2,2 млн человек, а другая — данные кредитных карт 99 тыс. клиентов. Компания Fidelity National Information Services возмущена поведением работника. Она уже потребовала через суд прекратить использовать данные и вернуть их владельцу. Следователи подозревают, что некоторые маркетинговые компании могли приобрести у инсайдера украденные базы данных.
В то же время процессинговый гигант должен позаботиться и о пострадавших клиентах. Фирма Fidelity National Information Services разошлет всем уведомления и свяжется с кредитными агентствами по поводу мониторинга счетов людей, что, конечно же, влетит в копеечку.
Как отмечают эксперты InfoWatch, крадут то, что плохо лежит. Это утверждение справедливо и для электронных документов. Fidelity National Information Services не позаботилась об обеспечении безопасности, может быть, просто решив сэкономить на системе защиты от внутренних утечек, за что и поплатилась. А между тем затраты на внедрение уже с лихвой окупились бы. Ведь только на уведомление миллионов потребителей потребуется огромная сумма в десятки миллионов долларов. Естественно, компания пытается перевести стрелки на инсайдера. Но виновата и сама фирма, которая не смогла обеспечить должный уровень безопасности. Остается надеяться, что Fidelity National Information Services сделает из инцидента правильные выводы.
Британские хакеры на поверку оказались инсайдерами
В сфере информационной безопасности принято разделять все угрозы на две группы: внешние и внутренние. Внешние злоумышленники — это хакеры, а внутренние нарушители — инсайдеры. Однако, как считают эксперты InfoWatch, внутренние угрозы все чаще интегрируются с внешними. Например, в Британии накрыли целую группировку инсайдеров. Организовали сеть еще в 1999 году двое лондонских полицейских. Свою деятельность инсайдеры осуществляли под вывеской детективного агентства Hackers Are Us. Эксперты InfoWatch отмечают, что лишь отсутствие систем защиты от утечек могло позволить инсайдерам безнаказанно действовать в течение многих лет.
Лондонские полицейские Джереми Янг и Скотт Джелсторп организовали в 1999 году частное детективное агентство Hackers Are Us. Компания промышляла слежкой, прослушиванием телефонных номеров и взломом электронных систем. Успешную деятельность фирмы пресекло Управление по борьбе с коррупцией лондонской полиции (Metropolitan Police’s Anti-Corruption Command). Расследование дела о бизнес-шпионаже привело сотрудников управления в офис Hackers Are Us. Помощь полиции оказала и British Telecom. Эта компания тоже пострадала от деятельности «Хакеров». Всего по делу Hackers Are Us было арестовано 27 человек.
По мнению аналитического центра InfoWatch, отнюдь не просто выследить собственных сотрудников, которые работают «на сторону». Однако успешная работа Hackers Are Us прекрасно демонстрирует, насколько актуальна проблема внутренних утечек. В условиях противодействия и регулярного обновления комплексов электронной защиты инсайдеры не смогли бы работать так эффективно на протяжении многих лет.
Утечка из Milwaukee PC: бизнес на грани краха
Следующий пример утечки иллюстрирует, как всего один внутренний инцидент может привести к банкротству вполне здоровый и процветающий бизнес. Итак, во время проверки своих серверов работники американского интернет-провайдера Milwaukee PC обнаружили, что файл с номерами кредитных карт клиентов находится в общем доступе. Компания тут же начала уведомлять об инциденте пользователей. Эксперты InfoWatch полагают, что стоило заказать мониторинг счетов пострадавших клиентов, однако Milwaukee PC не готова к таким расходам, ведь это несколько миллионов долларов.
Данные кредитных карт клиентов американского интернет-провайдера Milwaukee PC могут быть скомпрометированы вследствие утечки файла с чувствительной информацией. В настоящий момент Milwaukee PC рассылает 65 тыс. уведомлений клиентам по всей стране. Пользователи услуг Milwaukee PC могут получить консультацию по телефону горячей линии в штаб-квартире фирмы. Кроме того, в письмах компания рекомендует быть бдительными и сообщать в полицию обо всех подозрениях в мошенничестве.
Однако, как считают эксперты InfoWatch, советы советами, но лучше было бы заказать мониторинг счетов. Однако Milwaukee PC не собирается компенсировать пользователям затраты на это. Обычно цена на годовое обслуживание счетов составляет около 120 долл., то есть убытки компании тогда составят около 8 млн долл. В то же время не каждый пользователь заплатит более 100 долл. кредитному агентству, ведь эта сумма сопоставима с годовыми расходами на Интернет. В итоге многие клиенты задумаются о смене провайдера.
Утечка персональных данных вынудила губернатора шт. Огайо побираться
Вследствие утечки может оказаться на коленях не только крупный бизнес, но и целый штат, как это, например, случилось со штатом Огайо. В прошлом месяце в американском городе Колумбус произошла утечка персональных данных госслужащих. Сейчас стали известны новые подробности инцидента. На пропавших кассетах имелись не только номера социального страхования, но и финансовая информация. Служащий потерял резервные ленты с персональными данными 65 тыс. человек.
Стали известны также подробности инцидента. В частности, на ленте, помимо номеров социального страхования, хранились данные о банковских счетах, платежах и другая финансовая информация. Работник объяснил, почему ездил с кассетой: требуется, чтобы резервная копия хранилась отдельно от оригинальных данных, и сотрудник решил, что возить носитель с собой — самый лучший вариант.
По мнению аналитического центра InfoWatch, случай в Колумбусе ярко демонстрирует, насколько серьезны последствия утечек. Даже небедным американским штатам требуется поддержка федерального центра, чтобы рассчитаться только за мониторинг счетов пострадавших. Администрация штата уже запросила у Государственного комитета управления (State Controlling Board) 710 тыс. долл. Разумеется, на этом траты на ликвидацию последствий утечки не закончатся. В Колумбусе уже потратили солидные средства, пока уведомляли людей и организовывали call-центры. И еще немало потратят, ведь только анализ файлов стоит 50 тыс. долл. И столь большие убытки причинил один-единственный сотрудник.