Upss…
Jak pisze niebezpiecznik.pl - AMD miało pewien problem, a właściwie
dobry sposób na promocję gry w kręgach osób zainteresowanych bezpieczeństwem…
Otóż AMD, w ramach promocji przygotowanej razem z Codemasters, do sprzedawanych kart graficznych dodawało klucze do gry DiRt 3. Jednak niespodziewanie te klucze wyciekły, ponieważ znalazły się, niezabezpieczone, na serwerze partnera promocji:
This past weekend activation keys associated with free Dirt 3 game voucher shipping with select AMD products were compromised. These activation were hosted in a third party fulfillment agency website, www.amdforyou.com, and did not reside on AMD’s website. Neither the AMD nor code masters servers were involved. We are working closely with Steam, code masters, to address the situation. AMD will continue to honor all valid game vouchers. However, the current situation may result in a short delay before the vouchers can be redeemed
Takie informacje cytuje gamebandits.com. Oficjalnie, ososby, które zarejestrują się w Steam, stracą swoje konta, więc chyba nie warto zastanawiać się nad zakupem „promocyjnych” wydań DiRT.
Swoją drogą, cały ten problem wynikł ze stron nieodpowiedzialnych pracowników i w rzeczywistości wcale mógłby nie zaistnieć, gdyby istniały odpowiednie procedury bezpieczeństwa IT.
Po co kradnie się dane? Dla okupu!
Serio - technologie.gazeta.pl opisuje przypadek, gdzie haker włamał się na serwer firmy telekomunikacyjnej, żeby wykraść wrażliwe dane. Dysponował zaawansowanym sprzętem i dokładnie wiedział, co chce osiągnąć.
W zamian za zwrot danych przestępcy zażądali od poszkodowanej spółki pieniędzy w kwocie około 100 tys. zł. Okup miał być przekazany w Krakowie, pod Wawelem. Miał go odebrać 19-letni wspólnik hakera
przekazał PAP nadkomisarz Janusz Jończyk w imieniu śląskiej policji. Współpracując z departamentem bezpieczeństwa, śledczy byli w stanie powstrzymać przestępców.
Szczerze mówiąc, pierwszy raz spotkałem się z taką sytuacją, gdzie zamiast sprzedać dane dalej, przestępca zażądał ich zwrotu. Ciekaw jestem, o ile za mało wycenił to co wykradł – podobno znajdowały się tam nawet informacje o klientach.
Coraz więcej danych tracą instytucje medyczne
Istnieje wiele sposobów ochrony przed wyciekiem danych z winy pracowników i edukacji pracowników jak temu przeciwdziałać. Mimo tego jest wiele przypadków, kiedy zostawienie w nieodpowiednim miejscu firmowego sprzętu po prostu naraża ją na ryzyko wycieku danych. Laptopy, dyski twarde, pamięci USB i inne urządzenia magazynujące są gubione i kradzione praktycznie codziennie. To naraża osobiste dane tysięcy osób na kradzież tożsamości czy oszustwo. I wiele z tych przypadków zdarza się w sektorze zdrowotnym.
Na przykład: komputer, który mógł zawierać dane nawet 20,000 pacjentów Reid Hospital został po prostu skradziony jednemu z pracowników, z jego domowego biura. W innym przypadku, Służba Zdrowia Stanu Alberta została poinformowana przez lekarza z kliniki w Lacombe, że przenośny twardy dysk, który zawierał kopię danych 1000 klientów Alberta Health Services’ Central Alberta Pain & Rehabilitation Institute (CAPRI), został niedawno skradziony. Na razie nie ma żadnych dowodów na to, że dane zostały w jakikolwiek sposób wykorzystane, ale to niczego nie dowodzi.
Jedno urządzenie, 10 000 osób
Dwóch dentystów, z Phoenix w Arizonie niedawno opublikowało na swojej stronie informację o wycieku danych. Wycieku, który dotyczył przenośnego urządzenia magazynującego, skradzionego 2 marca. Co na nim było? Szczególnie chronione informacje na temat zdrowia 10 000 pacjentów.
Notatka, dość uboga w szczegóły, wygląda tak:
HIPAA Breach Information for Patients of Record Certain electronically-stored patient records were stolen on March 2, 2011. If you have any questions please call 602-265-8751
Póki co, informacji nie jest za wiele, nawet w mediach, jednak niedługo powinien się wypowiedzieć w tym temacie departament zdrowia Stanów Zjednoczonych.
Włamanie do PlayStation Network
PlayStation blog podaje, że 70 000 000 uzytkowników Qriocity i PlayStation Network może być narażone w związku z atakiem hackerów. Ponadto, od 20 kwietnia, cała sieć przestała działać, a użytkownicy nie mogli pobierać plików lub grać on-line.
Atak Hackerów pozwolił im zdobyć cała gamę osobistych informacji – nazwiska, adresy domowe, e-maile, daty urodzenia i hasła, które wyciekły. Nie oszacowano jeszcze szkód związanych z wyciekiem inforamcji o kartach kredytowych.
“While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility,” podaje Sony Computer Entertainment i Sony Network Entertainment we wspólnym oświadczeniu.
Natomiast jest to pewne, że mimo podejrzewanej kradzieży historii pobieranych plików, odpowiedzi na pytania zabezpieczające, dat ważności kart i adresów do korespondencji, udało się zabezpieczyć kody bezpieczeństwa kart kredytowych.
W tej sytuacji, Sony radzi swoim klientom, aby pozostawili informacje w bankach, że możliwa jest próba oszustwa i co jakiś czas sprawdzali swoje wyciągi.
Nie jest znana dokładna liczba kont, które uległy wyciekowi, a sama firma odmawia komentarzy. Mam wrażenie, że to podejście tym bardziej może zdenerwować użytkowników.
“You waited a WEEK to tell us our (personal) information was compromised?” napisał jeden z użytkowników na blogu PlayStation. “That should have been said last Thursday” — wtedy, gdy Sony dowiedziało się o problemie.
Teraz wiadomo, że włamanie odbyło sie między 17 a 19 kwietnia. Od 20 kwietia usługi przestały działać i tak stan pozostaje do dzisiaj, bez informacji jak jeszcze długom to potrwa. Pewne źródła podaja, że to będzie przynajmniej kolejny tydzień.
Tracisz dane nie tylko przez zaniedbanie…
Ponemon Institute przeanalizował przypadki utraty danych w 38 brytyjskich firmach z 13 różnych sektorów gospodarki. Według tego badania, niedbałość, jako pierwsze źródło wycieku danych została zastąpiona przez awarie systemowe.
Wzrost o 13% w kosztach utraty danych oznacza, że organizacje zapłacą 71 funtów za każdy utracony wpis. Tego, co firma średnio zapłaci, nie da się za bardzo ustalić, bo sumy wahają się od 36 000 do 6,2 miliona funtów.
29% z tych ataków to te, którą są złośliwe lub noszą znamiona przestępstwa. To wzrost o 7% w 2010 roku, w porównaniu z poprzednim okresem. Spośród wszystkich przypadków, w których wyciekły dane, aż 37% wynikało z awarii systemów, co w porównaniu z 2009 rokiem stanowi 7% wzrostu. Zagubienie, kradzież lub błędy popełnione przez zewnętrzne osoby to o 5% więcej niż w 2009 roku, czyli 29%. Natomiast zaniedbanie to „tylko” 34%, co oznacza spadek o 11%.
Wsród badanych, 7 firmz 10 jako rozwiązanie swoich problemów podało szyfrowane danych, a 69% (czyli prawie tyle samo) zdecydowało się na zwiększenie kontroli użytkowników.
Ponadto w zeszłym roku, Biuro Komisarza ds. Informacji (Information Commissioner’s Office = ICO) dostało w ręce nowe metody – miedzy innymi możliwość nakładania dotkliwych kar pieniężnych na firmy, które tracą dane z powodu niedbałości.
“Regulators are cracking down to ensure organisations implement required data security controls or face harsher penalties,” said Dr Larry Ponemon, chairman and founder of the Ponemon Institute. “Confronted with both malicious and non-malicious threats from inside and outside the organisation, companies must proactively implement policies and technologies to mitigate the risk of costly breaches.”
Co się dzieje z informacjami na nośnikach
Nie ważne, czy wydrukowane, zapisane na komputerze, pendrive’ie, i tak Twoje dane nie są bezpieczne. Wszystkie dane, które mają firmy, z którymi pracujesz, lekarze, fundacje… w końcu wyciekną. Jeżeli masz szczęście, trafią do osób, które nie wykorzystają ich, żeby dokonać przestępstwa. A jak będziesz miała pecha, pewnego dnia Twoje konto bankowe będzie puste, zostanie popełnione oszustwo przy użyciu Twojej tożsamości a przed Tobą będzie duuużo do wyprostowania i spore straty finansowe.
Tylko ostatnio mielismy skradziony komputer, który zawierał imiona, nazwiska, adresy i stan zdrowia 700 dzieci. Potem okazało się, że kopie zapasowe klientów banku krwi zostały skradzione z samochodu, co doprowadziło do wypłynięcia prawie 300 000 wpisów. Do tego w innym przypadku, w skradzionej teczce z dokumentami znalazła sie lista 113 pacjentów i ic numerów ubezpieczeń. Oczywiście teczka była w samochodzie.
Nie wszystkie dane się kradnie. Część z nich po prostu zostaje zgubiona. Możesz poczytać o zaginionej pamięci flash, na której było 2777 nazwisk. numerów ubezpieczeń i wyników badań, lub o innej zaginionej pamięci flash, na której dane 59 pacjentów, włącznie z diagnozą i numerami dokumentów części z nich.
Najgorsze jest to, że utrata danych kosztuje – nie tylko klientów, ale i firmy. Najpierw to pracownik odpowiada za zaginione dane. Potem pojawiają się kary, pozwy do sądu i najgorsze możliwe rozwiązanie: utrata zawiedzionych klientów.
Także wygląda na to, że utrata jednego nośnika to całkiem sporo kłopotów. Pytanie, czy nie lepiej zabezpieczyć się zawczasu i znaleźć oprogramowanie, który pomoże skontrolować, co jest wynoszone z firmy na przeróżnych nośnikach.
Ufasz swoim pracownikom?
Jeśli masz odpowiedzieć „tak”, zastanów się jeszcze raz. Oszustwa spowodowane przez pracowników, kosztowały każdą firmę średnio5% ich przychodu w 2009 roku. Do tego 90% z tego było wynikiem kradzieży firmowych danych. Pracownicy są wodzeni na pokuszenie przez uprzywilejowany dostęp do danych i często popełniają, mniejsze lub większe oszustwa. Tak jak podaje raport the Association of Certified Fraud Examiners (ACFE), właśnie takie oszustwa są największą szkodą dla firmy.
“Mają szeroki dostęp do danych, co daje im szansę na popełnienie przestępstwa,” mówi Ben Knieff, dyrektor marketingu dla produktów przeciwko oszustwom w Actimize director.
Ale przecież nie można zamknąć wszystkich ważnych dokumentów w sejfie. Można za to wykonać poniższe kroki i cieszyć się spokojem.
ograniczanie dostępu do kluczowych danych – dostęp powinien być tylko dla grupy autoryzowanych pracowników. Pozostali powinni być po prostu monitorowani i każda taka próba dostępu powinna być wyjaśniana.
Według Shane’a Sims, dyrektora ds. ekspertyzy przestępstw, nawet jeżeli w firmie monitorowanie ruchu plików w sieci zawodzi, sama wiedza, kto ma do czego dostęp, może wystarczyć, żeby zapobiec temu.
wykorzystaj przewagę z wewnątrz – skoro oszustami mogą być Twoi pracownicy, którzy świetnie wiedza to, co się dzieje – to Ty też wykorzystaj swoją wiedzę. Żadna firma doradcza nie powie Ci tyle o Twojej sieci, co Twoi pracownicy. A jeżeli coś się stanie, masz o wiele więcej informacji niż wtedy, gdy przestępca jest z zewnątrz.
„wykorzystaj” pracowników – wyszkol ich, tak aby oni tez potrafili powiedzieć co się dzieje i pozostali czujni. Niech oni będą Twoja ochroną.
Raport ACFE podaje też, że 40% wewnętrznych kradzieży danych jest wykrywane przez instytucje z zewnątrz, a ponad połowa – przez pracowników. A dlaczego to się dzieje? Raport stanowi, że 43% nieuczciwych pracowników żyje ponad stan, a ponad 30% po prostu ma problemy finansowe.
Zadzwoń, sprawdź, czy ktoś ukradnie Twoją tożsamość.
Tak, znwou ukradziono komputer. Właściwie komputery. Tym razem z Montefiore Medical Center. Komputery przechowywały poufne dane studentów i pacjentów, przechowywane przez wydział finansów i administrację School Health Program. Serio, czy chodiz tu o sprzęt, czy dane na tych stacjach roboczych?
Najpierw, w końcu maja, 2 desktopy zostął poprostu wyniesione z biur wydziału finansów, a sama kradzież została odkryta kilka dni później. Oczywiście, na dyskach twardych znajdowały się dane pacjentów – przedewszystkim ich imiona i numery fizycznych kart pacjenta. U niektórych pacjentów również były to numery ubezpieczenia społecznego, daty urodzenia, daty przyjęcia do szpital, a także dane ubezpieczycieli.
Potem, w okolicach 10 czerwca, kolejne 3 komputery zostały skradzione. Tym razem wykryto ten incydent na następny dzień. I co? Te komputery zaginęły z biur administracji Montefiore’s School Health Program – progrmau zdrowia dla uczniów szkół. DatalossDB szacuje, że znalazło się tam 23 000 zestawy danych (nazwisko, data urodzenia, numer karty pacjenta i dane kontaktowe opiekunów. 23 000 niepełnoletnich osób padło ofiarą kradzieży komputerów.
Wszystkie ukradzione komputery były chronione hasłami, ale Montefiore nie wspomina o jakiejkolwiek innej ochronie. Na dzień dzisiejszy, ściśle współpracują z policją w śledztwie. I ani policja, anie przedstawiciele centrum nie wierzą, że złodziejom chodziło o dane na komputerach. Ciekawe co z tymi, którzy odkupią od nich rzeczone komputery. Pacjenci, ich opiekunowie, studenci mogą skontaktować się z Montefiore pod specjalnym numerem telefonu, żeby dowiedzieć się, czy padli ofiarami tego incydentu.
Jak łatwo narazić wiele osób na kradzież tożsamości?
Jeden pendrive. Należał do pracownika Cooper University Hospital. Zginął 8 lipca. Czy powinno kogokolwiek to obchodzić? Tak, na przykład absolwentów Cooper University, którzy byli rezydentami w uniwersyteckim szpitalu. Kilka dni później zostało to zgłoszone odpowienim służbom, które już ponad 2 tygodnie sprawdzają jak duże to jest zagrożenie dla uniwersytetu.
Oczywiście, jak zwykle w takich sytuacjach – znalazca dostła pełen pakiet danych – numer ubezpieczenia społecznego, adres i telefon. I oczywiście dane nie były szyfrowane ani jakkolwiek inaczej chronione.
A co powiedział na ten tmeat sam Uniwersytet? Oczywiście zapewnia, że zostaną zbadane okoliczności zaginięcia pendrive’a. Poza tym każda z zagrożonych osób dostała sugestię, aby poinformować indywidulanie o tym policję.
Na razie nie ma informacji o kimkolwiek, kto mógł stać się ofiarą tego problemu.
