Чуть менее месяца назад мы обнаружили в Dark Web базу данных, содержащую данные учеников, их родителей и учителей из школ округа Леон, штат Флорида. Подробно рассмотрели все эти данные тут: https://www.devicelock.com/ru/blog/utechka-personalnyh-dannyh-uchenikov-i-uchitelej-iz-neskolkih-shkol-floridy.html

А вчера стало известно, что Leon County Schools официально признали утечку и начали внутренее расследование.

Винят во всем подрядчика - Florida Virtual School, который якобы и допустил утечку данных.

Полное официально заявление выглядит так:

"Leon County Schools (LCS) learned of a recent data incident with a third party vendor, Florida Virtual School (FLVS), involving certain staff and student personal information from 2013. Additionally, Florida Virtual School has indicated that other student and teacher records may have been compromised from May 2016 to February 2018.

LCS immediately launched an internal investigation. In addition, we immediately contacted the Florida Department of Law EEnforcement (FDLE) who opened an investigation. Florida Virtual School has contacted the Federal Bureau of Investigation (FBI) who is also conducted an investigation.

Through the efforts of forensic experts, a FLVS misconfigured server was identified as the source of some of this compromised information. The data on this server was from a 2013 partnership between Leon County Schools and UCompass, subsequently purchased by FLVS. From this 2013 partnership, it was identified that some current and former teachers' social security numbers were compromised. LCS has notified those affected current and former employees through traditional mail. While the FBI and FDLE investigations are ongoing, LCS has initiated personal identity protection, inclusive of credit monitoring, immediately for these affected parties.

Forensic experts also identified additional student and teacher information that may have been compromised at FLVS. As required by law, Florida Virtual School has posted information about this data security incident on their website.

Leon County Schools is in the process of directly notifying these teachers and students.
Although the investigations are on-going, we do believe that the scope of the breach may be substantial. We are taking this matter very seriously. We want to assure you that the privacy and security of the information in our care is one of our highest priorities.

#утечка

DeviceLock - ключевой участник ежегодной конференции IDC по информационной безопасности IDC IT Security Roadshow 2018, проходящей 15 марта 2018 г. в Москве.

В рамках конференции IDC IT Security Roadshow у вас будет возможность услышать мнения экспертов по наиболее актуальным вопросам обеспечения информационной безопасности и обсудить интересующие вопросы напрямую с экспертами.

В программе конференции – доклад Сергея Вахонина, директора по решениям Смарт Лайн Инк “Европейский общий регламент по защите данных GDPR и его влияние на российские компании”. Данный регламент вводит значительную ответственность для организаций, достигающую 20 млн.евро, устанавливает жесткие требования к уведомлениям о нарушении защиты персональных данных и вводит концепцию защиты персональных данных как обязательную. Данный закон имеет актуальность и для российских компаний, работающих с европейским рынком – поскольку требования защиты данных, устанавливаемые GDPR, распространяются и на иностранные организации, клиентами которых являются граждане Европейского Союза.

Детальный анализ GDPR и его влияния на ИТ-безопасность при работе с персональными данными уже публикуется в англоязычном блоге DeviceLock (https://www.devicelock.com/blog/), а краткий анализ GDPR и некоторых особенностей обеспечения соответствия требованиям данного закона будет представлен на конференции IDC IT Security Roadshow.

Конференция состоится 15 марта 2018 г. в гостинице Holiday Inn Sokolniki, г.Москва.

Статья с примерами о том, как получить номер телефона, человека, использующего бесплатный вайфай в московском метрополитене.

https://habrahabr.ru/post/351114/

Снова утекли данные американских пациентов.

#безопасность #leak

http://telegra.ph/Medicinskaya-organizaciya-iz-Missuri-obyavlyaet-ob-utechke-dannyh-zatragivayushchej-bolee-30-000-pacientov-03-14

Как сообщает прокуратура Нижегородской области, надзорным ведомством утверждено обвинительное заключение по уголовному делу в отношении бывших сотрудников полиции, которые продавали персональные данные граждан.

По версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска.

По данным ведомства, злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи через интернет неопределенному кругу лиц служебной информации. Эта преступная деятельность подолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.

Вторая по величине утечка, среди всех, связанных с медицинскими данными. 🔥🔥

Затронуты данные 134 512 человек.

#безопасность #leak

http://telegra.ph/Dannye-134-tys-pacientov-postradali-v-rezultate-utechki-iz-centra-hirurgii-v-Nyu-Jorke-03-15

Утечка довольно "забавная" - в Австралии, в дочерней компании логистического гиганта Maersk, на протяжении 11 месяцев, стоял редирект на некоторых аккаунтах электронной почты, и финансовая информация переадресовывалась на внешние адреса.

Всего таким образом ушло около 60 тыс. писем, содержащих информацию о финансах, заработной плате и коммерческих операциях, включая персональные данные половины сотрудников австралийской «дочки».

#безопасность #leak

http://telegra.ph/Utechka-dannyh-sudohodnoj-kompanii-Svitzer-zatronula-personalnye-dannye-pochti-poloviny-avstralijskih-sotrudnikov-kompanii-03-16

В Большесосновской ЦРБ (Прикамье) пациентам вместо туалетной бумаги давали листки учета работы стоматолога с персональными данными больных (Ф.И.О, адрес, диагноз, возраст, дата приема).

В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах.

В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов.

Мы не только пишем про утечки, но и боремся с ними...

Весной 2018 г. компания «Смарт Лайн Инк» планирует выпустить очередную версию своего продукта — DeviceLock DLP Suite 8.3, решения по предотвращению утечек данных с корпоративных компьютеров, а также виртуализованных рабочих сред и приложений Windows. Первая бета-версия была опубликована в канун 2018 г. и доступна для свободного ознакомления. Обзор описывает наиболее интересные новые возможности программного комплекса.

https://www.anti-malware.ru/practice/methods/instant-messengers-data-leakage-protection

Свежее "предложение" с рынка:

Билайн:
Поля: номер, IMSI, IMEI, дата подключения, ФИО, адрес, прописка, паспорт серия номер, ИНН(у некоторых), серийный номер SIM
Кол-во строк: 10 млн
Формат базы: Access
Цена: 60.000р

Теле2:
Поля: номер, ФИО, адрес, домашний номер
Кол-во строк: 1.5 млн
Формат базы: Access
Цена: 30.000р

В начале года, мы делали обзор цен черного рынка на российские персональные данные: https://www.devicelock.com/ru/blog/tseny-chernogo-rynka-chast-2-rossijskie-personalnye-dannye.html

Скоро надо будет делать новый обзор 😎

Продолжаем тему нарушений законодательства о персональных данных и неразглашения медицинской тайны в России.

Центр гемодиализа «ЭМСИПИ-Медикейр» в г. Березники (второй по величине город Пермского края) разместил на стенде в коридоре данные лабораторных исследований, сведения о пациентах и назначенных им медицинских препаратов.

Прокуратура Березников внесла представление директору ООО «ЭМСИПИ-МЕДИКЕЙР» с требованием принять меры к устранению выявленных нарушений.

Все списки были удалены из общего доступа, два должностных лица привлечены к дисциплинарной ответственности.

Вот такую программу (по словам продавцов "с доступом") продают за 30 тыс. рублей. 🔥

Сотрудник администрации Белого Дома Ryan P. McAvoy, оставил бумажку с паролем и логином к почте на ProtonMail на автобусной остановке.

Снова облака.

Снова данные североамериканских покупателей.

Более 1,3 млн. записей. 🔥

#безопасность #leak

http://telegra.ph/Baza-dannyh-s-personalnoj-informaciej-13-milliona-chelovek-najdena-v-obshchedostupnom-hranilishche-Amazon-S3-03-19

В результате утечки пострадало 17 тыс. пользователей онлайн сервиса обмена валюты.

#безопасность #leak

http://telegra.ph/Klienty-Tesco-Travel-Money-postradali-ot-utechki-dannyh-03-20

Более 30 документов спецучреждения, содержащих данные осужденных (ФИО, дата рождения, статья, судимости, ФИО подельников, вредные привычки и т.д.) - были разбросаны в центре Краснодара.

Orbitz внезапно обнаружили, что у них есть старый, заброшенный сервер, а на нем 880 тыс. незащищенных записей с информацией о платежных картах. 🔥

Ну как старый... транзакции были за 2016 и 2017.

#безопасность #leak

http://telegra.ph/Operator-sajta-bronirovaniya-puteshestvij-raskryl-utechku-880-tys-bankovskih-kart-03-21

Снова пострадали клиенты онлайн сервиса выдачи кредитов. 🔥🔥

В прошлый раз это был российский сервис и "благодаря" дыре в вебсайте утекли паспортные данные более 36 тыс. человек.

На этот раз - сервис из Англии и постарадало 66 тыс. клиентов и ровно тажа самая проблема в безопасности вебсайта.

#безопасность #leak

http://telegra.ph/Do-66-tys-klientov-mikrokreditnogo-servisa-postradali-ot-utechki-dannyh-03-22