Дайджест событий ИТ-безопасности
Крупнейшая утечка в Германии: потеряны сведения о 17 млн человек
Крупнейшая утечка в Норвегии: пострадали все совершеннолетние граждане страны
Крупнейшая утечка в ОАЭ: под угрозой сотни тысяч человек
Грабитель вынес ноутбук из офиса Национального банка Канады
Розничная сеть узнала об утечке от американских властей
В лаборатории Минобороны США работал сотрудник-клептоман
60-летний мошенник шантажировал Maserati в течение двух недель
Истории болезней американских пациентов нашли в мусорной корзине
За первый месяц осени аналитический центр компании Perimetrix зафиксировал 22 утечки информации, три из которых оказались по-настоящему крупномасштабными. В общей сложности пострадали более 15 млн человек, а совокупный ущерб от зафиксированных утечек превысил 250 млн долл. По-прежнему крайне уязвимой остается сфера образования — треть инцидентов произошла именно в этой области.
Крупнейшая утечка в Германии: потеряны сведения о 17 млн человек
Информация о краже базы данных клиентов немецкого оператора связи Deutsche Telekom была приведена в обзоре немецкой газеты Spiegel в самом начале октября. Официальные представители телекоммуникационной компании подтверждают случившееся, однако подчеркивают, что утраченные записи не содержали финансовой информации клиентов, номеров кредитных карт и детализаций звонков.
Как стало известно сотрудникам компании Perimetrix, Deutsche Telekom оповестил правоохранительные органы о краже еще в 2006 году. Однако широкой общественности инцидент стал известен только сейчас. Представитель прокуратуры Бонна заявил, что носители с украденной информацией были найдены в ряде частных домов. Также были зафиксированы попытки сбыть данные на черном рынке, но покупателя на них, по утверждению прокуратуры, не нашлось. Тем не менее вор пока не пойман.
Представители Deutsche Telekom утверждают, что с момента инцидента компанией предприняты различные меры по усилению информационной безопасности. Были разработаны строгие политики контроля доступа, усовершенствован алгоритм парольной защиты, включены системы мониторинга. При этом так и остается совершенно неясным, почему оператор не счел нужным предпринять все эти меры заранее.
Крупнейшая утечка в Норвегии: пострадали все совершеннолетние граждане страны
Национальная налоговая служба Норвегии по ошибке разослала конфиденциальную информацию 4 млн жителей скандинавской страны. Для государства с общим населением 4,6 млн человек масштаб утечки является просто гигантским, что с неохотой признают представители властей.
Как стало известно компании Perimetrix, речь идет о компакт-диске, копии которого получили девять медиагрупп Норвегии. На диске были записаны сведения о возврате части уплаченных в 2006 году налогов. Эти данные являются публичными в скандинавских странах, однако на злополучном компакт-диске их сопровождали так называемые персональные номера, соответствующие банковским счетам жителей. Эти номера могут быть использованы для несанкционированной оплаты товаров и услуг от имени их непосредственного владельца.
Крупнейшая утечка в ОАЭ: под угрозой сотни тысяч человек
В сентябре стало окончательно ясно, что крупная утечка может произойти практически в любой, даже самой благополучной стране. В Объединенных Арабских Эмиратах неизвестные хакеры взломали межбанковскую систему, обслуживающую банкоматы по всей стране. Была украдена информация, записываемая на магнитной полосе банковских карт, а также карточные пин-коды.
Эксперты аналитического центра Perimetrix предполагают, что полученная мошенниками информация была использована для изготовления поддельных копий банковских карт, осуществления платежей и снятия наличных в банкоматах, расположенных в других странах. Сообщений о том, что опасность несанкционированного доступа к счетам клиентов ликвидирована, на данный момент не поступало.
Название банка, через систему которого была проведена хакерская атака, а также точный масштаб утерянных данных в интересах следствия пока не сообщаются. К расследованию подключены полиция и Центральный банк страны.
На условиях анонимности представитель одного из крупных банков выразил сомнение в том, что действительно имела место атака на компьютерную систему. По его словам, скорее всего, инцидент связан с инсайдером, который на некоторое время получил физический доступ к серверу. Инсайдером вполне мог оказаться инженер, работающий в ИТ-службе банка.
Тем не менее официальные представители банковской сферы признают, что данная утечка является крупнейшей за всю историю страны. Банки ОАЭ уже начали рассылать сотням тысяч своих клиентов текстовые сообщения с просьбой в срочном порядке сменить используемый ими пин-код, а местные эксперты отмечают, что такие действия могут стать поводом для новых афер. В совокупности с несогласованными действиями банков и общей финансовой напряженностью на мировых рынках обстановка в банковской системе ОАЭ вполне может стать еще более тяжелой.
Грабитель вынес ноутбук из офиса Национального банка Канады
В результате вторжения в штаб-квартиру Национального банка Канады (National Bank of Canada, NBC) украден ноутбук, на котором содержалась информация об ипотечных клиентах банка. Кража произошла в пятницу, 19 сентября, в самый разгар рабочего дня. Удивительно, но вору не помешали ни закрытая на замок дверь, ни стальной трос, с помощью которого компьютер был прикреплен к столу.
По данным аналитического центра компании Perimetrix, среди украденной информации не было критичных данных, таких как номера карт социального страхования или номера кредитных карт. В руки к злоумышленникам попали лишь имена, адреса и некоторая техническая информация о счетах ипотечных клиентов. Вместе с тем официальный представитель банка отказался сообщить точную информацию о масштабе утечки, охарактеризовав ее как «очень значительную».
Сотрудники уже разослали оповещения пострадавшим клиентам и заявили о готовности компенсировать возможный ущерб. Служба безопасности банка совместно с правоохранительными органами проводит расследование инцидента.
По мнению ряда местных экспертов, на ноутбуке содержалась лишь минимальная информация о клиентах, которая вряд ли может быть использована в преступных целях. Однако не стоит забывать, что даже незначительные на первый взгляд данные могут применяться для подготовки широкомасштабных афер вместе с информацией, полученной из других источников.
Розничная сеть узнала об утечке от американских властей
Правоохранительные органы США уведомили компанию Forever 21, Inc. о том, что информационная система последней могла быть подвергнута незаконному вторжению. Предполагается, что целью хакерской атаки был доступ к конфиденциальной информации, касающейся платежных карт клиентов. В руки злоумышленников попали номера банковских карт, а также другие конфиденциальные сведения о транзакциях в различных магазинах Forever 21 в марте, июне и июле 2004-го, а также в августе 2007 года. Утечка данных из базы транзакций магазина в калифорнийском городе Фресно происходила в течение более длительного периода: с ноября 2003-го по октябрь 2005 года. На данный момент до конца не ясно, являются ли все перечисленные случаи результатом действий одних и тех же хакеров или же имели место несколько изолированных атак на компьютерную систему компании.
Представители Forever 21, Inc. указывают, что в 2007 года информационная система была сертифицирована на соответствие стандарту PCI DSS, однако после того, как стало известно об инциденте, была дополнительно введена в строй проактивная система защиты и включен регулярный мониторинг на предмет вторжений.
Добавим, что, по сообщению властей США, Forever 21, Inc. является одной из 12 компаний-ритейлеров, пострадавших в результате действий группы лиц из трех человек, обвинения которым в мошенничестве с кредитными картами были предъявлены 5 августа 2008 года в Бостоне.
В лаборатории Минобороны США работал сотрудник-клептоман
Бывший сотрудник исследовательской лаборатории Министерства обороны США (US Naval Research Laboratory) был арестован после того, как у него дома нашли почти 20 тыс. (!) различных компонентов компьютеров. Удивительно, но все они были украдены из военной (!) лаборатории за десять последних лет.
По информации, полученной сотрудниками Perimetrix, 40-летний Виктор Папаньо (Victor Papagno) за период с 1997-го по 2007 год сумел вынести с охраняемой территории военного ведомства более сотни компьютеров, 80 мониторов, 275 мышей, 167 клавиатур и около 5 тыс. носителей с информацией и программным обеспечением — на общую сумму более миллиона долларов. При этом он каким-то образом умудрялся не быть пойманным. Вора выдал звонок жены, которая после его увольнения с работы попросила бывшее руководство вывезти из дома «ненужные рабочие инструменты». Скорее всего, Виктор Папаньо страдает клептоманией.
Что касается возможных утечек, то официальный представитель лаборатории утверждает, что потери значимой информации и технологических секретов не произошло. По его словам, скомпрометированными оказались лишь данные 14 сотрудников лаборатории, которые оповещены об инциденте. Возможно, это действительно так, если Папаньо воровал готовящееся к утилизации «железо». В этом случае данные с жестких дисков удалялись по специальной процедуре.
60-летний мошенник шантажировал Maserati в течение двух недель
Агенты ФБР арестовали 60-летнего американца Брюса Менглера (Bruce Mengler), который пытался шантажировать компанию Maserati North America, Inc., вымогая крупную сумму денег. В случае отказа выплатить «вознаграждение» Менглер угрожал опубликовать информацию об уязвимостях на веб-сервере компании.
Как стало известно специалистам аналитического центра Perimetrix, история началась с рекламной акции Maserati по распространению флайеров на тест-драйв. Желающие должны были зарегистрироваться на сайте Maserati, ввести свое имя, адрес, телефон и уникальный пин-код с обратной стороны флайера.
Менглер, пользуясь методом брутфорса, вычислял пин-коды, а затем загружал на свой компьютер персональную информацию клиентов. После этого по электронной почте он направил в офис Maserati North America, Inc. ряд писем. В своих сообщениях Менглер угрожал придать широкой огласке имеющуюся на сайте уязвимость и передать контакты потенциальных покупателей конкурентам Maserati в случае, если ему не будет выплачена достаточная сумма денег. В качестве доказательства Менглер указывал некоторые из незаконно полученных им данных. Также он утверждал, что разместил на сайте вредоносный код и может в любой момент активировать его. Шантаж продолжался в течение двух недель.
Однако руководство калифорнийского офиса Maserati обратилось за помощью в подразделение ФБР по борьбе с киберпреступлениями, которое провело расследование и задержало преступника.
Истории болезней американских пациентов нашли в мусорной корзине
Прокурор штата Техас Грег Эбботт (Greg Abbott) выдвинул обвинение против компании Treatment Associates of Victoria, Inc., помогающей клиентам справится с наркозависимостью. В обвинении говорится о том, что клиника в своей работе неоднократно нарушала закон штата Техас, регламентирующий защиту конфиденциальной информации пациентов.
Как удалось выяснить сотрудникам компании Perimetrix, обвинение базируется на факте обнаружения в мусорном контейнере документов с конфиденциальной информацией. Скомпрометированными оказались истории болезней, сведения о личной жизни, о привлечении к уголовной ответственности и т.п. Информация касалась не только самих пациентов, но и членов их семей и друзей. При этом носители информации, как бумажные, так и цифровые, не были уничтожены специальным образом и могли попасть в руки к кому угодно.
Если суд признает компанию виновной, то с нее будет взыскан штраф в размере до 50 500 долл. за каждый читаемый документ с конфиденциальной информацией, попавший в мусорный бак. Таким образом, общая сумма штрафных санкций может составить несколько миллионов долларов.