В январе наиболее заметными событиями в сфере информационной безопасности стали: утечка аккаунтов iTunes, которыми пытались торговать на китайском аналоге eBay китайские хакеры, а также крупная утечка номеров кредитных карт клиентов британской косметической компании Lush. Но самым громким инцидентом января, пожалуй, стоит считать появление в общем доступе исходных текстов продуктов компании «Лаборатория Касперского» - пусть, как выяснилось позднее, эти «исходники» и были достаточно старыми.
В феврале крупную утечку данных допустила Идентификационная и паспортная служба Великобритании; также крупным инцидентом стала утечка данных 2,4 тысяч клиентов программы здравоохранения Medi-Cal в США. В целом же, февраль был относительно спокойным месяцем в плане утечек информации.
Зато март оказался «урожайным»: Cord Blood Registry (CBR), крупнейший национальный банк стволовых клеток в США, обнаружил утечку незащищенных персональных данных 300 тысяч клиентов; компания по медицинскому страхованию Health Net пострадала от утечки данных 1,9 миллионов своих клиентов. Также крупную утечку данных допустил американский банк Morgan Stanley – ее размеры так и не были обнародованы, но банк сообщил, что в открытый доступ попала "очень чувствительная информация".
В апреле, к сожалению, утечек данных тоже было достаточно много. Страховая и пенсионная компания Phoenix Ireland сообщила о потере личных данных около 50 тысяч своих нынешних и бывших клиентов. Очень крупной оказалась утечка, допущенная Управлением финансов Техаса, выложившим в открытый доступ данные 3,5 миллионов человек – пожалуй, эта утечка может по праву считаться крупнейшим из инцидентов весны уходящего года. Отделение частной некоммерческой организации Family Planning Council в Филадельфии сообщило также о крупной утечке данных – из компании был украден флэш-накопитель, содержащий личную и медицинскую информацию около 70 тысяч пациентов. Также крупной оказалась утечка адресов электронной почты из службы рассылок Epsilon, но в силу характера утекших данных большого вреда она не нанесла.
Май также принес немало инцидентов. Комиссия по ценным бумагам и биржам США сообщила об утечке личных данных около 4 тысяч своих сотрудников. Утечка данных из банковской системы Австралии стала причиной аннулирования 10 тысяч кредитных карт местных жителей, а медицинская клиника Dunes Family Health Care из американского города Ридспорт сообщила об утечке данных 16 тысяч своих пациентов. Но самой крупной утечкой мая (и всего 2011 года) стал инцидент с участием компании Sony, которая допустила попадание в общий доступ информации о счетах более 100 миллионов человек.
Количество пострадавших от утечек данных в июне, пожалуй, даже превысило аналогичный показатель для весны. Так, например, ноутбук, содержащий записи о 8,63 миллиона пациентов был украден из лондонского отделения Государственной службы здравоохранения Великобритании, а из Института директоров Австралии — ассоциации, объединяющей руководителей различных предприятий и организаций — был украден компьютер с персональными данными примерно 28 тысяч человек. Из-за влома сайта от утечки данных пострадали клиенты компании Sega – эта утечка оказалась очень крупной, поскольку скомпрометировано было 1,3 миллиона учетных записей. Банковская группа Citigroup Inc заявила о хищении хакерами информации о почти 200 тысячах владельцев пластиковых карт банка в Северной Америке. Крупным инцидентом в июне отметилась и Индия ? вся база данных пользователей SoSasta.com (индийский клон Groupon, куплен американской компанией в январе 2011 года) случайно попала в открытый доступ и была проиндексирована Google. База включает в себя почтовые адреса и пароли в открытом виде 204 926 пользователей. В очередной раз пострадала и Sony, на сей раз более 2 миллионов учетных записей «утекли» с SonyPictures.com.
В июле группировка Anonymous опубликовала данные, полученные в результате серии хакерских атак на военного подрядчика Booz Allen Hamilton, включая 90 тысяч почтовых аккаунтов военных. В этом же месяце Рунет всколыхнула история с SMS-сообщениями абонентов компании «Мегафон», попавшими в кэш поисковой системы «Яндекс». Тогда же случился и еще один «поисковый» скандал: поиск «Яндекса» и Google проиндексировал более 50 тысяч страниц с информацией о покупателях онлайн-магазинов. В том числе в Сеть попали сведения о клиентах секс-шопов.
Среди утечек августа первое место по праву можно присудить инциденту с участием компании Epson, который, не будь «100-миллионной» утечки из Sony, мог бы стать крупнейшей утечкой данных в году: злоумышленникам удалось похитить данные учетных записей 35 миллионов клиентов компании. Среди других крупных инцидентов можно упомянуть утечку данных 90 тысяч клиентов японского отделения Citigroup; утечку логинов, паролей и почтовых адресов 15 тысяч пользователей онлайн игры World of Tanks; утечку данных более чем 214 тысяч австрийских телезрителей и радиослушателей из компании GIS; а также попадание в публичный доступ данных более 20 тысяч клиентов и сотрудников медицинской компании Swedish Medical Center. В августе не обошлось без курьезов: из-за утечки информации пострадал... сайт WikiLeaks, специализирующийся на публикации «утекших» конфиденциальных данных.
Сентябрь также принес с собой несколько крупных утечек данных. Так, ведущая компания Южной Кореи по выпуску кредитных карт, Samsung Card Co., стала виновником утечки персональных данных 800 тысяч своих клиентов. Еще 920 тысяч человек пострадали из-за утечки персональных данных, допущенных компанией KOMSCO, также расположенной в Южной Корее. А британский фонд Eastern and Coastal Kent Primary Care Trust, занимающийся обслуживанием инвалидов и пожилых людей в графстве Кент, сообщил о потере диска с персональными данными 1,6 миллиона человек.
В октябре также было несколько утечек-«миллионеров». Во-первых, Science Applications International Corporation (SAIC) потеряла ленту с персональными данными более 5 миллионов американских военнослужащих. Во-вторых, организация Nemours, которая предоставляет медицинские услуги для детей в США, допустила утечку персональных данных 1,6 миллиона своих клиентов и сотрудников. Такое же количество персональных данных «отпустила» в открытый доступ и российская МТС – вернее, данные утекли еще в 2006 году, а в октябре 2011 года были опубликованы на сайте zhiltsy.net. К чести российских регуляторов, сайт успел проработать всего пару недель, после чего его принудительно закрыли.
В ноябре представители организации Sutter Health, которая объединяет несколько медицинских учреждений в США, заявили об утечке личных данных пациентов двух подразделений организации. В результате данного инцидента оказались скомпрометированными данные более 4,2 миллиона пациентов. В этом месяце в рейтинге утечек опять отметились индусы: индийская компания Power Finance Corp допустила утечку личной информации 120 тысяч инвесторов. Личные данные инвесторов PFC были размещены на общедоступном домене корпорации. А обогнала всех по количеству пострадавших в результате утечки Южная Корея, где данные 13,2 миллиона пользователей онлайн-игры Maple Story были украдены в результате хакерской атаки.
Наконец, в декабре произошла утечка данных 6 миллионов пользователей China Software Developer Network, а румынские кардеры похитили номера 80 тысяч банковских карт клиентов Subway. Также достаточно громким стал инцидент в Нью-Йорке, где власти Манхэттена раскрыли огромную сеть из 55 инсайдеров, которых обвиняют в финансовом мошенничестве и краже личных данных. Среди них сотрудники банков и крупных компаний Нью-Йорка, которые, по мнению властей, участвовали в краже более 2 миллионов долларов у сотен американцев.
Как отметил аналитик компании SearchInform Роман Идов, в 2011 году среди крупных утечек преобладали инциденты, связанные с ошибками персонала и недостаточной защищенностью организаций. «Халатное отношение к вопросам обеспечения информационной безопасности сегодня демонстрирует непозволительно большое количество организаций по всему миру», ? считает Идов. – Будем надеяться, что организации России и других стран СНГ, ознакомившись с нашим рейтингом утечек, не захотят попасть в него в 2012 году, и всерьез возьмутся за защиту своей информации».
---------------------------------------------------------------------------------------------------------------------------------
Более подробную информацию Вы можете найти на нашем официальном сайте: www.searchinform.ru, а также обращайтесь к Ольге Салахеевой, руководителю аналитического центра SearchInform, по тел. (+7 495) 721 84 06 и по e-mail: [email protected]