Дайджест событий ИТ-безопасности
Новогодний «подарок» — не только ноутбук, но и персональные данные
Какова эффективность работы GE Money Bank
Непростая судьба британских рекрутов
В Университете Джорджтауна усложнили жизнь студентам
Неизвестные скачали базу данных сотрудников Lexmark
«Подарок» ко Дню святого Валентина
Менеджер «Билайна» сменил полосатый бренд на полосатую форму
Представляем вашему вниманию обзор нескольких ярких инцидентов в области ИТ-безопасности, произошедших за последний месяц. Здесь есть от чего ужаснуться: американский GE Money Bank скомпрометировал номера кредитных карт 650 тыс. человек, а Министерство обороны Великобритании потеряло анкеты 600 тыс. рекрутов. Да и в России неспокойно: менеджеры сотовых операторов пытаются продавать сведения об абонентах.
Новогодний «подарок» — не только ноутбук, но и персональные данные
Хороший подарок получил к Новому году вор из города Ньюарк (шт. Нью-Джерси). Вместе с украденным в первых числах января ноутбуком преступник заполучил персональные данные клиентов организации Horizon Blue Cross Blue Shield of New Jersey (BCBSNJ). Эта компания является крупнейшим страховщиком Нью-Джерси, поэтому располагает огромными базами данных с информацией о жителях штата. В частности, пропавший ноутбук содержал имена, домашние адреса и номера социального страхования примерно 300 тыс. человек.
BCBSNJ попыталась успокоить общественность, заявив, что шанс кражи личности минимален. Ведь ноутбук был защищен паролем, а кроме того, спустя 18 дней после кражи организация запустила процедуру для удаленного уничтожения содержимого компьютера. В аналитическом центре Perimetrix категорически не согласны с пресс-релизом BCBSNJ. Надежность защиты паролем способен опровергнуть любой интернетчик с минимальными навыками работы в поисковиках. Ну а уж процедура удаленного уничтожения не вызывает ничего, кроме смеха. Скрипт сможет выполнить свою задачу, только если подключить в этот момент ноутбук к Интернету и оставить под управлением оригинальной операционной системы.
Какова эффективность работы GE Money Bank
GE Money Bank известен россиянам как организация, активно рекламирующая линейку быстрых потребительских кредитов. Но насколько эффективен бизнес этого банка? Известие из-за океана заставило экспертов компании Perimetrix взяться за калькуляторы. Сколько кредитов нужно выдать в России, чтобы на вырученные деньги окупить убытки, полученные по неосмотрительности американских сотрудников банка?
Из хранилища данных компании пропала резервная лента с персональными данными 650 тыс. человек, клиентов сети J.C. Penney, а также других розничных продавцов. GE Money Bank обслуживал их пластиковые карточки. Значит, новым владельцам кассеты с данными не придется даже подделывать документы. По номерам карточек можно совершать покупки прямо через Интернет.
Разумеется, GE Money Bank пообещал оплатить годовой мониторинг счетов пострадавших от утечки людей. Но каковы убытки! Только собственно мониторинг в одном из крупнейших кредитных бюро обойдется в несколько десятков миллионов долларов. А услуги адвокатов, создание call-центров, ущерб репутации? Счет пойдет на сотни миллионов долларов. Эксперты Perimetrix отложили в сторону калькуляторы и предложили простое, но эффективное средство для защиты хранимых данных — шифрование. Нехитрая процедура помогла бы американскому банку сэкономить фантастическую сумму.
Непростая судьба британских рекрутов
Министерство обороны Великобритании (Ministry of Defence) сообщило об инциденте, который ставит под угрозу около 600 тыс. граждан, вызвавшихся служить в британских вооруженных силах. Подробные анкеты более полумиллиона рекрутов находились на ноутбуке офицера Королевских ВМС. В ночь на 9 января лэптоп с информацией украли из машины, припаркованной на одной из автостоянок Бирмингема.
В электронных документах содержались и паспортные данные, и номера страховок, и результаты медицинского освидетельствования, и информация о членах семей рекрутов. Почему столь важные сведения не были никак защищены, никто в Министерстве обороны пока сказать не может или не хочет. А в аналитическом центре Perimetrix говорят о том, что это еще один пример халатного обращения с конфиденциальной информацией. И в этом случае избежать утечки помогло бы шифрование данных на ноутбуке. Может быть, процедуру сделают обязательной в будущем, а пока отголоски инцидента ударят по карьере ответственных офицеров.
Хакер вторгся в крупную базу данных
В последних числах января стало известно об инциденте в Davidson Companies. Хакер получил доступ к базе данных клиентов компании. Оказались скомпрометированы персональные данные 226 тыс. человек, в том числе их номера социального страхования. Бесплатный мониторинг счетов клиентов должен помочь людям избежать кражи личности. Другие подробности инцидента не разглашаются.
Примечательно, что осенью 2007 года Davidson Companies обратилась за помощью в компанию, работающую в области электронной безопасности. Тогда специалисты сделали вывод, что ресурсы Davidson Companies надежно защищены. Теперь выясняется, что сторонние эксперты ошибались. Как полагают в аналитическом центре Perimetrix, система безопасности Davidson Companies была действительно внушительной. Однако небольшая уязвимость, которой воспользовался хакер, позволила обойти все дорогостоящие средства защиты.
Кто угрожает донорам
Более 300 тыс. американских доноров находятся под угрозой кражи личности из-за инцидента, произошедшего в центре по сбору крови Lifeblood, Mid-South Regional Blood Center. Собственно, инцидентов было два: сначала пропал ноутбук из мобильной станции сбора крови, а затем украли компьютер из штаб-квартиры Lifeblood в Мемфисе. Выяснилось, что на пропавших компьютерах находились сведения о 321 тыс. человек, которые сдавали кровь в медицинском центре с 1990 по 2007 год включительно, а именно: имена, даты рождения, номера социального страхования, номера водительских прав и др.
В настоящий момент организация занимается рассылкой уведомлений доноров об утечке. Письма содержат извинения по поводу инцидента, а также рекомендации, как избежать кражи личности и куда обратиться, чтобы установить наблюдение за своими банковскими счетами. Первые расходы на ликвидацию последствий утечки, по оценкам самой Lifeblood, составляют 200 тыс. долл. Но в организации прекрасно понимают, что основные убытки еще впереди. Эксперты же Perimetrix указывают, что самые неприятные последствия данного инцидента даже не экономические — Lifeblood уже сейчас испытывает трудности с привлечением новых доноров. Вместо требуемых 100 тыс. порций крови станция смогла собрать лишь 60 тыс. Благородное дело на пользу обществу оказалось под угрозой из-за банальной утечки данных.
В Университете Джорджтауна усложнили жизнь студентам
Хорошо ли живется американским студентам в Джорджтауне? По крайней мере, скучать не приходится. То сессия, как всегда, не вовремя, а то и собственный университет в разгар экзаменов устроит дополнительное испытание. После того как пропал жесткий диск с персональными данными, студенты вынуждены заботиться не только о собственной успеваемости, но и о том, как защититься от кражи личности. Ведь Университет Джорджтауна (Georgetown University) не настолько богат, чтобы оплатить всем мониторинг банковских счетов. Зато администрация учебного заведения обратилась в полицию и даже в Секретную службу США (U.S. Secret Service), и теперь эти ведомства совместно расследуют инцидент.
Как сообщила пресс-служба университета, пропал внешний жесткий диск, на который записывалась резервная копия данных о различных платежах, совершаемых студентами во время учебы. Помимо прочего, сведения содержали и номера социального страхования плательщиков. Украденные персональные данные принадлежали 38 тыс. студентов 1998-2006 годов. На вопрос, был ли винчестер зашифрован, вице-президент и руководитель информационной службы университета Дэвид Ламберт (David Lambert) прямо ответил, что подобная процедура не была предусмотрена. Самое интересное, что Ламберт не смог даже сказать, защищался ли жесткий диск паролем. Как отмечают эксперты Perimetrix, данные факты явно указывают на то, что система информационной безопасности, за которую, видимо, отвечает Ламберт, не выдерживает никакой критики.
Неизвестные скачали базу данных сотрудников Lexmark
Компания Lexmark ведет внутреннее расследование по поводу инцидента, случившегося в конце января. Не определенные пока сотрудники разместили базу данных с персональными сведениями бывших и нынешних работников Lexmark на сайте компании безо всякого ограничения доступа. Прежде чем ответственные лица снова спрятали информацию, база данных была скачана с двух внешних IP-адресов. Lexmark попыталась выяснить, кому принадлежали IP, однако местные интернет-провайдеры наотрез отказались разглашать сведения о клиентах. Поэтому компании не оставалось ничего иного, как предложить сотрудникам бесплатный годовой мониторинг счетов и страховку от кражи личности. Как следует из заявления Lexmark, это вполне адекватная и достаточная мера. В аналитическом центре Perimetrix говорят о двух возможных вариантах инцидента. Может быть, это халатные сотрудники Lexmark непреднамеренно положили базу данных в открытый доступ. Однако более вероятен другой вариант: зловредные инсайдеры специально открыли доступ к информации извне, а затем сами с домашних компьютеров скачали сведения.
«Подарок» ко Дню святого Валентина
Сомнительный подарок получили ко Дню святого Валентина пациенты сети американских больниц Tenet Healthcare Corporation. 37 тыс. человек оказались под угрозой кражи личности из-за утечки персональных данных. Чтобы помочь клиентам, корпорация Tenet Healthcare пообещала бесплатный мониторинг банковских счетов в одном из крупнейших кредитных бюро.
Виновником инцидента является бывший работник биллингового центра компании. Именно он украл сведения о пациентах. Имея номера социального страхования и другую чувствительную информацию, инсайдер попытался получить кредитную карточку на чужое имя. Однако бдительный банковский работник заподозрил неладное и обратился в полицию.
Сейчас незадачливый преступник взят под стражу, а бывшие и нынешние пациенты Tenet Healthcare «обрывают» телефоны кредитных бюро. Всех с праздником! Впрочем, эксперты компании Perimetrix настроены оптимистично. Ущерб мог быть в сто раз больше, ведь биллинговый центр, где работал инсайдер, обрабатывает сведения более 4 млн человек, а следовательно, украдено менее 1% персональных данных.
Менеджер «Билайна» сменил полосатый бренд на полосатую форму
В завершение обзора — сообщение о происшествии в Москве. Один из менеджеров компании «ВымпелКом» задержан при передаче сведений об одном из абонентов сотового оператора. Несмотря на неприятный для имиджа компании факт, в «Билайне» согласились прокомментировать инцидент. Оказывается, инсайдера выследили работники собственного подразделения по борьбе с внутренними нарушителями, а задержание производили сотрудники Управления «К». Попавшийся менеджер компании воспользовался служебным положением и скопировал себе информацию о звонках абонента.
Кстати, это далеко не первый случай, когда работников сотовых операторов задерживают за торговлю приватными данными. Например, в 2004 году правоохранительные органы раскрыли группировку инсайдеров, которые продавали информацию об абонентах. Впрочем, несмотря на это, целые базы данных с учетными сведениями мобильных абонентов периодически появляются в продаже.
Аналитики компании Perimetrix положительно оценивают инициативу «Билайна». Во-первых, компания не поскупилась создать целое подразделение по борьбе с внутренними нарушителями. Во-вторых, признает факты утечки приватных данных, а также сообщает о проводимых мерах по защите от утечек. Налицо забота о клиентах и о собственном бизнесе!