Крупнейшие утечки информации 2018

От взломов до халатности сотрудников: крупнейшие утечки информации начала 2018
Автор: Александр Корзников, генеральный директор компании «ЭвриТег»
     
Промышленный шпионаж, хакерство, сливы информации в СМИ давно уже стали бизнесом, и для продажи данных сформировался свой внушительный рынок. По оценкам аналитиков, за 2017 год утекло в 4 раза больше записей, чем за 2016, причем значительная часть этих информационных потерь приходится на крупные и громкие инциденты.
Причин охоты за данными существует немало. Но основных всего две. Во-первых, возросло значение самой информации, так как тиражирование каких-либо важных конфиденциальных документов в социальных сетях создает взрывоподобный эффект. Во-вторых, в мире происходит централизация данных и получение доступа к создаваемым базам позволяет хакерам сорвать джек-пот и получить в свое распоряжение огромное количество записей.
За последние полгода произошли и были раскрыты утечки критически важной информации из корпораций и государственных структур. Сегодня мы расскажем несколько любопытных историй:

1. Руководитель управления Россельхознадзора по Владимирской области подал в отставку из-за утечки служебных документов
     
Когда случился инцидент: декабрь 2017
Когда проходило расследование: февраль 2018
Пострадавшая сторона: управление Россельхознадзора по Владимирской области; PepsiCo
В феврале руководитель ведомства Владимир Нагорный покинул пост после проведенного внутреннего расследования утечки документа, которая произошла в декабре прошлого года. Копию документа с пометкой «для служебного пользования» получили топ-менеджеры PepsiCo, из-за чего компания была обвинена в коммерческом шпионаже. Расследование утечки, тем не менее, показало, что к инциденту причастно управление ведомства по Владимирской области. В связи с этим Владимир Нагорный уволился по собственному желанию, другие сотрудники управления, также работавшие с документом, были отстранены от должности или переведены на другой участок работы.

2. Из Coca-Cola просто вынесли жесткий диск
     
Когда случился инцидент: конец 2017
Когда проходило расследование: декабрь 2017 – май 2018
Пострадавшая сторона: более 8000 сотрудников Coca-Cola
В мае 2018 года была опубликована информация о том, что один из бывших сотрудников Coca-Cola украл личные данные более 10% сотрудников компании. Он просто скопировал их на собственный жесткий диск.
Расследование инцидента длилось более полугода, сейчас корпорация предлагает сотрудникам, чьи личные данные были скомпрометированы, компенсацию в формате годовой подписки на сервис мониторинга персональной информации в корпоративной инфраструктуре.

 
3. Оператор Wi-Fi в московском метро не защищал номера телефонов
             
Когда случился инцидент: 2017 – март 2018
Пострадавшая сторона: примерно 12 млн пользователей, подключавшихся к сети Wi-Fi в московском метро
В марте 2018 года один из программистов обнаружил, что бесплатная сеть MT_FREE, к которой можно подключиться в московском метро, оставляет в открытом доступе номера телефонов всех пользователей, а также историю их запросов. Иначе говоря, брешь в системе безопасности более года позволяла составлять портрет каждого пользователя, зная лишь номер его мобильного телефона.
Теперь оператор шифрует мобильные номера, но более чем 12 миллионов пользователей уже могли быть идентифицированы, а их частное пространство – нарушено.

4. Корпоративный шпионаж в индийской авиакомпании
     
Когда случился инцидент: начало 2018
Когда проходило расследование: февраль 2018 – настоящее время
Пострадавшая сторона: авиакомпания-лоукостер Go-Air
В феврале индийская авиакомпания-лоукостер GoAir обвинила недавно уволившегося управляющего директора Вольфганга Прок-Шауэра (Wolfgang Prock-Schauer) в краже корпоративных тайн. Предприимчивый топ-менеджер перешел на работу в IndiGo, захватив с собой целый набор конфиденциальных документов. В настоящее время идет судебное разбирательство, так как лоукостеру, возможно, был нанесен серьезный ущерб.


5. Медицинские организации выплачивают компенсации и штрафы

Когда случился инцидент: начало 2018
Пострадавшая сторона: несколько сотен тысяч клиентов компании Optical Centre
Ущерб для компании: $300 тыс.
Переход на электронные медицинские карты и перевод конфиденциальной информации в цифровое русло также не всегда проходит безболезненно. В первом полугодии 2018 года произошло сразу несколько крупных скандалов, связанных с утечкой медицинских данных. Все закончилось внушительными штрафами для компаний. Так, буквально пару недель назад французское Управление по защите данных (CNIL) оштрафовало компанию Optical Centre на $300 тысяч за утечку сотен тысяч счетов клиентов, содержавших персональные данные и информацию о здоровье.

Когда случился инцидент: май 2018
Пострадавшая сторона: бывшие сотрудники компании Lincare
Ущерб для компании: $875 тыс.
Другая компания, Lincare, в мае 2018 года начала выплачивать $875 тысяч своим бывшим сотрудникам, пострадавшим от фишинговой атаки. Не слишком бдительный менеджер передал неизвестному данные о налогах и зарплатах работников, а последние – решили подать в суд. Кстати, весьма успешно.
                                   
Когда случился инцидент: начало 2018
Пострадавшая сторона: 3,5 млн граждан Норвегии
Еще стоит отметить крупную утечку в государственной системе медицинского страхования Норвегии. Из информационной системы Юго-Восточной службы здравоохранения страны украли информацию о здоровье трех с лишним миллионов граждан. Норвежское правительство подозревает, что данные могли быть украдены по заказу иностранного государства. Кто бы ни стоял за этим взломом, единой системе хранения медицинской информации в стране уже нанесен репутационный урон.

6. Индийская государственная система идентификации снова открыла данные миллиарда граждан
                   
Когда случился инцидент: февраль 2018
Пострадавшая сторона: более миллиарда жителей Индии
В этом году еще одна национальная система вопреки заверениям должностных лиц оказалась уязвимой. В феврале стало известно о компрометации данных более миллиарда человек. Злоумышленники, личности которых так и не удалось установить, взломали систему национального идентификатора AADHAAR. В результате на черном рынке можно было всего за $8 купить ключ доступа и получить любые данные из архива, исключая только новые записи биометрической информации. И это уже не первая утечка в AADHAAR, что заставляет задуматься при передаче очередной порции данных даже государственным структурам.

7. Facebook снова и снова теряет данные
                                                                       
Когда случился инцидент: март 2018, май 2018, июнь 2018
Пострадавшая сторона: пользователи Facebook, более 87 млн
Ущерб для компании: $40 млрд, 7% рекламы
Ущерб для Марка Цукерберга: $6 млрд
Популярная во всем мире социальная сеть отличилась в 2018 году несколько раз. Сначала появились сообщения о том, что Facebook потеряла данные 87 миллионов пользователей. Виновниками происшествия стали исследователи из Кембриджа, которые изучали профили пользователей. Действуя в научных целях, тем не менее, они передали информацию компании Cambridge Analytica.
Мы не будем говорить о внутренних американских процессах, связанных с этой утечкой, но отметим, что от Facebook ушли десятки крупных рекламодателей. Компания потеряла 40 миллиардов долларов и 7% рекламы, а Марк Цукерберг лично – 6 миллиардов. Впрочем, в конце мая Facebook снова допустила утечку – в этот раз открыв данные приватных разделов своих пользователей. А в начале июня стало известно, что Facebook сотрудничает почти с 60 компаниями — и поставляет пользовательские данные Apple, Amazon, BlackBerry, Microsoft и Samsung. Все эти события продолжают больно бить по кошельку Марка Цукерберга, а пользователи этой весной уже объявили социальной сети бойкот, запустив кампанию #DeleteFacebook.

8. Фитнес-приложения оказались очень уязвимыми
     
Когда случился инцидент: июнь 2018
Пострадавшая сторона: пользователи фитнес-приложения PumpUp
Первая половина 2018 года оказалась плодовитой на утечки в облачных сервисах для фитнеса. Так, в июне из приложения PumpUp были украдены миллионы записей пользователей, включающих в себя частную переписку с тренерами, персональные данные, а иногда – даже незашифрованные платежные данные – вплоть до номеров кредитных карт с кодами CVV.
Когда случился инцидент: март 2018
Пострадавшая сторона: 150 млн пользователей приложения MyFitnessPal
Другой пример – широко освещавшаяся в прессе утечка из MyFitnessPal, которая коснулась 150 миллионов записей клиентов по всему миру. В открытом доступе оказались адреса электронной почты, пароли и логины пользователей системы, а значит – все содержимое их профилей.

9. Кадровая инструкция «Тинькофф банка» оказалась в открытом доступе
     
Когда случился инцидент: июль 2018
Когда проходило расследование: июль 2018
Пострадавшая сторона: «Тинькофф банк»
В начале июля Яндекс проиндексировал Google-документы, из-за чего в открытый доступ попали многие конфиденциальные данные. В их числе оказалась кадровая инструкция «Тинькофф банка». Требования включали в том числе и провокационные запреты принимать на работу уроженцев Кавказа, Азербайджана, представителей негроидной расы, а также «ярко выраженных представителей сексуальных меньшинств». В компании провели расследование, итоги которого показали, что документ действительно составил один из сотрудников «Тинькофф банка». Однако, по заверению пресс-службы компании, содержание документа не имеет ничего общего с реальной кадровой политикой в банке, и цель его составления так и осталось невыясненной.

Как видно, никто не застрахован от возможной утечки данных. Она может произойти как по причине уязвимости в ПО или атаки хакеров, так и из-за действий руководителей и персонала, либо просто уволенного или недовольного сотрудника. Поэтому вопрос защиты конфиденциальной информации в мире централизованных хранилищ и, увы, распространенного пренебрежения безопасностью данных становится все более острым. По этой причине важно не только защищать все каналы распространения информации (от цифрового периметра компании до hard copies документов), но и дополнительно информировать сотрудников о правилах пользования данными и санкциях за нарушение этих правил. Так организации смогут добиться максимальной защищенности всех видов информации и, что немаловажно, сформировать ответственное отношение у своих сотрудников к данным, с которыми они ежедневно работают.
Facebook безопасность вредоносное ПО утечка информации утечка персональных данных уязвимость хакер
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

ЭвриТег

Компания «ЭВРИТЕГ» — российский разработчик комплексных решений в сфере информационной безопасности и управления корпоративным контентом. В блоге мы делимся нашими взглядами на становление рынка информационной безопасности в России, рассказываем о развитии систем защиты от утечек конфиденциальной информации из компаний.