Проблема инсайдеров, как злонамеренных, так и не имеющих изначально злого умысла, давно является ключевой проблемой информационной безопасности любой организации. За последнее время мы имеем массу примеров «работы» инсайдеров. 😎

На этот раз сотрудник компании, специализирующейся на программном обеспечении для распознавания речи, получил несанкционированный доступ к серверу одной из платформ для ведения медицинских записей, что привело к утечке 45 тыс. записей с персональными данными пациентов. 🙈

#безопасность #leak

https://vk.com/@dataleakage-utechka-dannyh-iz-nuance-communications-blagodarya-insaideru

Видимо немецкое подразделение Zyxel яростно готовится к вступлению в полную силу нового европейского закона GDPR.

Иначе как еще можно объяснить то, что они на своем сервере хранили записанные разговоры клиентов в совершенно открытом виде? 😂

Более 21 тыс. файлов с середины ноября 2017 года по сегодняшний день! 🙈🙈🙈

#безопасность #leak

https://vk.com/@dataleakage-nemeckoe-podrazdelenie-kompanii-zyxel-hranilo-bolee-21-tys-t

Про GDPR мы писали тут: www.devicelock.com/ru/blog/10-podskazok-pro-gdpr.html 😎

Жесткий диск с некими внутренними корпоративными данными, принадлежащими музыкальному стриминговому сервису Tidal, попали в руки норвежских журналистов.

После изучения этих данных, журналисты пришли к выводу, что Tidal завышает количество своих подписчиков и общее число пользователей, прослушавших эксклюзивные треки (речь идет об эксклюзивных треках «Lemonade» от Beyonce и «Life of Pablo» от Kanye West).

Сервис сейчас проводит внутреннее расследование, пытаясь выяснить каким образом внутренние данные утекли из компании.

#безопасность #leak

Более 2.5 тыс. логинов и текстовых паролей нынешних и бывших студентов, а также сотрудников Университета Буффало (штат Нью Йорк, США) появилось в открытом доступе.

Судя по всему, это произошло из-за фишинговой атаки – пользователи сами вводили свои учетные данные на стороннем сайте.

База данных из более чем 200 млн. записей с персональными данными японцев обнаружена в продаже на китайском черном рынке. Всего в Японии проживает около 127 млн. человек.

База данных скомпилирована из различных источников (до 50 разных японских сайтов). Часть данных собрана в период с мая по июль 2013 года, а часть между маем и июнем 2016 года.

Записи содержат различную персональную информацию (имена, логины, пароли, телефоны, адреса, даты рождения и т.п.), в зависимости от их источника.

Продавец хочет за эту базу примерно $150.

Надо отметить, что подобные составные базы довольно распространенное явление на черном рынке. В прошлом году мы даже делали сборной базы данных утекший логинов и паролей, содержавшей около 1.4 млрд записей: https://www.devicelock.com/ru/blog/analiz-14-mlrd-parolej-chast-pervaya.html

На прошлой неделе отличилось приложение Drupe под Андроид, хранившее данные пользователей в открытых ведрах (buckets) Amazon.

Но разработчики под iOS не отстают от своих коллег – приложение TeenSafe, которое изначально позиционировалось как средство мониторинга за детьми, оказалось весьма удобным инструментом для сбора и слива паролей и адресов электронной почты, привязанных к Apple ID. 😂

Деликатный момент в том, что TeenSafe требует отключить двухфакторную аутентификацию для Apple ID устройства, на котором приложение будет использоваться. А значит утекшие текстовые пароли и логины точно могут быть свободно использованы для неправомочного доступа к аккаунтам детей на сайте Apple (iCloud). 🙈🔥

Учитывая особенность многих людей использовать один пароль для нескольких сервисов (password reuse) можно также предположить, что часть паролей подойдет и к аккаунтам родителей. 😎

#безопасность #leak

https://vk.com/@dataleakage-prilozhenie-dlya-slezheniya-za-detskimi-aifonami-hranilo-adr

Организационный отдел совета Тукаевского района (Татарстан) разослал 40 районным депутатам список из 87 кандидатов в состав участковых избирательных комиссий (УИКов), не приняв мер защиты их персональных данных.

В результате на личные и служебные адреса электронной почты депутатов были отправлены фамилии, имена, даты, места рождения, данные об образовании, домашние адреса, места работы и паспортные данные 87 человек.

Кроме депутатов, с персональными данными кандидатов могли ознакомиться и сотрудники организаций, где трудятся депутаты совета, имеющие доступ к служебным ящикам электронной почты.

Информация была разослана вместе с повесткой дня внеочередного заседания Совета от имени и.о. главы района.

На открытом FTP-сервере, принадлежащем компании MedEvolve, которая разрабатывает ПО для управления медицинскими данными, было обнаружено более 200 тыс. записей, содержащих персональные данные (в том числе номера социального страхования) американских пациентов. 🙈

#безопасность #leak

https://vk.com/@dataleakage-bolee-200-tys-zapisei-pacientov-byli-opublikovany-na-obsched

Университет Гринвича (Лондон, Англия) оштрафован на 120 тыс. фунтов (около 160 тыс. долларов США) за утечку данных, произошедшую в 2013 году.

С 2013 по 2106 годы внутренний портал Университета, созданный для конференции 2004 года, содержащий персональные данные студентов и сотрудников, подвергался множественным атакам, но так и не был закрыт, хотя давно потерял свою актуальность.

За это время были похищены персональные данные 19500 человек. Данные включали имена, адреса и номера телефонов. А для 3500 записей была доступна такая информация как сведения об успеваемости и медицинские данные.

Все эти данные позже всплыли на форумах в Dark Net.

Компания 407 Express Toll Route (407 ETR), управляющая крупной платной дорогой в южном Онтарио (Канада) заявляет, что персональная информация примерно 60 тыс. человек была украдена из ее офиса.

#безопасность #leak

https://vk.com/@dataleakage-vnutrennyaya-utechka-dannyh-operatora-platnoi-dorogi-v-kanad

В свободном доступе была обнаружена база данных, содержащая имена, идентификационные номера, адреса электронной почты и пароли 934 тыс. южноафриканцев. 🔥

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-milliona-chelovek-v-uar

Четырехкратный олимпийский чемпион и кандидат в президенты Олимпийского комитета России (ОКР) Александр Попов опасается, что российский спорт ожидают новые допинг-разбирательства из-за утечки базы данных Московской антидопинговой лаборатории.

«Была украдена практически вся наша база данных, чем это грозит, я думаю, вы понимаете. Это начало третьей серии триллера, в которой Россия будет играть главную роль. До 2020 года осталось 26 месяцев, а сколько осталось времени на решение этих вопросов? Максимум 12», — заявил Попов на собрании Всероссийской ассоциации летних олимпийских видов спорта.

В российском спорте, как известно, многое не слава богу, но защитить одну единственную базу, которую с 2014 года, по разным источникам, копируют все, кому не лень, казалось, могли бы. Тем более, что технологии для этого есть. Проблема еще и в том, что в половине случаев данные похищают изнутри и делают это сотрудники, у которые есть на то полномочия.

Эффективно противостоять этому могут, например, DLP-системы, которые контролируют действия пользователя при работе с данными. Такие системы могут, например, поднять тревогу и заблокировать копирование больших объемов информации. DLP-системы часто применяют банки и компании, в которых сотрудники работают с ценной клиентской базой, но почему-то не используют антидопинговые лаборатории. Видимо, их руководство считает, что защищать там особенно нечего – просто анализ мочи.

Министерство здравоохранения округа Колумбия случайно слило в открытый доступ персональные данные 7 медработников.

На общедоступном онлайн портале для медсестер были опубликованы номера социального страхования (SSN), адреса и имена семи медсестер.

Поскольку выяснить точно кто эти пострадавшие семеро работников не смогли, то оповестили всех 600 сотрудников округа.

#безопасность #leak

Снова открытое облачное хранилище Amazon S3. 😴

Утекло более 33 000 номеров социального страхования (SSN), более 300 000 адресов электронной почты и полные имена жертв, предполагаемых преступников и свидетелей в многочисленных случаях физического и сексуального насилия. 🔥🙈

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-iz-sluzhby-pomoschi-zhertvam-nasi

Несколько файлов с данными 647 сотрудников завода Jaguar Land Rover были распространены среди персонала.

Данные содержали имена, идентификационные номера, дисциплинарные записи и кол-во дней, проведенных на больничном.

Один из файлов содержал список рабочих на увольнение.

Руководство завода заявило, что это ненастоящие данные и среди рабочих была распространена подделка. Непонятно, что именно ненастоящее в этих данных – персональная информация рабочих (имена, идентификационные номера и т.п.) или список на увольнение.

#безопасность #leak

https://vk.com/@dataleakage-rabochie-zavoda-jaguar-land-rover-uznali-o-svoem-uvolnenii-i

Coca-Cola сообщила об утечке данных 8000 рабочих одного из филиалов компании в сентябре 2017 года. Бывший сотрудник скопировал личную информацию коллег на свой внешний жесткий диск.

Малоизвестный сайт promotool.t-mobile.com, принадлежащий T-Mobile и используемый сотрудниками мобильного оператора в качестве портала обслуживания клиентов, поддерживал специальные запросы, возвращающие данные клиента T-Mobile - для этого нужно было просто добавить номер мобильного телефона клиента в конец веб-адреса. 🙈🙈

Возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу. 🔥

#безопасность #leak

https://vk.com/@dataleakage-oshibka-na-veb-saite-t-mobile-pozvolyaet-lubomu-poluchit-dos

Хакеры получили доступ к персональным данным 90 тыс. клиентов двух канадских банков.

Simplii Financial, являющееся розничным подразделением Canadian Imperial Bank of Commerce (CIBC), утверждает, что некие хакеры 27 мая 2018 года смогли получить доступ к персональным данным примерно 40 тыс. клиентов банка.

В тот же день Bank of Montreal (BMO) заявил, что хакеры за пределами Канады, угрожают опубликовать персональные данные 50 тыс. клиентов банка.

Онлайн магазин mypet-online.ru очень "умело" работает с заказами клиентов. Они все оказываются в открытом доступе и индексируются поисковиками.

Простейшим поисковым запросом можно спокойно найти карточку заказа и увидеть все данные, включая состав и сумму заказа, адрес доставки, имя, телефон и эл. почту покупателя.

Например, в Яндексе "прекрасно" работает запрос вида: "Заказ №" "Состав заказа" site:mypet-online.ru

Королевская Прокурорская служба Великобритании (Crown Prosecution Service) была оштрафована на 325 тыс. фунтов стерлингов (около 431 тыс. долларов США) за утерю незашифрованных DVD-дисков с видео допросов жертв и свидетелей преступлений.

Это не первый раз, когда прокурорская служба выплачивает штраф за нарушение, связанное с хранением персональных данных. В 2015 года служба была оштрафована на 200 тыс. фунтов (около $265 тыс.) за то, что хранили в открытом виде записи полицейских допросов жертв сексуального насилия.

Снова открытое облако Amazon S3 (AWS).

Утекло более 50 тыс. пользователей приложения Honda Connect в Индии...

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-50-tys-klientov-honda-india-iz-ot