Tym razem czas na Sony Online Entertainment

Ktoś z Was używa platformy SoE?  Ja mam te przyjemność. Dziś, z racji wolnego chciałem odprężyć się przy DC Universe Online. Szkoda tylko, że sama platforma SoE  nie działa. Za to zobaczyłem ten LINK. Tak, to nawet nie jest nowe włamanie. Podczas śledztwa związanego z poprzednim incydentem w PSN, firma odkryła, że również zostały wykradzione dane z tej platformy.

Także około 24 miliony użytkowników padło ofiarą wycieku danych. Wypłynęły ich imiona, nazwiska, daty urodzenia, adresy, adresy e-mail, numery telefonów, informacje o płci, nazwy kont oraz hasła do nich. Ponadto, w przypadku osób z poza Stanów Zjednoczonych, wyciekły informacje o poleceniach zapłaty 10700 użytkowników (z Niemiec, Holandii Hiszpanii i Austrii) i informacje o kartach kredytowych i debetowych (bez kodów bezpieczeństwa, za to z numerem i datą ważności) 12700 osób. Dobrą wiadomością jest to, ze są to dane sprzed 4 lat.

Jak na razie usługa SoE nie działa bezterminowo, do tego Sony chce zaangażować zewnętrzną firmę w śledztwo wewnątrz swoich struktur i ulepszyć obecne zabezpieczenia. Użytkownicy otrzymają bezpłatny, miesięczny abonament w usłudze i rekompensatę za każdy dzień, kiedy ona nie funkcjonuje.

Włamanie do PlayStation Network

PlayStation blog podaje, że 70 000 000 uzytkowników Qriocity i PlayStation Network może być narażone w związku z atakiem hackerów. Ponadto, od 20 kwietnia, cała sieć przestała działać, a użytkownicy nie mogli pobierać plików lub grać on-line.

Atak Hackerów pozwolił im zdobyć cała gamę osobistych informacji – nazwiska, adresy domowe, e-maile, daty urodzenia i hasła, które wyciekły. Nie oszacowano jeszcze szkód związanych z wyciekiem inforamcji o kartach kredytowych.

“While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility,” podaje Sony Computer Entertainment i Sony Network Entertainment we wspólnym oświadczeniu.

Natomiast jest to pewne, że mimo podejrzewanej kradzieży historii pobieranych plików, odpowiedzi na pytania zabezpieczające, dat ważności kart i adresów do korespondencji, udało się zabezpieczyć kody bezpieczeństwa kart kredytowych.

W tej sytuacji, Sony radzi swoim klientom, aby pozostawili informacje w bankach, że możliwa jest próba oszustwa i co jakiś czas sprawdzali swoje wyciągi.

Nie jest znana dokładna liczba kont, które uległy wyciekowi, a sama firma odmawia komentarzy. Mam wrażenie, że to podejście tym bardziej może zdenerwować użytkowników.

“You waited a WEEK to tell us our (personal) information was compromised?” napisał jeden z użytkowników na blogu PlayStation. “That should have been said last Thursday” — wtedy, gdy Sony dowiedziało się o problemie.

Teraz wiadomo, że włamanie odbyło sie między 17 a 19 kwietnia. Od 20 kwietia usługi przestały działać i tak stan pozostaje do dzisiaj, bez informacji jak jeszcze długom to potrwa. Pewne źródła podaja, że to będzie przynajmniej kolejny tydzień.

Włamanie do serwerów Automattic

Serwery należące do Automattic, firmy, która utrzymuje platformę wordPress.com, niedawno padły ofiarą włamania przez root access. Ostatnie informacje mówią, że ten incydent jest badany przez doradców z Automattic. Z drugiej strony, wstępne odkrycia nie sa specjalnie uspokajające dla 18 milionów publikujących w serwisie WordPress.

“Automattic had a low-level (root) break-in to several of our servers, and potentially anything on those servers could have been revealed,” pisze Matt Mullenweg, założyciel firmy. “We presume our source code was exposed and copied. While much of our code is open source, there are sensitive bits of our and our partner’s code. Beyond that, however, it appears information disclosed was limited.”

W komentarzach do tego posta, Mullenweg podaje, że nie ma dowodów na to, żeby wyciekły hasła, jeżeli nawet, to i tak bardzo ciężko je złamać.  Poradził użytkownikom, żeby tak, czy inaczej zmienili hasła, szczególnie, jeżeli używają ich w więcej niż w jednym miejscu.

Mullenweg dodał też, że firma podjęła kroki, które pozwolą uniknac takich wypadków w przyszłości. Automattic to jedna z ostatnich firm, które przyznają się do narażenia na ryzyko swoich klientów, razem z RSA Security i Epsilon.

WordPress „napędza” 12% stron internetowych na świecie. W przyszłości zdarzało się wiele prób wykradzenia danych, ale wiekszość z nich nie doszła do skutku. Chociaż ostatnio, wielu z użytkowników wordpress.com nie mogło publikować zawartości swoich stron, z powodu ataku typu denial of service , który został użty przeciwko serwerom Automattic. Te serwery zawierają kod źródłowy WordPress, klucze API, hasła Twitter i Facebooka i inne sposoby do dotarcia do wrażliwych informacji.

Zagubiony laptop BP i dane 13 000 osób

Pewien Komputer, na którym znajdowały się dane należące do mieszkańców okolic Zatoki Meksykańskiej, którzy złożyli skargę przeciwko wyciekowi ropy spowodowanemu przez British Petroleum, został zagubiony przez jednego z pracowników firmy. W zeszłym tygodniu, Curtis Thomas – reprezentant koncernu, przekazał, że przesłano listy do 13 000 osób, których dane były przechowywane na wspomnianym komputerze. W kopertach znajduje się powiadomienie dla osób dotknietych tym wypadkiem, a także, dostępna na życzenie oferta pomocy w monitorowaniu wypływających danych. Zaginione urządzenie zostąło też zgłoszone odpowiednim słuzbom porzadkowym.

Curtis Thomas informuje, że jak na razie nie ma dowodów na to, że zagubione, osobiste dane zostały wykorzystane do nieodpowiednich celów.

“We’re committed to the people of the Gulf Coast states affected by the Deepwater Horizon accident and spill, and we deeply regret that this occurred”

Utracone dane należą do osób, które wypełniły wnioski przeciwko BP zanim powstało Gulf Coat Claims Facility. Przed tym, BP zapłaciło ponad 400 000 000 USD składającym wnioski. Od wtorku w zeszłym tygodniu, kiedy zarejestrowano utratę, wypłacono 3,6 miliarda USD dla 172 539 osób. Przy tym BP tłumaczy, że żadne odszkodowanie nie będzie wypłacone ponownie z powodu utraty danych.

Sławny laptop został utracony 1 marca, podczas „zwykłej podróży biznesowej”.

“If it was stolen, we think it was a crime of opportunity, but it was initially lost,” mówi Thomas.

BP oferuje, że pokryje koszty monitorowania użycia danych wnioskodawców przez firmę Equifax z Atlanty. Zapytany, dlaczego od incydentu do zgłoszenia upłynął miesiąc, Thomas stwierdził, że firma prowadziła śledztwo na własną rękę. Cały problem dolał tylko oliwy do ognia, szczególnie dla ponownie poszkodowanych przez koncern.

“That’s like it’s part for the course for them,” mówi Matt O’Brien, jeden z wnioskodawców, współwłaściciel doku krewetkowego w Venice La. – the Tiger Pass Seafood, “They can’t seem to do nothing right.”

Tracisz dane nie tylko przez zaniedbanie…

Ponemon Institute  przeanalizował przypadki utraty danych w 38 brytyjskich firmach z 13 różnych sektorów gospodarki. Według tego badania, niedbałość, jako pierwsze źródło wycieku danych została zastąpiona przez awarie systemowe.

Wzrost o 13% w kosztach utraty danych oznacza, że organizacje zapłacą 71 funtów za każdy utracony wpis. Tego, co firma średnio zapłaci, nie da się za bardzo ustalić, bo sumy wahają się od 36 000 do 6,2 miliona funtów.

29% z tych ataków to te, którą są złośliwe lub noszą znamiona przestępstwa. To wzrost o 7% w 2010 roku, w porównaniu z poprzednim okresem. Spośród wszystkich przypadków, w których wyciekły dane, aż 37% wynikało z awarii systemów, co w porównaniu z 2009 rokiem stanowi 7% wzrostu. Zagubienie, kradzież lub błędy popełnione przez zewnętrzne osoby to o 5% więcej niż w 2009 roku, czyli 29%. Natomiast zaniedbanie to „tylko” 34%, co oznacza spadek o 11%.

Wsród badanych, 7 firmz 10 jako rozwiązanie swoich problemów podało szyfrowane danych, a 69% (czyli prawie tyle samo) zdecydowało się na zwiększenie kontroli użytkowników.

Ponadto w zeszłym roku, Biuro Komisarza ds. Informacji (Information Commissioner’s Office = ICO) dostało w ręce nowe metody – miedzy innymi możliwość nakładania dotkliwych kar pieniężnych na firmy, które tracą dane z powodu niedbałości.

“Regulators are cracking down to ensure organisations implement required data security controls or face harsher penalties,” said Dr Larry Ponemon, chairman and founder of the Ponemon Institute. “Confronted with both malicious and non-malicious threats from inside and outside the organisation, companies must proactively implement policies and technologies to mitigate the risk of costly breaches.”

Przenieś się w chmurę…

Już masz dość tego, że z awarią laptopa tracisz swoje pliki? Trzymaj je w chmurze – Twoje dane będą przechowywane i obrabiane w potężnej farmie komputerowej. Swoje zdjęcia powierzysz google  i wrzucisz na Picassę. To samo zrobisz z dokumentami – od dziś to będą Twoje google docs. A może usługi z bezpieczeństwem danych – możesz wykorzystać np. myEndpoint Protector. Genialne, prawda? Cloud computing to przyszłość, nie tylko dla Ciebie, ale także dla Twojej firmy. Read more

Co powstrzymuje efektywną ochronę IT?

W ostatnim badnaiu, Forrester Research wskazuje, że brak odpowiedniego personelu odpowiedzialnego za bezpieczeństwo IT jest jednym z głównych powodów, dla których managerowie IT nie mogą odpowiednio zabezpieczyć firmy. Kwestionariusz dla ponad 2000 szefów IT z USA, UK, Kanady, Francji i Niemiec odkrył jeden z kluczowych problemów w działach IT w firmach – trudności w pozyskaniu wykwalifikowanych osób do pracy w tym obszarze. Prawie połowa managerów IT boryka się z tą kwestią i widzi, że na co dzień brakuje osób do wykonywania kluczowych zadań. Szczególnie, że każdy dzień przynosi nowe zagrożenia.

Innym problemem, według badania, jest to, że 29% firm w USA i 23% w Europie spotkało się z ograniczeniami funduszy dla działów IT. Po prostu brakuje pieniędzy na realizację pewnych zadań. Jeden na trzech managerów IT w USA i jeden na pięciu w Europie uważa, że zbyt dużo czasu poświęca na codzienne zadania.

Ufasz swoim pracownikom?

Jeśli  masz odpowiedzieć „tak”, zastanów się jeszcze raz. Oszustwa spowodowane przez pracowników, kosztowały każdą firmę średnio5% ich przychodu w 2009 roku. Do tego 90% z tego było wynikiem kradzieży firmowych danych. Pracownicy są wodzeni na pokuszenie przez uprzywilejowany dostęp do danych i często popełniają, mniejsze lub większe oszustwa. Tak jak podaje raport the Association of Certified Fraud Examiners (ACFE), właśnie takie oszustwa są największą szkodą dla firmy.

“Mają szeroki dostęp do danych, co daje im szansę na popełnienie przestępstwa,” mówi Ben Knieff, dyrektor marketingu dla produktów przeciwko oszustwom w Actimize director.

Ale przecież nie można zamknąć wszystkich ważnych dokumentów w sejfie. Można za to wykonać poniższe kroki i cieszyć się spokojem.

ograniczanie dostępu do kluczowych danych – dostęp powinien być tylko dla grupy autoryzowanych pracowników. Pozostali powinni być po prostu monitorowani i każda taka próba dostępu powinna być wyjaśniana.

Według Shane’a Sims, dyrektora ds. ekspertyzy przestępstw, nawet jeżeli w firmie monitorowanie ruchu plików w sieci zawodzi, sama wiedza, kto ma do czego dostęp, może wystarczyć, żeby zapobiec temu.

wykorzystaj przewagę z wewnątrz – skoro oszustami mogą być Twoi pracownicy, którzy świetnie wiedza to, co się dzieje – to Ty też wykorzystaj swoją wiedzę. Żadna firma doradcza nie powie Ci tyle o Twojej sieci, co Twoi pracownicy. A jeżeli coś się stanie, masz o wiele więcej informacji niż wtedy, gdy przestępca jest z zewnątrz.

„wykorzystaj” pracowników – wyszkol ich, tak aby oni tez potrafili powiedzieć co się dzieje i pozostali czujni. Niech oni będą Twoja ochroną.

Raport ACFE podaje też, że 40% wewnętrznych kradzieży danych jest wykrywane przez instytucje z zewnątrz, a ponad połowa – przez pracowników. A dlaczego to się dzieje? Raport stanowi, że 43% nieuczciwych pracowników żyje ponad stan, a ponad 30% po prostu ma problemy finansowe.

Czy istnieją uczciwi złodzieje?

Profesor ze szwedzkiego Uniwersytetu w Umeå pewnego dnia baardzo się zdziwił. Pocztą przysłano mu pendrive, na którym były wszystkie dane z jego skradzionego laptopa, w ym wyniki 10 letniej pracy. Co za ulga .In a statement addressed to the local Västerbottens-Kuriren newspaper he says that he is unhappy with the incident but the return of the data makes him “hope for humanity”.

Jego plecak z komputerem został skradziony z mieszkania. Wkrótce powrócił, razem z dokumentami i kartami kredytowymi, jedynie bez wspomnianego komputera. A tydzień później przybył także pendrive. Także jak widać, wcale tu nie chodzi o urządzenie, ale często to zawartość jest najważniejsza.

Bezpieczeństwo informacji nie jest priorytetem w UK

Chociaż top management doskonale zdaje sobie sprawę z ważności bezpieczeństwa informacji, większość firm ze Zjednoczonego Królestwa planuje zmniejszyć wydatki na te kwestie. To nie jest tylko plotka. PricewaterhouseCoopers opublikowało badanie, które mówi, iż zwiększenie wydatków na bezpieczeństwo informacji jest priorytetem dla 31% firm. W skali światowej, deklaruje to 52%.

To, jak ważne jest podejście strategiczne, do ochrony informacji, jest powszechnie znane wśród najważniejszych osób w firmie. Odpowiedni poziom inwestycji utrzymywał się w tej kwestii nawet mimo ograniczonych budżetów i redukcji kosztów. William Beer, szef OneSecurity, sekcji w PwC, wskazuje na fakt, że każde zdarzenie w tym obszarze po prostu kosztuje bardzo dużo. £2.3m, które zapłaciło Zurich Insurance pomogło przejrzeć na oczy firmom.