МОСКВА, 28 дек — пресс-служба компании "СерчИнформ". В течение года эксперты "СерчИнформ" следили за новостями об утечках и, подводя итоги, собрали самые громкие инциденты.
С инцидентами в области безопасности приходится сталкиваться даже IT-мастодонтам вроде IBM и корпорациям-гигантам вроде Yahoo! Среди причин — старый "человеческий фактор" и новые инсайдерские трюки, непреходящая угроза уязвимости. В 2018 году едва ли станет лучше, поэтому работайте с персоналом, контролируйте активы компаний, просчитывайте риски и совершенствуйте системы безопасности.
По объему скомпрометированных данных
"Матерь всех утечек": в открытом доступе оказались 560 миллионов адресов электронной почты и паролей
О находке в мае 2017 года сообщил Центр изучения безопасности MacKeeper. Упорядоченную и удобную для чтения базу весом 75 гигабайт назвали "матерью всех утечек" из-за данных, которые уже были скомпрометированы ранее. Эксперты установили, что речь идет как минимум о десяти известных утечках данных пользователей MySpace, LinkedIn, Last.fm, Dropbox, Tumblr и других популярных ресурсов.
Персональные данные 198 миллионов избирателей США хранились на "облаке" Amazon в открытом доступе
База размером 1,1 терабайта включала обширные сведения об избирателях для предвыборного штаба Дональда Трампа: их имена и даты рождения, телефоны и домашние адреса, данные о регистрации избирателя и даже религиозные и этнические взгляды. Информация о 198 миллионах граждан — 62% населения США — не была защищена даже паролем. Федеральные власти узнали об уязвимости 12 июня 2017 года, утечку устранили в течение двух суток. Ответственность за инцидент понес один из подрядчиков предвыборного штаба Республиканской партии.
В Индии из государственной системы биометрической идентификации Aadhaar "утекли" уникальные ID-номера 135 миллионов граждан
По кодам из 12 цифр можно было установить имена и фамилии, номера телефонов и адреса проживания, а также реквизиты банковских счетов жертв. Анкеты из крупнейшей в мире базы с биометрической информацией также включали снимки радужной оболочки глаза и отпечатки пальцев. Такой ID-номер используется как удостоверение личности в разных ситуациях, от покупки SIM-карты до оформления госдотаций, поэтому утечка могла обернуться волной создания поддельных личностей. По данным Центра изучения интернета и общества (The Centre for Internet and Society, CIS) причиной утечки не могли стать уязвимость системы или внешняя атака. Ответственность за майский инцидент 2017 года несут чиновники, организующие сбор и обработку персональных данных.
По национальному масштабу
Данные медстраховок всех жителей Австралии выставили на продажу
В июле 2017 года на одном из популярных форумов в даркнете появилось объявление о продаже данных Medicare Australia — системы государственного медицинского страхования. Автор сообщал, что готов передать персональные данные любого австралийца всего за 0,0089 биткоина. По данным Guardian Australia, за 10 месяцев автор объявления продал не менее 75 файлов, информации в которых было достаточно для создания поддельных карт Medicare с реальными данными. Пользователь сообщил журналистам, что пропуском в государственную систему стала ее уязвимость. Однако расследование продолжается.
Базу с данными "почти каждого" жителя Малайзии предложили за один биткоин
В ноябре 2017 года была зафиксирована одна из крупнейших утечек клиентских данных в Азии. База, размещенная в "темном интернете", включала 46,2 миллиона мобильных телефонов и данных SIM-карт, а также домашние адреса и номера ID-карт клиентов минимум 12 местных операторов связи. Для сравнения: население Малайзии едва превышает 31 миллион человек. Министерство связи страны рассматривает несколько возможных источников утечки. В частности, инсайдером мог быть работник подрядчика, который обеспечивал обработку этих данных для Малазийской комиссии по коммуникациям и мультимедиа (МСМС).
Персональные данные миллионов граждан Швеции утекли по вине IT-подрядчика
Государственное транспортное агентство Швеции поручило обслуживание IT-инфраструктуры, включая обработку персданных, корпорации IBM. А те делегировали задачу подрядчикам в Румынии и Чехии. Фотографии, имена и адреса миллионов граждан Швеции утекли уже оттуда. В частности, рассекретились данные о владельцах транспортных средств, принадлежащих полиции и армии, о сотрудниках спецслужб и пилотах ВВС, о подозреваемых в преступлениях и участниках программы защиты свидетелей. Утечку данных обнаружили в 2016 году. По итогам расследования глава агентства получил штраф в 70 тысяч шведских крон (примерно 7,5 тысяч евро) и был уволен. 27 июля 2017 года из-за скандала вокруг утечки постов также лишились министр внутренних дел и министр инфраструктуры.
По величине потерь
Американская розничная сеть Target выплатила 75 миллионов долларов за утечку четырехлетней давности
Шестой по величине ритейлер США оплошал в декабре 2013 года: уязвимость платежных терминалов стала причиной утечки данных 40 миллионов банковских карт. Через месяц количество пострадавших достигло 70 миллионов. Target возместил 39 миллионов долларов банкам, 10 миллионов долларов — жертвам инцидента, 6,75 миллиона долларов — юристам. А в мае 2017 года ритейлер выплатил еще 18,5 миллионов долларов штрафа. Правление компании согласилось на сделку с генеральными прокурорами 47 штатов и округа Колумбия. Сумму штрафных санкций распределили пропорционально между штатами. Итоговая "стоимость" одного инцидента с учетом штрафа достигла 74,75 миллиона долларов. Соглашение Target с властями стало крупнейшей сделкой в новейшей истории США.
Расходы, связанные с утечкой данных кредитного бюро Equifax, превысят 100 миллионов долларов
Мошенники проникли в сеть компании в мае 2017 года и в течение трех месяцев могли беспрепятственно обращаться к личной информации минимум 143 миллионов клиентов. Среди данных фигурировали имена и даты рождения, адреса, номера соцстрахования, а в некоторых случаях, и реквизиты банковских карт. Известно, что утечка произошла в результате внешней атаки, однако злоумышленники использовали уязвимость платформы Apache Struts для создания веб-приложений. Причем, об ошибке было известно за месяц до инцидента. После него команда Hold Security начала изучать другие домены Equifax, в том числе, подразделения в Аргентине. Сократили URL-адрес местной службы по работе с претензиями — и попали на внутренний портал Veraz. Использовали в качестве логина и пароля "admin" и "admin" — и вошли в систему. Таким образом, под угрозой находились номера удостоверений личности минимум 14 тысяч аргентинцев, и потенциально утечка могла коснуться десятков тысяч клиентов. Адвокаты оценили "небрежность" КБИ в 70 миллиардов долларов компенсации. Расследование ведется при участии госорганов на федеральном уровне. Акции компании продолжают дешеветь, чистая прибыль сократилась на 28%. По оценкам компании, расходы с учетом исков и штрафов могут превысить 100 миллионов долларов.
В результате утечек бизнес Yahoo! потерял 87% от своей рыночной стоимости
Решение было принято 30 августа 2017 года в окружном суде Сан-Хосе (штат Калифорния): компания ответит за три масштабные утечки и их сокрытие в течении более трех лет. Первый инцидент произошел в 2013 году — утекло более миллиарда учетных записей. В 2014-м были скомпрометированы данные более 500 миллионов аккаунтов. Третье нарушение произошло в 2015-2016 годах. Вскоре после того, как инциденты получили огласку, Verizon Communications Inc. выкупила интернет-бизнес Yahoo!, сбив цену с 37 миллиардов долларов до 4,76 миллиарда долларов. Но теперь предстоящие судебные тяжбы обещают компании немалые расходы. Адвокат истцов и глава исполнительного комитета, курирующего дело, заявил, что это самое большое нарушение конфиденциальности в истории. В 93-страничном обосновании судебного решения отмечается, что данные некоторых пострадавших уже использовались мошенниками и могут быть использованы в будущем. Из заявлений истцов также следует, что некоторым из них пришлось потратить деньги на защиту личной информации.
Материал публикуется на коммерческих условиях. МИА "Россия сегодня" не несет ответственности за содержание материала. Товары и услуги подлежат обязательной сертификации.
