Инцидентов, связанных с утерей, разглашением, кражей или случайной
публикацией важнейшей информации в 2009 году произошло немало. Единственное, что
может хоть как-то утешить специалистов в области безопасности, это осознание
того, что большая часть подобных случаев произошла по недосмотру или вследствие
несоблюдения самых простых правил обеспечения безопасности.
Компании продолжили терять ноутбуки, оставлять непропатченными критические
уязвимости, проявлять небрежность и демонстрировать отсутствие надлежащего
контроля за собственными сотрудниками. Значительная часть утечек, имевших место
за минувшие 12 месяцев, произошла именно из-за невнимательности, а не в
результате проведения каких-то особо хитроумных хакерских атак или же применения
устрашающих своей эффективностью методов взлома.
Вот перечень пяти самых заметных случаев утечки данных, произошедших в
нынешнем году исключительно из-за халатности:
Управление транспортной безопасности США: уроки редактирования
В начале декабря Управление транспортной безопасности США случайно
опубликовало на официальном правительственном веб-сайте 93-страничное
руководство, в котором подробно рассказало обо всех процедурах досмотра
пассажиров, предусмотренных в американских аэропортах.
В числе просочившихся в открытый доступ данных были сведения о технологиях
обнаружения взрывчатых веществ, техническая информация, а также данные об
особенностях таможенного досмотра дипломатов и агентов спецслужб. Утечка была
признана угрожающей национальной безопасности США, по этому делу инициировано
специальное расследование.
Heartland Payment Systems: крупнейшая в истории утечка данных кредитных
карт
Из-за наличия уязвимостей к SQL-инъекциям, компьютерная сеть крупнейшего
платежного оператора Heartland Payment Systems была взломана хакерами, что
позволило им в течение нескольких месяцев выкрасть данные о 130 миллионах
кредитных и дебетовых карт. Эта утечка стала крупнейшей за всю историю отрасли.
Health Net: запоздавшее уведомление
Медицинская компания Health Net получила скандальную известность из-за того,
что в течение полугода скрывала от своих клиентов и властей информацию о том,
что ею был утерян жесткий диск, содержавший информацию о полутора миллионах
пациентов. Среди утерянной информации значились как чисто медицинские записи,
так и адреса, телефоны и номера карт социального страхования клиентов компании
из нескольких американских штатов.
Управление правительственной печати США: публикация ядерных секретов
Управление правительственной печати США по недомыслию опубликовало на своем
сайте официальный отчет, содержащий информацию о сотнях гражданских ядерных
объектов, расположенных на территории страны. Стоит подчеркнуть, что гриф
“высокой конфиденциальности” на этот документ был наложен президентом США лично.
RockYou: 32 миллиона незашифрованных паролей
На прошлой неделе по вине компании RockYou, разработчика приложений для
социальных сетей, были скомпрометированы данные авторизации 32 миллионов
зарегистрированных пользователей. Масштабы утечки потрясают сами по себе, однако
наиболее удивительным является тот факт, что все эти имена и пароли хранились у
разработчика в незашифрованном виде.
Учитывая, что RockYou требует от пользователей указывать при регистрации их
электронный почтовый ящик, легко предположить, что в настоящее время взломщик
имеет на руках все данные, необходимые для доступа к миллионам аккаунтов
электронной почты.