Крупнейшие случаи утечки данных 2010 года
Все самые значительные случаи утечки данных и кражи компьютерной информации в прошлом году происходили с использованием хорошо известных, можно сказать, "классических" дыр и уязвимостей в системах безопасности. Навряд ли найдется такая компания или организация, которая захочет занять лидирующие позиции в этом рейтинге, наоборот, многие потратили значительные суммы, чтобы избежать такой славы. И тем не менее, продолжают появляться сообщения о новых и новых случаях кражи данных и утечки информации, хранимой на компьютерах. За 2010 год Identity Theft Resource Center собрал информацию о 662 подобных инцидентах, в результате которых было похищено в общей сложности более 16 миллионов записей. Identity Theft Resource Center (ITRC) начал работать в 1999 году, является некоммерческой организацией, которая занимается исключительно вопросами профилактики и предотвращения кражи личных данных в сети Интернет. ITRC обеспечивает поддержку жертв подобных преступлений, а также информирование и образование пользователей в этом направлении. ITRC консультирует различные государственные учреждения, законодателей, правоохранительные органы и представителей бизнеса по проблемам, связанным с кражей личных данных.
Кстати, по итогам 2009 года первое место заняла компания Heartland, потеряв 130 млн записей в одной атаке на базу данных SQL. На первый взгляд, эта цифра выглядят весьма внушительно. Но многие преступления в области безопасности хранения данных просто нигде не регистрируются, даже намеренно скрываются, а в тех случаях, которые стали достоянием гласности, жертва, как правило, старается рассказать только часть истории. Так кого же мы увидим в десятке героев самых крупных утечек информации за прошлый год?
10. Affinity Health Plan
29 процентов нарушений успешно отслеживаются ITRC и были раскрыты благодаря законодательным актам об отчетности. Например, утечка 409 тысяч записей из национальной программы здравоохранения Affinity Health вскрылась после сравнения отчетов Департамента Здравоохранения и Департамента Социальных Услуг. Это объясняет, почему определенные отрасли (здравоохранение, финансы) имеют значительное представительство в нашем списке. Но не означает, что в других отраслях никаких нарушений в области надежного хранения данных нет, о них просто не сообщается. В случае с Affinity утечка произошла при возврате на склад цифрового копира без обязательной процедуры очистки встроенного жесткого диска - утечки такого характера многие компании даже не замечают.
9. WellPoint / Anthem BlueCross
Практически каждый день мы узнаем о появлении новых видов высокотехнологичных угроз в области компьютерной безопасности, но многие случаи хищения данных реализуются с использованием старомодных способов взлома, например таких, как несложные манипуляции с URL. Согласно иску штата Индиана к страховой компании WellPoint / Anthem, ответчику не удалось организовать должным образом систему безопасности при хранении персональных данных своих клиентов. Брешь на сайте компании появилась после очередного обновления онлайн-формы подачи заявлений по страхованию. В результате незначительного изменения URL можно было получить доступ к персональным данным 470 тысяч заявителей, которых не уведомили об этом даже в течение трех месяцев после того, как утечка была обнаружена. Преднамеренная задержка в уведомлении клиентов стала дополнительным пунктом обвинения судебного иска.
8. Citigroup
Причиной многих нарушений в сфере сохранности персональных данных по-прежнему является человеческий фактор, необдуманные действия или элементарные ошибки сотрудников некоторых компаний. Например, компанией CitiGroup по почте были разосланы приблизительно 600 тысяч налоговых документов, а на внешней стороне каждого конверта вместе с именем и адресом получателя были напечатаны номера социального страхования. Подобная корреспонденция рассылается ежегодно многими компаниями, но даже с учетом того, что номера социального страхования были напечатаны таким образом, что напоминали почтовые индексы и, возможно, этот случай не привел к фактической краже идентификаторов, это показывает, как даже серьезные и уважаемые компании, с тщательно отработанным и строгим процессом обработки данных, могут подпортить себе репутацию.
7. Университет штата Огайо
Примерно 10 процентов случаев утечки данных приходится на учебные заведения. В конце октября системные администраторы университета обнаружили подозрительную активность на сервере, где хранятся имена, номера социального страхования, даты рождения, адреса - вся информация о 760 тысячах нынешних и бывших студентов, преподавателей, сотрудников, консультантов и внештатных работников. Служебное расследование подтвердило факт несанкционированного доступа, но свидетельств кражи данных не нашли. Скорее всего, хакеры, как полагают, использовали университетский сервер для запуска атак против других сетевых ресурсов. Итак, почему это нарушение привлекло внимание ITRC и попало в наш список? Все данные, которые были размещены на этом сервере, не были защищены шифрованием.
6. South Shore Hospital
Администрация больницы South Shore хотела бы поскорее забыть об этом случае с утерей старых магнитных лент. Ведь на носителях хранилось около 800 тысяч записей с персональной и финансовой информацией, данными о состоянии здоровья пациентов, поставщиков, деловых партнеров, сотрудников и даже волонтеров, работавших или когда-либо поправлявших здоровье в этой больнице. Магнитные ленты были списаны и успешно переданы компании Archive Data Solutions (ранее Iron Mountain) для утилизации, но исполнитель столь ответственной работы выбрал нового субподрядчика — фирму, которая находилась на значительном географическом удалении, и три коробки с лентами были просто потеряны в процессе передачи и транспортировки. Мораль: безопасное уничтожение старых данных имеет такую же степень важности и ответственности, как и безопасное хранение актуальной информации.
5. Lincoln National Financial Securities
К системе управления и хранения паролей следует относиться с особым вниманием. Мало того, что Национальный центр Финансовой Безопасности имени Линкольна по ошибке опубликовал имя пользователя и пароль для доступа к важной информации в брошюре, размещенной на общедоступном веб-сайте, но у сотрудников головного офиса и филиалов центра обнаружилась не очень хорошая привычка использовать одни и те же имена и пароли пользователей. К сожалению, ставший достоянием общественности пароль давал возможность доступа к базе данных, которая содержала персональную информацию 1,2 миллиона клиентов центра. Этот единственный инцидент сделал возможной утечку такого количества персональных данных, которого не смогла собрать тайная работа по хищению информации всех инсайдеров США за 2010 год (правда, большинство инсайдерских утечек зарегистрированы с "неизвестным" числом похищенных записей). Только 51 процент всех нарушений этого раздела, зафиксированных в отчетном докладе ITRC, содержит количественную информацию, что затрудняет оценку их тяжести.
4. AvMed Health Plans
Два ноутбука были украдены из офиса корпорации AvMed в феврале 2010 года. По результатам расследования было установлено что информация, которая содержалась на диске одного из ноутбуков, возможно, не была защищена должным образом, этот факт поставил нынешних и бывших абонентов и членов их семей под угрозу кражи личных данных. Нарушение первоначально оценивалось в 200 тысяч записей, затем показатель ущерба был пересмотрен и достиг 1,2 млн человек. Этот случай является прекрасной иллюстрацией для оценки стоимости аппаратного и программного обеспечения для шифрования информации, которую содержит ноутбук - и возможности предоставить доказательства наличия шифрования после утери этого ноутбука. Утечка почти 7 миллионов записей только в прошлом году произошла из-за потери, кражи или с выброшенными портативными устройствами.
3. Gawker
В декабре хакер по имени Gnosis взломал базу данных популярной американской блогосферы Gawker (Зеваки), выложив в свободном сетевом доступе около 1,3 млн электронных адресов пользователей. Мало того, что были опубликованы более 250 тысяч взломанных паролей, Gnosis любезно предоставил ссылку, по которой любой желающий мог скачать всю MD5 базу данных хэшированных паролей "Зевак". Вскоре после этого другой хакер, HD Moore, разместил в Сети инструкцию о том, как проверить, содержит ли база данных какой-либо пароль, а также статистику самых часто употребляемых паролей (бесспорный победитель — "123456"). Хотя похищенная информация и не содержала номеров карточек социального страхования или финансовой информации, последствия этой кражи могут быть гораздо серьезнее в связи с общей практикой использования одинаковых паролей для доступа к веб- сайтам, электронной почте и банковским сервисам.
2. Educational Credit Management Corp
В сейфах, украденных в этой фирме, занимающейся кредитованием обучения студентов, держали портативные носители информации, на которых хранились личные данные 3,3 млн человек. Украденные вещи удалось вернуть вскоре после кражи, но им пришлось провести несколько недель в комнате хранения вещественных доказательств полиции. Что мы можем извлечь из этого нарушения? Не стоит полагаться на физические носители информации - данные, записанные на компактную флэшку, также можно и необходимо шифровать.
И, наконец, первое место нашего рейтинга.
1. Netflix
Американская компания Netflix - поставщик технологий для работы с потоковым мультимедиа. Согласно иску, который был подан в январе 2010 года, "Netflix совершила крупнейшее в истории США нарушение неприкосновенности частной жизни на сегодняшний день", когда предоставила базу данных, содержащую информацию более чем о сотне миллионов своих абонентов, участвовавших в составлении рейтинга фильмов и подсчете статистики зрительских симпатий и предпочтений - участникам проводимого компанией конкурса. Netflix утверждает, что проводимые опросы были анонимными и не содержали имена подписчиков или другую личную информацию. Тем не менее, истец заявляет, что исследователи инцидента смогли успешно взломать процесс анонимизации Netflix, чтобы идентифицировать абонентов.
Кстати, ITRC не рассматривает этот инцидент как нарушение. Тем не менее, другая некоммерческая организация, которая стоит на защите прав потребителей - Privacy Rights Clearinghouse, видит нарушение и выступает в суде в качестве истца. Этот инцидент показывает, что деликатность и важность личных данных может проявляться в различной степени и во многих формах. Даже потерпевшие могут иметь отличные точки зрения на степень риска и серьезность последствий утечки персональной информации.
Что нового мы узнали из этого рейтинга? Удивительно, но лишь некоторые из крупных инцидентов связаны с применением модных новых технологий. Подавляющее большинство же составляют давно ставшие классическими, описанные во всех учебниках способы взлома, элементарные упущения и прямое неисполнение рекомендаций по обеспечению безопасности или ошибки в политике безопасности.
Новые технологии открывают новые возможности для укрепления безопасности хранения и передачи данных, в сетевые устройства и приложения закладываются основы безопасности уже при их создании и разработке. Но мы все еще нуждаемся в соблюдении старых, хорошо знакомых каждому правил, чтобы избежать утечки данных и неприятных последствий.
Игорь Грень
Кстати, по итогам 2009 года первое место заняла компания Heartland, потеряв 130 млн записей в одной атаке на базу данных SQL. На первый взгляд, эта цифра выглядят весьма внушительно. Но многие преступления в области безопасности хранения данных просто нигде не регистрируются, даже намеренно скрываются, а в тех случаях, которые стали достоянием гласности, жертва, как правило, старается рассказать только часть истории. Так кого же мы увидим в десятке героев самых крупных утечек информации за прошлый год?
10. Affinity Health Plan
29 процентов нарушений успешно отслеживаются ITRC и были раскрыты благодаря законодательным актам об отчетности. Например, утечка 409 тысяч записей из национальной программы здравоохранения Affinity Health вскрылась после сравнения отчетов Департамента Здравоохранения и Департамента Социальных Услуг. Это объясняет, почему определенные отрасли (здравоохранение, финансы) имеют значительное представительство в нашем списке. Но не означает, что в других отраслях никаких нарушений в области надежного хранения данных нет, о них просто не сообщается. В случае с Affinity утечка произошла при возврате на склад цифрового копира без обязательной процедуры очистки встроенного жесткого диска - утечки такого характера многие компании даже не замечают.
9. WellPoint / Anthem BlueCross
Практически каждый день мы узнаем о появлении новых видов высокотехнологичных угроз в области компьютерной безопасности, но многие случаи хищения данных реализуются с использованием старомодных способов взлома, например таких, как несложные манипуляции с URL. Согласно иску штата Индиана к страховой компании WellPoint / Anthem, ответчику не удалось организовать должным образом систему безопасности при хранении персональных данных своих клиентов. Брешь на сайте компании появилась после очередного обновления онлайн-формы подачи заявлений по страхованию. В результате незначительного изменения URL можно было получить доступ к персональным данным 470 тысяч заявителей, которых не уведомили об этом даже в течение трех месяцев после того, как утечка была обнаружена. Преднамеренная задержка в уведомлении клиентов стала дополнительным пунктом обвинения судебного иска.
8. Citigroup
Причиной многих нарушений в сфере сохранности персональных данных по-прежнему является человеческий фактор, необдуманные действия или элементарные ошибки сотрудников некоторых компаний. Например, компанией CitiGroup по почте были разосланы приблизительно 600 тысяч налоговых документов, а на внешней стороне каждого конверта вместе с именем и адресом получателя были напечатаны номера социального страхования. Подобная корреспонденция рассылается ежегодно многими компаниями, но даже с учетом того, что номера социального страхования были напечатаны таким образом, что напоминали почтовые индексы и, возможно, этот случай не привел к фактической краже идентификаторов, это показывает, как даже серьезные и уважаемые компании, с тщательно отработанным и строгим процессом обработки данных, могут подпортить себе репутацию.
7. Университет штата Огайо
Примерно 10 процентов случаев утечки данных приходится на учебные заведения. В конце октября системные администраторы университета обнаружили подозрительную активность на сервере, где хранятся имена, номера социального страхования, даты рождения, адреса - вся информация о 760 тысячах нынешних и бывших студентов, преподавателей, сотрудников, консультантов и внештатных работников. Служебное расследование подтвердило факт несанкционированного доступа, но свидетельств кражи данных не нашли. Скорее всего, хакеры, как полагают, использовали университетский сервер для запуска атак против других сетевых ресурсов. Итак, почему это нарушение привлекло внимание ITRC и попало в наш список? Все данные, которые были размещены на этом сервере, не были защищены шифрованием.
6. South Shore Hospital
Администрация больницы South Shore хотела бы поскорее забыть об этом случае с утерей старых магнитных лент. Ведь на носителях хранилось около 800 тысяч записей с персональной и финансовой информацией, данными о состоянии здоровья пациентов, поставщиков, деловых партнеров, сотрудников и даже волонтеров, работавших или когда-либо поправлявших здоровье в этой больнице. Магнитные ленты были списаны и успешно переданы компании Archive Data Solutions (ранее Iron Mountain) для утилизации, но исполнитель столь ответственной работы выбрал нового субподрядчика — фирму, которая находилась на значительном географическом удалении, и три коробки с лентами были просто потеряны в процессе передачи и транспортировки. Мораль: безопасное уничтожение старых данных имеет такую же степень важности и ответственности, как и безопасное хранение актуальной информации.
5. Lincoln National Financial Securities
К системе управления и хранения паролей следует относиться с особым вниманием. Мало того, что Национальный центр Финансовой Безопасности имени Линкольна по ошибке опубликовал имя пользователя и пароль для доступа к важной информации в брошюре, размещенной на общедоступном веб-сайте, но у сотрудников головного офиса и филиалов центра обнаружилась не очень хорошая привычка использовать одни и те же имена и пароли пользователей. К сожалению, ставший достоянием общественности пароль давал возможность доступа к базе данных, которая содержала персональную информацию 1,2 миллиона клиентов центра. Этот единственный инцидент сделал возможной утечку такого количества персональных данных, которого не смогла собрать тайная работа по хищению информации всех инсайдеров США за 2010 год (правда, большинство инсайдерских утечек зарегистрированы с "неизвестным" числом похищенных записей). Только 51 процент всех нарушений этого раздела, зафиксированных в отчетном докладе ITRC, содержит количественную информацию, что затрудняет оценку их тяжести.
4. AvMed Health Plans
Два ноутбука были украдены из офиса корпорации AvMed в феврале 2010 года. По результатам расследования было установлено что информация, которая содержалась на диске одного из ноутбуков, возможно, не была защищена должным образом, этот факт поставил нынешних и бывших абонентов и членов их семей под угрозу кражи личных данных. Нарушение первоначально оценивалось в 200 тысяч записей, затем показатель ущерба был пересмотрен и достиг 1,2 млн человек. Этот случай является прекрасной иллюстрацией для оценки стоимости аппаратного и программного обеспечения для шифрования информации, которую содержит ноутбук - и возможности предоставить доказательства наличия шифрования после утери этого ноутбука. Утечка почти 7 миллионов записей только в прошлом году произошла из-за потери, кражи или с выброшенными портативными устройствами.
3. Gawker
В декабре хакер по имени Gnosis взломал базу данных популярной американской блогосферы Gawker (Зеваки), выложив в свободном сетевом доступе около 1,3 млн электронных адресов пользователей. Мало того, что были опубликованы более 250 тысяч взломанных паролей, Gnosis любезно предоставил ссылку, по которой любой желающий мог скачать всю MD5 базу данных хэшированных паролей "Зевак". Вскоре после этого другой хакер, HD Moore, разместил в Сети инструкцию о том, как проверить, содержит ли база данных какой-либо пароль, а также статистику самых часто употребляемых паролей (бесспорный победитель — "123456"). Хотя похищенная информация и не содержала номеров карточек социального страхования или финансовой информации, последствия этой кражи могут быть гораздо серьезнее в связи с общей практикой использования одинаковых паролей для доступа к веб- сайтам, электронной почте и банковским сервисам.
2. Educational Credit Management Corp
В сейфах, украденных в этой фирме, занимающейся кредитованием обучения студентов, держали портативные носители информации, на которых хранились личные данные 3,3 млн человек. Украденные вещи удалось вернуть вскоре после кражи, но им пришлось провести несколько недель в комнате хранения вещественных доказательств полиции. Что мы можем извлечь из этого нарушения? Не стоит полагаться на физические носители информации - данные, записанные на компактную флэшку, также можно и необходимо шифровать.
И, наконец, первое место нашего рейтинга.
1. Netflix
Американская компания Netflix - поставщик технологий для работы с потоковым мультимедиа. Согласно иску, который был подан в январе 2010 года, "Netflix совершила крупнейшее в истории США нарушение неприкосновенности частной жизни на сегодняшний день", когда предоставила базу данных, содержащую информацию более чем о сотне миллионов своих абонентов, участвовавших в составлении рейтинга фильмов и подсчете статистики зрительских симпатий и предпочтений - участникам проводимого компанией конкурса. Netflix утверждает, что проводимые опросы были анонимными и не содержали имена подписчиков или другую личную информацию. Тем не менее, истец заявляет, что исследователи инцидента смогли успешно взломать процесс анонимизации Netflix, чтобы идентифицировать абонентов.
Кстати, ITRC не рассматривает этот инцидент как нарушение. Тем не менее, другая некоммерческая организация, которая стоит на защите прав потребителей - Privacy Rights Clearinghouse, видит нарушение и выступает в суде в качестве истца. Этот инцидент показывает, что деликатность и важность личных данных может проявляться в различной степени и во многих формах. Даже потерпевшие могут иметь отличные точки зрения на степень риска и серьезность последствий утечки персональной информации.
Что нового мы узнали из этого рейтинга? Удивительно, но лишь некоторые из крупных инцидентов связаны с применением модных новых технологий. Подавляющее большинство же составляют давно ставшие классическими, описанные во всех учебниках способы взлома, элементарные упущения и прямое неисполнение рекомендаций по обеспечению безопасности или ошибки в политике безопасности.
Новые технологии открывают новые возможности для укрепления безопасности хранения и передачи данных, в сетевые устройства и приложения закладываются основы безопасности уже при их создании и разработке. Но мы все еще нуждаемся в соблюдении старых, хорошо знакомых каждому правил, чтобы избежать утечки данных и неприятных последствий.
Игорь Грень
Компьютерная газета. Статья была опубликована в номере 39 за 2011 год в рубрике безопасность