Дайджест событий ИТ-безопасности
Утечка в Массачусетсе: под угрозой 450 тыс. человек
Спилберг и Коппола пострадали от утечек данных
Утечка из Gap: под угрозой 800 тыс. человек
Российский кардер будет сидеть в тюрьме США
В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных организациях. Так, всемирно известный фармацевтический концерн Pfizer в четвертый раз подряд скомпрометировал приватные данные, а известные на весь мир Стивен Спилберг и Фрэнсис Форд Коппола стали жертвами утечек. Наконец, еще один российский кардер угодил в сети американского правосудия.
Pfizer: история продолжается
Компания Pfizer, «отметившаяся» тремя утечками за летние месяцы, продолжает терять приватные данные собственных сотрудников. Информация об очередном инциденте просочилась в прессу в начале октября. На этот раз причиной утечки стала халатность фирмы Wheels, Inc., предоставлявшей сотрудникам Pfizer услуги по лизингу автомобилей. Специалисты аналитического центра InfoWatch предполагают, что, несмотря на непричастность к инциденту самой компании Pfizer, утечка приведет к серьезным репутационным потерям концерна.
Напомним, что первый инцидент с Pfizer произошел в июне, когда один из сотрудников концерна опубликовал приватные данные 17 тыс. человек в одной из файлообменных сетей. Через месяц концерн объявил о еще одной утечке, случившейся в результате кражи двух ноутбуков. А в конце августа стало известно о третьем случае, из-за которого пострадали 34 тыс. человек. Бывший сотрудник Pfizer незаконно скопировал на собственный компьютер приватную базу данных концерна.
Сведения о четвертом и пока последнем инциденте просочились в прессу в начале октября. Как выяснилось, уже упоминавшаяся компания Wheels, Inc. проводила на собственном сайте опрос среди жен (мужей) служащих Pfizer. В рамках опроса респонденты передавали сайту собственные имена, даты рождения, адреса, а также номера водительских прав. Теоретически передача всех этих данных должна была идти по зашифрованным каналам, но на практике оказалось, что шифрование почему-то было отключено. В результате под угрозой кражи личности оказалось 1800 человек.
Как заявил директор по маркетингу Wheels, Inc. Стрэдфорд Дик (Stratford Dick), утечка обнаружилась благодаря внимательности одного из респондентов, который сообщил авторам опроса об отсутствии шифрования. В настоящее время Wheels, Inc. оповещает всех участников опроса и предлагает им бесплатный двухгодовой пакет услуг по кредитному мониторингу.
Однако, по мнению экспертов InfoWatch, очередная история с Pfizer попахивает какой-то паранойей. Наверное, такие инциденты представляют определенную опасность, но в данном случае этой опасностью вполне можно было бы пренебречь. Сегодня существует достаточное количество сайтов, запрашивающих приватные данные без всякого шифрования. По-видимому, Pfizer уже настолько боится утечек, что подстраховывается по любому значительному и незначительному поводу.
Утечка в Массачусетсе: под угрозой 450 тыс. человек
В начале октября стало известно о серьезной утечке, которая произошла в американском штате Массачусетс (Massachusetts). Местный отдел по выдаче профессиональных лицензий (Division of Professional Licensure, DPL) выслал 28 компьютерных дисков по запросу нескольких компаний. Изначально предполагалось, что на дисках находятся только публичные данные (имена лицензированных специалистов), однако вскоре выяснилось, что вместе с именами на дисках содержались номера социального страхования. По мнению аналитического центра InfoWatch, существует довольно высокий шанс их компрометации.
В общей сложности пострадали 450 тыс. жителей штата. Список профессий, обладатели которых входят (и не входят) в группу риска, приведен на официальном сайте DPL. Отметим, что 26 из 28 дисков уже вернулись в офис DPL, а два оставшихся носителя пока находятся в пути. Несмотря на то что представители DPL не верят в возможность кражи данных, вероятность их незаконного использования существует, поскольку диски провели в местах назначения как минимум несколько дней. Вполне вероятно, что из 23 компаний-адресатов хотя бы одна окажется нечистоплотной.
Официальной причиной утечки является «ошибка в работе программного обеспечения, связанная с модернизацией оборудования». Эксперты InfoWatch предполагают, что под этой формулировкой может скрываться банальная оплошность персонала. «Мы сотрудничаем с консалтинговой компанией в области разработки правил по информационной безопасности. Я уверен, что в будущем таких утечек не произойдет, — отметил представитель штата Кофи Джонс (Kofi Jones). — Каждый получатель посылки подписал письменное заявление о том, что диски не были использованы или даже открыты».
Очевидно, что если бы DPL применял систему защиты от утечек, этого инцидента не произошло бы. Причем не важно, какое происхождение имела бы истинная причина утечки. Хорошо настроенная система заблокировала бы перенос данных на диски, независимо от природы случившейся ошибки.
Спилберг и Коппола пострадали от утечек данных
В подавляющем большинстве случаев жертвами утечек данных становятся рядовые граждане, страдающие от безалаберности различных компаний. С точки зрения аналитического центра InfoWatch, стать жертвой утечки может практически любой человек, независимо от его известности и социального положения. Первая неделя октября только подтвердила эти тезисы — от утечек данных пострадали сразу два голливудских режиссера.
В конце сентября были украдены компьютеры кинокомпании DreamWorks Pictures SKG, снимающей четвертый фильм эпопеи «Приключения Индианы Джонса» (режиссер Стивен Спилберг). На дисках компьютеров находились «конфиденциальные и проприетарные» материалы, связанные с новым блокбастером. Подробности инцидента, а также его причины не сообщаются. Создатели картины предполагают, что злоумышленники могут попробовать продать похищенные данные в прессу. К расследованию кражи уже подключилась полиция Лос-Анджелеса, а также агенты ФБР.
Тем временем еще одной жертвой компьютерных грабителей стал другой известный режиссер — создатель легендарного «Крестного отца» Фрэнсис Форд Коппола. Неизвестные грабители проникли в аргентинскую студию режиссера и вынесли оттуда компьютеры. Самое обидное, что вместе с компьютерами они захватили и некое электронное устройство, которое использовалось для резервного копирования данных. В результате Коппола потерял массу важной информации, свой частный фотоархив и написанные им сценарии.
Сейчас режиссеру больше ничего не остается, кроме как обращаться к грабителям с просьбой вернуть похищенный носитель. «Я потерял 15 лет моей работы», — печально резюмировал Коппола.
По мнению аналитического центра InfoWatch, если бы компания DreamWorks Pictures SKG грамотно шифровала приватные данные, то кража компьютеров не оказалась бы такой опасной. В случае с Копполой ситуация гораздо сложнее. Судя по всему, режиссер проводил резервное копирование данных, однако вместе с его компьютером были похищены и резервные носители. Копполе надо было держать свои данные в географически разнесенных местах.
Утечка из Gap: под угрозой 800 тыс. человек
Американская компания Gap, Inc. (крупнейший производитель и продавец одежды) 28 сентября обнародовала информацию о серьезной утечке данных. В результате кражи ноутбука из кадрового агентства, которое обслуживало Gap, Inc., под угрозой кражи личности оказались 800 тыс. жителей США, Канады и Пуэрто-Рико. По данным аналитического центра InfoWatch, эта кража стала одной из наиболее затратных за всю историю человечества.
В официальном пресс-релизе Gap, Inc. указано, что похищенная информация была незашифрована, а значит, риск ее компрометации достаточно велик. Под угрозой оказались 800 тыс. человек, пытавшихся устроиться на работу в компанию с июля 2006-го по июнь 2007 года. Отметим, что инцидент затронул не всех соискателей работы в Gap, Inc., поскольку компания пользовалась услугами сразу нескольких кадровых агентств. В частности, никак не пострадали люди, желавшие работать в штаб-квартире Gap, Inc.
Подробности кражи, а также название «проштрафившегося» агентства не сообщаются. Известно лишь, что на похищенном компьютере содержались номера социального страхования американских граждан. Жители Канады пострадали меньше — информация о них также была записана, однако она не являлась строго приватной (канадские номера социального страхования отсутствовали).
Компания Gap, Inc. уже предприняла ряд шагов, направленных на минимизацию последствий утечки. Во-первых, был создан специальный сайт, призванный помочь пострадавшим гражданам. Во-вторых, всем жертвам инцидента была предложена услуга бесплатного кредитного мониторинга, а также страхования риска компрометации данных в течение года. В-третьих, пострадавшим уже высылаются уведомления и предоставляется бесплатная телефонная линия для консультаций.
По самым скромным оценкам аналитического центра InfoWatch, ущерб от данной утечки информации составит десятки миллионов долларов. Поэтому совершенно естественно, что компания Gap, Inc. не хочет повторения подобных инцидентов и пересматривает корпоративные политики безопасности. Специалисты компании проводят консультации с провинившимся кадровым агентством, чтобы не допустить подобных утечек в будущем.
Как отмечают эксперты InfoWatch, в этом инциденте многое не ясно. Во-первых, непонятно, как такое огромное количество информации попало на ноутбук. Во-вторых, почему эта информация не была зашифрована? Конечно, можно предположить, что грабитель хотел украсть именно ноутбук, однако теперь он совершенно точно знает, что за информация на нем содержится.
Российский кардер будет сидеть в тюрьме США
Как известно, российские граждане постоянно попадают в скандальные истории, связанные с кражей личности и компрометацией приватных данных. На днях очередной гражданин России — 19-летний Роман Карелов — признал себя виновным в использовании украденной информации в личных целях. Карелов, который в настоящее время находится в Сакраменто (Sacramento), пользовался приватными данными для оформления дорогостоящих покупок в американских интернет-магазинах. Эксперты InfoWatch предполагают, что после «отсидки» в заокеанской тюрьме Карелов тут же будет депортирован на родину.
Согласно данным следствия, Карелов приехал в США в мае прошлого года, получив временную визу на работу и учебу. До вылета в Штаты Карелов связался с другим российским подданным — Алексеем Чугаевым, который уговорил молодого человека участвовать в преступной схеме. Карелов использовал украденную информацию (приватные сведения и номера кредитных карт) для приобретения ноутбуков, ювелирных украшений и других дорогостоящих предметов, которые переправлял в Россию по адресам, контролируемым Чугаевым.
Впоследствии Карелов открыл несколько банковских счетов, куда переводил деньги, снятые с поддельных кредитных карт. В своем чистосердечном признании Карелов указал, что общий ущерб от его преступной деятельности находится в интервале от 200 до 400 тыс. долл. Официальный приговор россиянину будет вынесен в начале декабря.
Согласно американским законам, Карелову угрожает не больше пяти лет лишения свободы. Однако, учитывая чистосердечное признание, а также активную помощь следствию, Карелов вряд ли получит больше двух лет. Кроме того, мошеннику придется заплатить штраф, который составит всего 11 050 долл. Именно такая сумма оказалась у россиянина в момент задержания.
До ареста Карелова американские органы задержали еще одного россиянина, участвовавшего в деятельности группы. 22-летний Радик Низамов уже получил 7 месяцев тюрьмы за соучастие в преступлениях Карелова и Чугаева.
В истории с задержанием Карелова экспертов InfoWatch настораживает следующее обстоятельство. По всей видимости, 19-летний россиянин был всего лишь рядовым исполнителем, который безропотно слушался организатора аферы Чугаева.
Самого Чугаева американские органы не задержали — успел сбежать в Россию. А значит, деятельность преступника может продолжиться и дальше.