День дурака в инфобезе: самые глупые инциденты в бизнесе и госсекторе

День дурака в инфобезе: самые глупые инциденты в бизнесе и госсекторе
Номинация «Товар года»

В начале прошлого года правительство Австралии отдало в «секонд хэнд» два шкафа для хранения документов, ключи от которых были утеряны. Новый владелец мебели купил ее за 10 австралийских долларов (около 455 российских рублей) и открыл полки с помощью дрели. Внутри его ждал сюрприз – сотни правительственных документов с грифом «совершенно секретно».

Покупатель поступил честно, когда отдал находку журналистам телеканала ABC , а не иностранным шпионам, например. СМИ мигом растиражировали историю. Из документов можно было узнать о работе пяти ведомств страны – детали контртеррористических операций, планы австралийских военных на Ближнем Востоке, данные о законопроектах.

Через час после публикации документов находку у ABC изъяли, правительство начало срочное расследование. Департамент премьер-министра и кабинет министров взяли на себя ответственность за утерю документов.

Номинация «Снайперская точность»

Финское приложение для фитнеса Polar Flow прославилось в июле 2018 года. Создатели хотели, как лучше, когда решили собрать все маршруты пользователей на одной карте. По задумке это позволяло любителям спорта находить места для пробежек и велопрогулок в своем городе.

Похожая функция есть и у других фитнес-приложений. Разница в том, что Polar Flow позволило видеть чужие маршруты всем пользователям без ограничений. В итоге с помощью приложения журналисты вычислили места тренировок американских военных и агентов ФБР. Доступными для всех оказались и данные их профилей, с помощью которых можно было узнать домашние адреса офицеров и найти их Facebook-страницы.

Когда СМИ написали об утечке персданных, разработчики Polar Flow официально извинились и отключили функцию слежения.

Polar Flow можно наградить и за то, что наступили на «грабли», ведь в 2017 году похожая история приключилась с фитнес-трекером Strava, карта маршрутов которого показывала местоположение секретных военных баз.


Номинация «Верность традициям»

Летом 2018 года секретную документацию ВВС США выставили на продажу на одном из хакерских форумов. За 150-200 долларов желающие могли купить инструкции по обслуживанию ударных дронов MQ-9 Reaper, пособия с описанием тактик по размещению самодельных взрывных устройств, руководство по эксплуатации танка M1 ABRAMS, инструкции по обучению членов экипажа, пособия по выживанию.


Распродажу заметили специалисты по безопасности, которые выяснили у продавца, как он получил доступ к документам. Оказалось, хакер подключился к маршрутизаторам американской авиабазы в Неваде с помощью FTP-пароля по умолчанию. Получив доступ к сети авиабазы, киберпреступник взломал компьютер одного из старших офицеров, откуда выудил информацию.

ИБ-исследователи сообщили об инциденте властям, и те начали расследование. По иронии судьбы офицер, чей компьютер был взломан, недавно прошел курс по кибербезопасности и должен был знать, как предотвратить несанкционированный доступ в систему. Но «бумажная безопасность» процветает повсюду.


Номинация «Сама щедрость»


В 2015 году шведское транспортное агентство (аналог Минтранса) передало специалистам IBM Sweden управление реестром транспортных средств и водительских удостоверений. Отдавая часть задач на аутсорсинг, агентство надеялось сэкономить деньги на оплате труда, поскольку субподрядчики IBM Sweden находились в странах Восточной Европы.

Кроме денег, генеральный директор транспортного агентства хотел сэкономить время. Поэтому проигнорировал меры безопасности и отдал субподрядчикам доступ ко всей информации ведомства. Мол, выбирайте, что вам нужно. В руках IBM Sweden оказались имена агентов спецслужб, сведения о железнодорожной, автомобильной и морской инфраструктуре, подробные персональные данные о каждом водителе Швеции, информация обо всех транспортных средствах, зарегистрированных в стране, включая полицейские и военные машины, а также данные об участниках программы защиты свидетелей.

За грубое нарушение ИБ-правил глава агентства получила увольнение и скромный штраф в 8 500 долларов.


Номинация «Бортовой самозванец»


Житель Подмосковья Тарас Шелест переплюнул героя фильма «Поймай меня, если сможешь». Шелест с детства мечтал быть летчиком, но поступить ни в один авиационный вуз не смог – не набрал баллов. Тогда предприимчивый мужчина купил диплом Санкт-Петербургского университета гражданской авиации и после усиленных тренировок на симуляторах полета устроился в частную компанию стюардом, а после стажировки – вторым пилотом.
Налетав 290 часов, Шелест пришел с резюме в крупную авиакомпанию. Кадровое подразделение без вопросов приняло его документы. Мужчина слыл блестящим работником и наверняка построил бы хорошую карьеру, если бы не досадное происшествие. Шелест воскликнул «Слава Украине!», когда сообщал диспетчеру о заходе в украинское воздушное пространство. И вот тогда служба безопасности заинтересовалась героем. Начала проверку и выяснила, что мужчина в авиационном вузе никогда не учился.

В итоге уголовное дело на горе-пилота возбуждать не стали, наказали только запретом на полеты в России. Пожалели – все-таки летать человек научился хорошо. СМИ сообщают, что после разбирательства Шелеста приняли пилотом в украинские авиалинии.

Напоследок желаем, чтобы в случае любых ИБ-инцидентов в вашей компании последней всегда смеялась служба безопасности.
DLP информационная безопасность премия Дарвина в ИБ утечки информации
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.