Co możesz zabrać ze sobą wychodząc z pracy…
Wiecie, że 88% administratorów, jeżeli jutro miałoby dostać wypowiedzenie pracy, dziś zabrałoby do domu tajne, firmowe dane. Tak podaje to badanie. Co w tym złego? Fakt, że jeden niezadowolony pracownik, z odpowiednimi uprawnieniami może przyczynić się do nieprzewidzianych konsekwencji dla swojego pracodawcy.
Wyborcza opisuje przypadek, gdzie dane osobowe 9 milionów mieszkańców Izreala krążyły w Internecie. Jak się tam znalazły? Wycenione na kilkaset tysięcy szekli informacje przechodziły z rąk do rąk, a wszystko zaczęło się w 2006 roku, od byłego pracownika ds. socjalnych, który bo zwolnieniu wyniósł wspomniane dane.
Takich przypadków jest więcej – np. ataki na PlayStation Network, o których słyszeliśmy wiosną zdarzyły się po zwolnieniu 200 pracowników działu online.
Trudno jest wykryć spraców takich działań – dlatego na razie żaden ze zwolnionych pracowników PSN nie ma postawionych zarzutów, ale z drugiej strony, administrator nie tylko ryzykuje utratą obecnej pracy, ale także brakiem zaufania ze strony przyszłych pracodawców, jak i odpowiedzialnością cywilną z art. 100 § 2 pkt 4 kodeksu pracy i art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.
Oczywiście, lepiej jest zapobiegać niż leczyć, więc ograniczanie możliwości przenoszenia wrażliwych plików, ochrona nawet przed zgubieniem przenośnej pamięci może zminimalizować straty związane z takimi incydentami. A odpowiednia polityka kadrowa mogłaby sprawić, że do takich sytuacji nie dojdzie – przede wszystkim poprzez ograniczanie dostępnu do pewnych części firmy nawet administratorom ds. zabezpieczeń sieciowych.
Reakcja to podstawa
Zwracamy się do Państwa z informacją o możliwości dojścia do nieautoryzowanego dostępu do niektórych informacji z Państwa konta klienckiego, w tym Państwa imion (nazwisk), adresu e-mail, adresów wysyłki, daty urodzin, numeru telefonu oraz chronionego hasła.
Dostęp nie obejmował informacji dotyczących płatności, w tym dotyczących Państwa kart kredytowych.
Chociaż przechowujemy nasze hasła w zabezpieczonej postaci, z daleko posuniętej ostrożności, zalecamy, aby dokonali Państwo zmiany hasła na stronie BuyVIP, a także na wszystkich innych stronach, na których używają Państwo tego samego lub podobnego hasła. Ponadto, proszę pamiętać, że BuyVIP nigdy nie prosi o podanie żadnych osobistych danych lub danych związanych z państwa kontem za pośrednictwem poczty elektronicznej. Proszę zachować szczególną ostrożność, jeżeli otrzymają Państwo jakąkolwiek wiadomość e-mail zawierającą prośbę o podanie jakichkolwiek informacji osobistych oraz w wypadku otrzymania wiadomości, która skieruje Państwa na stronę internetową, na której zostaną Państwo poproszeni o podanie takich informacji.
Przepraszamy za zainstniałe trudności. Jeżeli mają Państwo obecnie złożone zamówienie, zapewniamy, że nasz zespół zajmuje się nim i zostanie ono dostarczone zgodnie z ustaleniami.
Zespół Obsługi Klienta BuyVIP
Taką wiadomość otrzymali niedawno klienci Buy VIP, internetowego outletu. Informacja o tym pojawiła się w poniedziałek rano w gazeta.pl. Z racji, że serwis należy do Grupy Allegro, firma zastrzegła, że wyciek danych nie ma nic wspólnego z czwartkową awarią.
Tak jak wyklarowała Joanna Wagner, rzecznik Grupy Allegro dla niebezpiecznik.pl:
Do włamania na serwery Buyvip rzeczywiście doszło, ale ofiarą padły hiszpańskie serwery — co w istocie dla polskich użytkowników buyvip nie robi żadnej różnicy, bo na zaatakowanych serwerach znajdowały się ich dane. (…) E-maila o naruszeniu bezpieczeństwa wysłała centrala z Hiszpanii — dostali go wszyscy użytkownicy BuyVIP, nie tylko Polacy.
Teraz czekamy na informacje, jakie były przyczyny tego wycieku, znając już jego rozmiar.
Coraz więcej danych tracą instytucje medyczne
Istnieje wiele sposobów ochrony przed wyciekiem danych z winy pracowników i edukacji pracowników jak temu przeciwdziałać. Mimo tego jest wiele przypadków, kiedy zostawienie w nieodpowiednim miejscu firmowego sprzętu po prostu naraża ją na ryzyko wycieku danych. Laptopy, dyski twarde, pamięci USB i inne urządzenia magazynujące są gubione i kradzione praktycznie codziennie. To naraża osobiste dane tysięcy osób na kradzież tożsamości czy oszustwo. I wiele z tych przypadków zdarza się w sektorze zdrowotnym.
Na przykład: komputer, który mógł zawierać dane nawet 20,000 pacjentów Reid Hospital został po prostu skradziony jednemu z pracowników, z jego domowego biura. W innym przypadku, Służba Zdrowia Stanu Alberta została poinformowana przez lekarza z kliniki w Lacombe, że przenośny twardy dysk, który zawierał kopię danych 1000 klientów Alberta Health Services’ Central Alberta Pain & Rehabilitation Institute (CAPRI), został niedawno skradziony. Na razie nie ma żadnych dowodów na to, że dane zostały w jakikolwiek sposób wykorzystane, ale to niczego nie dowodzi.
Jedno urządzenie, 10 000 osób
Dwóch dentystów, z Phoenix w Arizonie niedawno opublikowało na swojej stronie informację o wycieku danych. Wycieku, który dotyczył przenośnego urządzenia magazynującego, skradzionego 2 marca. Co na nim było? Szczególnie chronione informacje na temat zdrowia 10 000 pacjentów.
Notatka, dość uboga w szczegóły, wygląda tak:
HIPAA Breach Information for Patients of Record Certain electronically-stored patient records were stolen on March 2, 2011. If you have any questions please call 602-265-8751
Póki co, informacji nie jest za wiele, nawet w mediach, jednak niedługo powinien się wypowiedzieć w tym temacie departament zdrowia Stanów Zjednoczonych.
Tym razem czas na Sony Online Entertainment
Ktoś z Was używa platformy SoE? Ja mam te przyjemność. Dziś, z racji wolnego chciałem odprężyć się przy DC Universe Online. Szkoda tylko, że sama platforma SoE nie działa. Za to zobaczyłem ten LINK. Tak, to nawet nie jest nowe włamanie. Podczas śledztwa związanego z poprzednim incydentem w PSN, firma odkryła, że również zostały wykradzione dane z tej platformy.
Także około 24 miliony użytkowników padło ofiarą wycieku danych. Wypłynęły ich imiona, nazwiska, daty urodzenia, adresy, adresy e-mail, numery telefonów, informacje o płci, nazwy kont oraz hasła do nich. Ponadto, w przypadku osób z poza Stanów Zjednoczonych, wyciekły informacje o poleceniach zapłaty 10700 użytkowników (z Niemiec, Holandii Hiszpanii i Austrii) i informacje o kartach kredytowych i debetowych (bez kodów bezpieczeństwa, za to z numerem i datą ważności) 12700 osób. Dobrą wiadomością jest to, ze są to dane sprzed 4 lat.
Jak na razie usługa SoE nie działa bezterminowo, do tego Sony chce zaangażować zewnętrzną firmę w śledztwo wewnątrz swoich struktur i ulepszyć obecne zabezpieczenia. Użytkownicy otrzymają bezpłatny, miesięczny abonament w usłudze i rekompensatę za każdy dzień, kiedy ona nie funkcjonuje.
Włamanie do PlayStation Network
PlayStation blog podaje, że 70 000 000 uzytkowników Qriocity i PlayStation Network może być narażone w związku z atakiem hackerów. Ponadto, od 20 kwietnia, cała sieć przestała działać, a użytkownicy nie mogli pobierać plików lub grać on-line.
Atak Hackerów pozwolił im zdobyć cała gamę osobistych informacji – nazwiska, adresy domowe, e-maile, daty urodzenia i hasła, które wyciekły. Nie oszacowano jeszcze szkód związanych z wyciekiem inforamcji o kartach kredytowych.
“While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility,” podaje Sony Computer Entertainment i Sony Network Entertainment we wspólnym oświadczeniu.
Natomiast jest to pewne, że mimo podejrzewanej kradzieży historii pobieranych plików, odpowiedzi na pytania zabezpieczające, dat ważności kart i adresów do korespondencji, udało się zabezpieczyć kody bezpieczeństwa kart kredytowych.
W tej sytuacji, Sony radzi swoim klientom, aby pozostawili informacje w bankach, że możliwa jest próba oszustwa i co jakiś czas sprawdzali swoje wyciągi.
Nie jest znana dokładna liczba kont, które uległy wyciekowi, a sama firma odmawia komentarzy. Mam wrażenie, że to podejście tym bardziej może zdenerwować użytkowników.
“You waited a WEEK to tell us our (personal) information was compromised?” napisał jeden z użytkowników na blogu PlayStation. “That should have been said last Thursday” — wtedy, gdy Sony dowiedziało się o problemie.
Teraz wiadomo, że włamanie odbyło sie między 17 a 19 kwietnia. Od 20 kwietia usługi przestały działać i tak stan pozostaje do dzisiaj, bez informacji jak jeszcze długom to potrwa. Pewne źródła podaja, że to będzie przynajmniej kolejny tydzień.
Włamanie do serwerów Automattic
Serwery należące do Automattic, firmy, która utrzymuje platformę wordPress.com, niedawno padły ofiarą włamania przez root access. Ostatnie informacje mówią, że ten incydent jest badany przez doradców z Automattic. Z drugiej strony, wstępne odkrycia nie sa specjalnie uspokajające dla 18 milionów publikujących w serwisie WordPress.
“Automattic had a low-level (root) break-in to several of our servers, and potentially anything on those servers could have been revealed,” pisze Matt Mullenweg, założyciel firmy. “We presume our source code was exposed and copied. While much of our code is open source, there are sensitive bits of our and our partner’s code. Beyond that, however, it appears information disclosed was limited.”
W komentarzach do tego posta, Mullenweg podaje, że nie ma dowodów na to, żeby wyciekły hasła, jeżeli nawet, to i tak bardzo ciężko je złamać. Poradził użytkownikom, żeby tak, czy inaczej zmienili hasła, szczególnie, jeżeli używają ich w więcej niż w jednym miejscu.
Mullenweg dodał też, że firma podjęła kroki, które pozwolą uniknac takich wypadków w przyszłości. Automattic to jedna z ostatnich firm, które przyznają się do narażenia na ryzyko swoich klientów, razem z RSA Security i Epsilon.
WordPress „napędza” 12% stron internetowych na świecie. W przyszłości zdarzało się wiele prób wykradzenia danych, ale wiekszość z nich nie doszła do skutku. Chociaż ostatnio, wielu z użytkowników wordpress.com nie mogło publikować zawartości swoich stron, z powodu ataku typu denial of service , który został użty przeciwko serwerom Automattic. Te serwery zawierają kod źródłowy WordPress, klucze API, hasła Twitter i Facebooka i inne sposoby do dotarcia do wrażliwych informacji.
Tracisz dane nie tylko przez zaniedbanie…
Ponemon Institute przeanalizował przypadki utraty danych w 38 brytyjskich firmach z 13 różnych sektorów gospodarki. Według tego badania, niedbałość, jako pierwsze źródło wycieku danych została zastąpiona przez awarie systemowe.
Wzrost o 13% w kosztach utraty danych oznacza, że organizacje zapłacą 71 funtów za każdy utracony wpis. Tego, co firma średnio zapłaci, nie da się za bardzo ustalić, bo sumy wahają się od 36 000 do 6,2 miliona funtów.
29% z tych ataków to te, którą są złośliwe lub noszą znamiona przestępstwa. To wzrost o 7% w 2010 roku, w porównaniu z poprzednim okresem. Spośród wszystkich przypadków, w których wyciekły dane, aż 37% wynikało z awarii systemów, co w porównaniu z 2009 rokiem stanowi 7% wzrostu. Zagubienie, kradzież lub błędy popełnione przez zewnętrzne osoby to o 5% więcej niż w 2009 roku, czyli 29%. Natomiast zaniedbanie to „tylko” 34%, co oznacza spadek o 11%.
Wsród badanych, 7 firmz 10 jako rozwiązanie swoich problemów podało szyfrowane danych, a 69% (czyli prawie tyle samo) zdecydowało się na zwiększenie kontroli użytkowników.
Ponadto w zeszłym roku, Biuro Komisarza ds. Informacji (Information Commissioner’s Office = ICO) dostało w ręce nowe metody – miedzy innymi możliwość nakładania dotkliwych kar pieniężnych na firmy, które tracą dane z powodu niedbałości.
“Regulators are cracking down to ensure organisations implement required data security controls or face harsher penalties,” said Dr Larry Ponemon, chairman and founder of the Ponemon Institute. “Confronted with both malicious and non-malicious threats from inside and outside the organisation, companies must proactively implement policies and technologies to mitigate the risk of costly breaches.”
I coraz mniej oszustw w USA…
W zesłym roku, kradzeiże tożsamości i oszustwa z tym związane spadły o 28%, a całkowita liczba ofiar to 8,1 miliona - czyli o 2,9 miliona osób mniej niż w 2009 roku. Z kolei skradzione sumy to 37 miliardów dolarów, czyli 16 miliardów mniej niż w 2009. Tak przynajmniej podaje corocznyc raport Javelin Strategy & Research. No i największe wrażenie robi fakt, iż to najniższe liczby w tym zakresie od 8 lat.
Średnia strata w przeliczeniu na ofiarę spadała z 5000 dolarów do 4600 w 2010. Co spowodowało te spadki? Wiemy, że na takie ataki zostało wystawione 26 milionów osób w 404 przypadkach kradzieży danych. W porównaniu z 221 milionów w 604 wypadkach w 2009 roku.
Coraz częściej klienci są świadomi ryzyka kradzieży tożsamości. Dlatego coraz częściej pojawiają się dodatkowe obostrzenia, wymuszenie identyfikacji użytkownika, a także monitorowanie operacji na kontach. To wszystko miało wpływ właśnie na wspomniany spadek. Poza tym wzrost zabezpieczeń w przedsiębiorstwach i sukcesu służb bezpieczeństwa, razem z poprawą warunków ekonomicznych nie pozostały bez wpływu.
Coraz więcej oszustw w UK.
Ostatnie statystyki z National Fraud Authority w Wielkiej Brytanii pokazują, że 38 miliardów funtów zostało wyłudzone w minionym roku. To oznacza wzrost o ponad 25%. W sektorze publiczny było to 21,2 miliarda, w sektorze prywatnym 12 miliardów, a pozostałe 4 miliardy były od ofiar indywidualnych.
Zresztą, według NFA, wzrost, przynajmniej jego część, był oczekiwany. Głównie dzięki większej wykrywalności takich przestępstw. Po raz pierwszy, szacunki te zawierają też oszustwa na zamówieniach i grantach. Najwyższa skradziona suma to było 3,8 miliarda w sektorze prywatnym.
Na dzień dzisiejszy, nic nie wskazuje, że straty z tytułu takich przestępstw będą spadać. W końcu cały świat wychodzi z recesji.
