СЕТЬ И ЛИЧНАЯ ТАЙНА НЕСОВМЕСТНЫ

Слив утечек

Автор: Родион Насакин

26 января вступил в силу нашумевший федеральный закон "О защите персональных данных", который готовился больше года. Все это время шли оживленные дискуссии. Сторонники законопроекта напирали на то, что после его введения нашим согражданам наконец-то будет гарантировано право на приватную информацию, появится больше возможностей для привлечения к ответственности лиц, которые эти данные неосторожно теряют или же с выгодой для себя распространяют.

Критики же утверждали, что принятие нового закона не приведет ни к каким серьезным последствиям для продавцов разнообразных баз данных из структур МВД, Центробанка, Пенсионного фонда, Счетной палаты, налогового, таможенного и земельного ведомств и пр. Данные из этих ведомств так и будут предлагаться по доступной цене практически в любом подземном переходе Москвы и на множестве сайтов. Зато, отмечали правозащитники, ознакомившиеся с первыми редакциями законопроекта, власть пытается под шумок внедрить в закон положения о создании единой базы данных населения страны. А эту затею можно расценить как весьма сомнительную с точки зрения обеспечения защиты личных данных граждан как от государственного посягательства в духе "Большого брата", так и от банальной кражи.

Протекающие госведомства

А в том, что красть будут, мало кто сомневается, поскольку госведомства попадаются на утечках вверенных им населением приватных сведений с удручающей регулярностью, да и скандалы после каждого такого случая получаются довольно тихими, - как правило, без слетающих погон, увольнений и показательных судов. Первым громким случаем подобного рода стала утечка базы Госкомстата, содержащая результаты всероссийской переписи населения 2002 года. Реакция учреждения оказалась показательной. Факт утечки просто-напросто не признали, а потому расследование инцидента начато не было. В дальнейшем аналогичная ситуация повторялась не раз.

Не удалось спустить на тормозах утечку данных из Центробанка РФ о платежах через расчетно-кассовые центры ЦБ за второй и третий кварталы 2004 года. Впервые диски с информацией, защищенной положением о банковской тайне, всплыли в феврале 2005-го. Их предлагали любому желающему всего за 3 тысячи рублей. Скандал докатился до Госдумы. Депутаты обратились в Генпрокуратуру, настаивая на скорейшем расследовании инцидента. Но, несмотря на высокий статус заявителей, дело заглохло.

Видимо, на этом все бы и закончилось, если б уже в мае база с проводками ЦБ не всплыла еще раз, причем в обновленном варианте - с данными и за четвертый квартал 2004 года. Тогда сотрудники Банка России провели собственное расследование, которое якобы завершилась успешно. По крайней мере, в конце октября 2005 года замначальника управления безопасности ЦБ заявил, что источник утечки перекрыт, однако конкретных имен названо не было. В феврале 2006 года какие-то предприимчивые ребята решили сыграть на известной истории и через спам начали рекламировать базу ЦБ за первый квартал 2005 года. Но на сей раз покупателей ждало разочарование. В базе не содержалось информации ни об одной реальной проводке.

В ноябре 2005 года в продаже появилась еще одна база, с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Стоил диск с этими данными относительно дешево - 1500 рублей. Следует отметить, что это был уже не первый случай, когда налоговики допустили утечку. Ранее в Москве можно было приобрести аналогичную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Помимо собственно информации о доходах, любой покупатель мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы нашли и даже выяснили, что некие заинтересованные лица заплатили им за выдачу данных $2,5 млн. Вероятно, именно этот случай стал последней каплей, после которой в Думу был внесен первый вариант законопроекта "О защите персональных данных".

Ну и наконец, весной прошлого года серьезно подмочили репутацию московской паспортно-визовой службе. Выяснилось, что некий Московский центр экономической безопасности (МЦЭБ) уже около года открыто принимает на своем сайте заказы на базу паспортных данных москвичей. За $1200 предлагалась соответствующая информация о 16,5 млн. бывших и нынешних жителей столицы. После того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, поскольку распространение чужих персональных данных в нашей стране до последнего времени было легальным делом. Незаконными были действия сотрудников службы, сливавших эту информацию продавцам, но установить виновных не удалось, так как МЦЭБ вовсе не обязан называть "поставщика".

Из вышеописанных инцидентов можно сделать вывод, что особого пиетета по поводу защиты персональной информации органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как раз и должен привить бизнесменам и чиновникам уважение к личным данным клиентов/граждан. Хотя согласитесь, что поверить в чудодейственное влияние на умы одного-единственного закона непросто.

Как у них

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство - удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя "миллионные" инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.

Последователи Холмса

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах "большой тройки" - Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

В ответ на негодование платежных систем (а к хору возмущенных присоединились Visa и MasterCard) представители CardSystems сообщили, что дыра была обнаружена давно, о чем компания сразу же сообщила в ФБР. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось. Вскоре после инцидента Visa запретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что фирма на данный момент не способна исправить недостатки в своей системе безопасности. На Visa приходилось более половины операций CardSystems.

Из других нашумевших случаев утечки конфиденциальных данных за рубежом можно вспомнить утерю компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов. Не смог сохранить репутацию незапятнанной и Bank of America. Сотрудники банка потеряли носители с данными более чем миллиона клиентов. По некоторым сведениям, диски украли из авиалайнера во время транспортировки. В руках у злоумышленников в числе прочих оказались сведения о сенаторах и военнослужащих.

Теряли персональную информацию и информационные брокеры ChoicePoint и LexisNexis, Калифорнийский и Стэнфордский университеты. Однако именно случай с CardSystems заставил активизироваться правозащитников, требующих изменения законодательства в сфере защиты приватности. Cyber Security Industry Alliance провел опрос среди американцев и выяснил, что 97% респондентов считают проблему ложной идентификации достойной более пристального изучения, а 64% уверены, что усилия правительства в сфере обеспечения компьютерной безопасности пользовательской информации недостаточны.

Абоненты нарасхват

В России среди компаний, теряющих данные клиентов, по количеству инцидентов лидируют телекомы. Впрочем, вряд ли у операторов связи защита персональных данных менее надежна, чем в других структурах, просто на телефонные номера всегда имеется спрос. Поэтому неудивительно, что и российская история утечек из коммерческих баз началась с того, что в 1992 году в Москве появились диски с данными абонентов МГТС. Примечательно (если не возмутительно), что "продукт" регулярно обновляется и его можно приобрести по сей день.

Затем по очереди была украдена клиентская база у каждого из ведущих сотовых операторов. Журналисты все чаще стали задавать компаниям неприятные вопросы. В частности, интересовались, зачем операторам связи нужно собирать так много персональной информации о клиентах, учитывая, что большая их часть не может стать должниками из-за предоплатной схемы работы. Представители одного из телекомов сослались на некую инструкцию тогда еще Главгоссвязьнадзора, существование которой само ведомство отрицает. Самые горячие головы и вовсе считают, что за подобные трюки надо лишать лицензии на оказание услуг сотовой связи. В лицензиях операторов действительно имеется пункт об ограниченном доступе к информации об абонентах. Впрочем, если бы за нарушение этого пункта власти действительно отбирали лицензию, то Россия очень скоро осталась бы вообще без мобильной (да и стационарной) связи.

По итогам доведенных до конца расследований можно сделать вывод, что к троянам и прочим техническим ухищрениям для кражи персональных данных у нас прибегают редко. Как правило, базы просто забираются на флэшке бывшими (а в отдельных случаях и нынешними) сотрудниками, имеющими доступ к информации. А разнообразные правила, согласно которым запрещается вынос дисков и прочих носителей или они подлежат проверке, не создают особых проблем злоумышленникам. В частности, практически нигде не досматривается содержимое накопителей в мобильных телефонах.

Печальные истории

Сейчас на "рынке" баз больший интерес вызывают данные не абонентов, а заемщиков, появление которых было обусловлено введением кредитных историй. О первом случае утечки стало известно в августе прошлого года, когда на адреса нескольких банков и бюро кредитных историй пришел спам. Неизвестные предлагали базу на 700 тысяч людей, бравших потребительские кредиты. Помимо контактных данных, записи содержат сведения о покупке и выданном кредите с указанием суммы, размера ежемесячного платежа, просрочек и наложенных на должника санкций. За все это великолепие продавцы просили 90 тысяч рублей. В сентябре представитель Национального бюро кредитных историй заявил, что утечка произошла из двух или трех банков, названия которых озвучены не были.

Через пару недель после инцидента на Митинском радиорынке появилась база данных о трех тысячах неблагонадежных заемщиков банка 1 ОВК (в настоящее время приобретен Росбанком), которую можно было купить за 900 рублей. Интересно, что продавцы обещали вскоре предложить своим клиентам базу о 3 млн. заемщиков, которую уже успели окрестить "Антикредит". Свое слово митинские распространители сдержали. В чужие руки попала почти треть всех российских кредитных историй. "Антикредит" оказался не только в несколько раз больше по объему, но и более подробным, чем первые базы. Были указаны имена заемщиков, контактные телефоны, домашние адреса, места работы, причины попадания в черный список, такие как просрочка по кредиту или отказ в его выдаче, а также (sic!) банки-источники информации. Стоила база ненамного дороже - 2 тысячи рублей.

Круг подозреваемых

Потенциальных источников утечки данных о заемщиках летом прошлого года было предостаточно. Помимо банков, эта информация имелась у розничных сетей, бюро кредитных историй, коллекторских агентств, а также в Центральном каталоге кредитных историй в ЦБ. Представители последнего, правда, постарались откреститься от причастности к столь масштабному хищению конфиденциальных данных, заявив, что в Банк России поступает не вся информация; а та, что доходит, хранится в зашифрованном виде. Хотя, конечно, памятуя о прошлых инцидентах с российским ЦБ, безоговорочно отметать причастность к делу его сотрудников сложно.

Почти сразу отпали бюро кредитных историй, которые не так долго работают, чтобы собрать данные о 700 тысячах клиентов. Вне подозрений оказались и коллекторские агентства, владеющие только списками должников, тогда как в базе имелись данные и о добросовестных плательщиках. Таким образом, среди потенциальных источников утечки остались крупные банки, специализирующиеся на рынке потребительского кредитования, среди которых Инвестсбербанк, Росбанк, Русский Стандарт, Хоум Кредит и др.

Интересно, что теоретически в утечке заинтересованы и сами банки, которым выгоднее пользоваться нелегально добытой базой, нежели делать платные запросы в бюро кредитных историй и несколько дней ждать ответа.

Самим заемщикам, абонентам, клиентам, налогоплательщикам, автолюбителям и пр., в общем, нам с вами, увы, практически нереально призвать к ответственности компании или госучреждения, которые не смогли уберечь наши личные данные и сделали их объектом свободной купли-продажи. Хотя законодательство признает пострадавшими лиц, чьи данные не были защищены должным образом, и допускает обращение в суд с требованием возместить ущерб. Но выиграть такое дело непросто, поскольку для этого нужно, во-первых, предоставить документ, в котором организация обязалась не распространять вверенные ей персональные данные, а достать его во многих ситуациях проблематично, а во-вторых, надо доказать, что виновником утечки является именно ответчик. Сделать это, разумеется, тоже сложно и дорого.

Закон

Недавно вступивший в силу закон закрепляет обязательства каждой организации, владеющей персональными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, скорее он унифицировал ранее разрозненные требования к защите личных данных. Лица, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона любая компания может быть лишена лицензии на свою деятельность и подвергнута судебному преследованию со стороны пострадавших. Но все это можно было проделать и раньше, однако почему-то не делалось.

Правда, теперь можно привлекать и продавцов персональных данных, так как распространение тоже становится подсудным делом. К тому же закон заставил чиновников и бизнесменов зашевелиться, поскольку устанавливает некие нормативы обеспечения безопасности данных, требующих интеграции новых программных продуктов и изменения организационных процедур при работе с конфиденциальной информацией. Тем не менее закону не достает конкретики. В нем, например, сказано, что организация должна "принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства" для того, чтобы защитить персональные данные от таких действий, как "неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение". Более четкие требования будут разработаны позднее Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК). Это же ведомство займется проверкой исполнения закона в организациях.

Еще одно новшество - это ограничения длительности хранения приватных сведений. Держать их можно не дольше, чем требуют цели обработки данных, после чего информация подлежит уничтожению в течение трех дней. Имеются в виду именно персонифицированные данные. Информация, которую нельзя сопоставить с конкретным человеком, может храниться и дальше - например, для статистических целей. Некоторые представители банков и других организаций уже заявили, что положения закона трудновыполнимы, но обойти их вряд ли удастся.

Лицо, занимающееся сбором и обработкой персональных данных, должно уведомить о своих действиях контролирующий орган, объяснив преследуемые цели. Перечень держателей персональных данных должен быть открытым, и любой гражданин имеет право осведомиться у той или иной организации, что она о нем знает. Упоминается в законе и то, что для получения данных следует заручиться согласием лица, их предоставившего.

Интересно, что этот закон был одним из немногих (если не единственным) российских нормативных актов, непосредственно связанных с приватностью граждан, который не вызвал возмущения у правозащитников. Правда, когда законопроект только поступил на рассмотрение в Думу, депутаты были настроены куда менее благодушно. Они протестовали против двух пунктов закона, предусматривающих создание единой системы персонального учета населения (СПУН), в которую должны были быть занесены, помимо всего прочего, и биометрические данные. Но президент порекомендовал эти положения из закона исключить, и во втором чтении о них речи уже не шло. Правда, единая база в России все же будет. Для такого дела в Госдуме обещают со временем принять отдельный закон. Только теперь говорят не СПУН, а госрегистр, и фигурирует в проекте не девятнадцать параметров, а только шесть: ФИО, пол, дата, год рождения. Но все это о нас можно разузнать и сегодня из баз, украденных в госведомствах, так что хуже уже не будет.

- Из журнала "Компьютерра"

http://www.computerra.ru/focus/312185/

Двух человек задержали за пользование "частным" WiFi

Заметив ноутбук в припаркованном неподалеку от дома автомобиле, владельцы точки доступа предпочли вызвать полицию, а не обезопасить свою сеть стандартами WEP или WPA (в ней не использовалось никакой защиты).

Как сообщает BBC, в Великобритании зарегистрированы первые случаи обращения в полицию по поводу использования чужой открытой беспроводной сети.

И если в одном случае владелец машины не скрывал ноутбука, то в другом случае женщина-водитель закрыла окна автомобиля картоном. Владельцы дома (и точки доступа в нем), впрочем, все же разглядели ноутбук в щели между картоном. Оба «хакера» были доставлены в полицию, где им было вынесено предупреждение о недопустимости использования чужой сети с целью избежания оплаты за услуги интернет-доступа.

Корреспондент BBC приводит, в свою очередь, убедительный (для британцев) аргумент против использования чужих сетей – дескать, таким образом можно заходить на запрещенные порносайты, а пользователя при этом будет трудно отследить.

Американцы из Techdirt.com вполне обоснованно опровергают необходимость наказания за использование чужой открытой сети. В первую очередь, они говорят о том, что пользователь никак не может различить открытую частную сеть и публичную сеть. «Если человек попадает в открытую сеть Wi-Fi без физического проникновения, должен ли он быть наказан, или же владелец сети должен сам позаботиться о ее безопасности?», - спрашивают авторы Techdirt.

И если в Британии дело ограничивается лишь предупреждениями, то в Сингапуре принят закон, по которому человек, подключившийся к чужой сети, может сесть в тюрьму. Двое сингапурцев уже под арестом, но в их случае пока что не ясно – была ли сеть открытой и как судьи собираются доказывать факт совершения преступления.

Судя по комментариям пользователей Techdirt, отключить автоматическое подключение к беспроводным сетям в своем ноутбуке стоит жителю любой страны – от греха подальше. Потому что даже в Америке одни пользователи призывают к здравому смыслу, а другие тут же предлагают производителям оборудования Wi-Fi добавлять надпись «Not public» к названию сети по умолчанию. И все это делается лишь оттого, что некоторые владельцы точек доступа не в состоянии прочитать документацию к устройству и настроить хоть какое-нибудь шифрование!

Источник: Webplanet

http://soft.mail.ru/pressrl_page.php?id=21396

Сеть Госдепартамента США была взломана через дыру в Microsoft Office

Текст: Владимир Парамонов

Представители американского Бюро дипломатической безопасности сделали официальные заявления по поводу прошлогодней хакерской атаки на Государственный департамент США.

В конце мая прошлого года неизвестные злоумышленники получили несанкционированный доступ к компьютерам Госдепартамента и похитили ряд конфиденциальных документов. Как сообщает Associated Press со ссылкой на заявления Дональда Рейда, координатора Бюро дипломатической безопасности, взлом был осуществлен посредством электронного сообщения, отправленного одному из сотрудников Государственного департамента США. Письмо, содержавшее вложенный документ в формате Microsoft Word, выглядело так, будто было отправлено из надежного источника. Однако, открыв файл, получатель, сам того не подозревая, предоставил киберпреступникам доступ к компьютерной сети Госдепартамента.

Рейд отмечает, что вредоносный документ эксплуатировал неизвестную на тот момент уязвимость в офисном пакете Microsoft. Обнаружив факт проникновения в сеть, служба безопасности Государственного департамента США была вынуждена временно отключить доступ в интернет, а информация о дыре была направлена в корпорацию Microsoft. Однако соответствующая заплатка появилась только 8 августа, то есть, спустя два месяца после взлома. И это притом, подчеркивает Рейд, что даже Федеральное бюро расследований обращалось к руководству Microsoft с просьбой ускорить процесс разработки патча.

Дональд Рейд не стал уточнять, откуда именно проводилась атака на компьютерную сеть Государственно департамента США, и подозревают ли американские спецслужбы в организации нападения правительства других стран. Однако Рейд заметил, что на устранение последствий взлома ушло больше месяца.

http://security.compulenta.ru/315745/

Американцы потеряли номера соцстрахования трех миллионов человек

Компания Affiliated Computer Systems (ACS) потеряла компакт диск с информацией о 2,9 миллиона жителей США, сообщает The Register.

Департамент общественного здоровья штата Джорджия нанял компанию ACS для обработки информации об именах, адресах, датах рождения и номерах социального страхования почти трех миллионов жителей штата. 9 апреля 2007 года диск, содержащий информацию, был утерян. Департамент ведет активные поиски информации, для чего проверяет всех сотрудников ACS, задействованных в обработке данных.

Это третий случай потери персональной информации за последние 10 дней. В Университете Калифорнии потеряли данные на 46 тысяч человек, а из офиса организации Chicago Public Schools вынесли ноутбук с номерами социального страхования 40 тысяч учителей.

http://lenta.ru/news/2007/04/11/georgia/

Хакеры украли данные о 45,7 млн. клиентах магазинов T.J.Maxx и Marshall's

Текст: Наталья Дембинская

Крупные розничные сети дисконтных магазинов одежды в США T.J.Maxx и Marshall's подверглись масштабной атаке со стороны хакеров, сообщает Associated Press. Мошенники украли персональные данные о кредитных картах в общей сложности более 45,7 млн их покупателей. Эксперты называют случившееся самой крупной кражей данных в истории. Компания-владелец обоих магазинов TJ Companies отмечает, что объем украденной хакерами информации может оказаться и более существенным. Эксперты винят TJX и другие подобные компании в некомпетентном управлении данными пользователей, в частности, несвоевременном удалении информации о платежах своих клиентов, и слабом шифровании данных.

По подозрению в причастности к делу TJX полиция уже арестовала группу мошенников из 10 человек, которые обманным путем приобрели специальные подарочные карточки сети магазинов Wal-Mart в Северной Флориде. Правоохранители подозревают, что, возможно, эти люди использовали украденную информацию о клиентах TJX, и с помощью незаконно полученных карточек приобрели электронику и другие товары на общую сумму $1 млн через Wal-Mart Sam's Club.

Кража информации о кредитных картах клиентов происходила в период с 2003 по 2006 год. Представители TJX утверждают, что сроки действия большинства номеров украденных карт уже истекли, а в остальных случаях хакерам не удалось получить секретный код, прописанный на магнитных полосках карт.

Сейчас за расследование кражи данных TJX взялась Федеральная торговая комиссия, и компании грозит крупный штраф. Пострадавшие клиенты также подали ряд исков против этой компании.

http://security.compulenta.ru/313356/

Кража: хакеры поставили новый рекорд

Скандальная история с утечкой информации из базы данных американской торговой сети TJX Cos. обрастает новыми подробностями. Как стало известно, в распоряжении хакеров оказались данные о 45,7 млн. кредитных и дебетовых карт. Этот инцидент обернется для пострадавшей компании многомиллиардными расходами.

Утечка данных, включая номера кредитных карт и сведения о транзакциях, была выявлена в конце января текущего года. В результате действий киберпреступников пострадали тысячи покупателей из Великобритании, Канады, США, Ирландии и Южной Кореи. Было выявлено, что недоброжелатели получили доступ к сведениям о покупках в магазинах США, Канады и Пуэрто-Рико с 2003 г. Само похищение было осуществлено еще летом 2005 г., однако его последствия стали заметны только в этом году. Заметим, что TJX Companies является управляющей компанией одной из крупнейших американских торговых сетей. В ведении TJX находится около 2,5 тыс. розничных магазинов.

По данным InfoWatch, прямые издержки (почтовые и телефонные уведомления, внутренние расследования, найм адвокатов и пр.) составляют в среднем $54 на каждого пострадавшего. Косвенные издержки — $30. В калькуляцию не вошли расходы на реанимацию имиджа и оплату штрафов, налагаемых со стороны государственных регулирующих органов. Таким образом, TJX угрожают огромные расходы в размере $3,7 млрд. Точный ущерб до сих пор не оценен.

«Век массовых коммуникаций провоцирует массовость сопутствующих инцидентов. 45 млн. кредитных карт, утекших в неизвестном направлении, — случай серьезный, но не из ряда вон выходящий, — комментирует директор по маркетингу InfoWatch Денис Зенкин. — Ранее на этом поприще «отличились» многие другие государственные и коммерческие организации как в России, так и за рубежом».

«Этот случай выявил вопиющий факт невнимательности службы информационной безопасности, — добавляет г-н Зенкин. — Факт взлома системы оставался незамеченным на протяжении полутора лет, что просто неслыханно. Это подтверждает, что в компании не проводился аудит защиты и отсутствовал эффективный контроль данных». Как считает эксперт, для предотвращения подобных инцидентов требуется внедрение комплексной системы защиты, которая позволяла не только контролировать внешние (в том числе хакерские атаки) и внутренние (действия инсайдеров, возможно по сговору с сообщниками извне) ИТ-угрозы, но и проводить анализ движения данных для выявления подозрительной активности. Таким образом можно без труда обнаружить утечку данных, уверен он.

Как считают в «Информзащите», для того чтобы предотвратить или хотя бы существенно уменьшить потери от такого рода угроз, был создан стандарт PCI DSS. Выполнение требований этого стандарта как раз позволяет минимизировать места хранения номеров кредитных карт и обеспечить их защиту, а требуемые стандартом процедуры мониторинга и реагирования на инциденты обеспечивают выявление такого рода взломов на ранних этапах.

Заметим, что одним из наиболее громких скандалов, который окончился банкротством виновника, произошел в середине 2005 г., когда крупнейший американский процессинговый центр платежей по кредитным картам CardSystems Solutions объявил об утечке данных о 40 млн. карт. Не меньший резонанс вызвал скандал прошлого года в Министерстве по делам ветеранов США. Тогда «утекли» данные о почти 30 млн. человек.

Адрес статьи: http://www.cnews.ru/news/top/index.shtml?2007/03/30/243279

Автомобильные GPS-системы уязвимы для хакерских атак

Эксперты обнаружили, что крайне популярные среди автомобилистов навигационные GPS-системы, построенные на базе стандарта Radio Data System-Traffic Message Channel, отличаются крайней ненадежностью, пишет http://www.engadget.com .

Внимание специалистов привлек тот факт, что данные о географическом местоположении передаются по каналам RDS-TMC в незашифрованном виде и могут быть с легкостью перехвачены.

Андрэ Барисани (Andrea Barisani), сотрудник итальянской консалтинговой компании Inverse Path, подтвердил возможность не только перехвата сигнала, но и его фальсификации. Таким образом, хакеры смогут заставить незнакомого с местностью водителя двигаться в нужном им направлении.

Нужно ли говорить, какие возможности открывает обнаруженная уязвимость перед различного рода злоумышленниками. Спектр возможных преступлений простирается от обычных разбойных нападений до нечестной конкурентной борьбы, в ходе которой представители одной из сторон могут инициировать опоздание сотрудника на важную деловую встречу или устроить «заказную» пробку.

http://soft.mail.ru/pressrl_page.php?id=21019

Агенты ФБР расследуют случаи краж персональных данных за рубежом

Текст: Георгий Мешков

В своем недавнем обращении к Конгрессу США помощник заместителя министра юстиции Соединенных Штатов Рональд Тенпас обнародовал информацию о нынешнем положении на рынке похищенной конфиденциальной информации. Согласно статистике, в прошлом году от действий мошенников пострадали не менее девяти миллионов жителей Соединенных Штатов, а ущерб оценивается в 50 миллиардов долларов США.

Тенпас обрисовал известные схемы работы мошенников, отметив, что за хищением данных обычно стоят хорошо организованные преступные группировки, расположенные, как правило, за пределами Соединенных Штатов - в России, Румынии и других странах. К счастью, скрытно использовать похищенную банковскую информацию, скажем, в России практически невозможно, поэтому злоумышленникам приходится прибегать к изощренным схемам отмывания денег. Так, в течение некоторого времени с преступниками из Восточной Европы сотрудничал житель штата Вирджиния, выступавший в Сети под ником Джон Диллинджер. Он получал от преступников краденые номера кредитных карт, изготавливал фальшивые карточки, снимал деньги в банкоматах и отправлял их мошенникам, оставляя небольшой процент себе. В феврале нынешнего года Диллинджер был осужден на 94 месяцев тюрьмы за мошенничество.

На сегодняшний день ФБР наладило совместную работу с властями Румынии по расследованию случаев хищения персональных данных. По словам Тенпаса, в прошлом году шесть агентов ФБР выезжали в Бухарест в рамках программы Cardkeeper, способствовавшей аресту 13 подозреваемых в США. Успех совместной операции привел к тому, что в настоящее время агенты ФБР работают на территории Румынии на постоянной основе. Вместе с тем, Тенпас подчеркнул, что кража персональных данных - отнюдь не "иностранная" проблема, поскольку большинство серверов, используемых для получения и распространения краденных данных, расположены на территории США.

В свою очередь, Тенпас работает в тесном сотрудничестве с Оперативной группой по расследованию случаев хищения персональных данных при президенте США. Рабочая группа была основана в мае прошлого года, в ее состав входят представители 17 государственных организаций, занятые созданием рекомендаций по сокращению числа случаев кражи конфиденциальной информации, сообщает Ars Technica.

http://security.compulenta.ru/312419/

Идем на рекорд

Тучи сгустились над одной из крупнейших в мире сетей розничного дискаунта, американской TJX и миллионами ее покупателей. Первой грозят почти 4 млрд. долларов убытков и годы восстановления репутации, а вторым - опустошение банковских счетов. А все из-за вопиющего просчета в системе ИТ-безопасности, благодаря которому хакеры смогли похитить сведения о 45,7 млн. кредитных и дебетовых карт клиентов более чем 2300 магазинов TJX в США, Канаде, Англии и Ирландии.

Канун рождества 2006 года надолго останется в памяти руководства и службы ИТ-безопасности TJX. 18 декабря было обнаружено, что неизвестные лица аж с июня 2005-го имели доступ к компьютерной системе, занимающейся обработкой финансовых транзакций по пластиковым картам. Под угрозой оказались счета людей, ставших клиентами TJX за период с января 2003-го по ноябрь 2006 года, причем многие из них также "засветили" водительские права и другие удостоверения личности.

Инцидент до сих пор окутан туманом. Компания жестко дозирует публикацию любой информации, пытаясь погасить скандал. Официальные сообщения TJX содержат лишь сухие рафинированные сведения и изобилуют извинениями и призывами к лояльности. Эксперты, однако, предполагают, что в данном случае сработала хитроумная комбинация шайки киберпреступников. Компания InfoWatch сомневается в успешности банального взлома сети крупного ритейлера и считает, что дело не могло обойтись без помощи засланного в TJX казачка.

Тем временем к расследованию подключились эксперты по ИТ-безопасности из General Dynamics и IBM, а также власти США и Канады. Банки-эмитенты проводят мониторинг операций и в массовом порядке блокируют скомпрометированные счета: только Fitchburg Savings Bank был вынужден перевыпустить 1300 карт. По мнению Массачусетской банковской ассоциации, инцидент может задеть сотни банков по всему миру. Так, American Express, VISA и MasterCard уведомили корейские власти и финансовое сообщество, что утечка затронула примерно 15 тысяч жителей страны. Логично предположить, что и российским гражданам-клиентам TJX стоит озаботиться получением новых пластиковых карт, чтобы не обнаружить утечку средств или блокировку в самый неподходящий момент.

Судя по всему, TJX побила рекорд 2005 года компании CardSystems Solutions - тогда в неизвестном направлении уплыли данные о 40 млн. карт. История имела трагический финал: после разрыва отношений с основными кредитными системами и жесткого прессинга со стороны государства компания была приобретена за символическую цену небольшим конкурентом Pay By Touch. Несмотря на гораздо больший масштаб скандала, TJX вряд ли постигнет судьба CardSystems Solutions. На кону десятки тысяч рабочих мест, сильнейшее лобби в коридорах власти, оборот в 16 млрд. долларов и 138-е место в списке Fortune 500. Воистину, It’s Good to be King. Правда, на горизонте все же маячат нешуточные убытки и штрафные санкции: InfoWatch оценивает прямые и косвенные убытки TJX на ликвидацию последствий инцидента в $3,7 млрд. ДЗ

http://offline.computerra.ru/offline/2007/682/314728/

Кардеры выудили из авиакомпаний 446 миллионов евро

Мошенники, занимающиеся воровством номеров кредитных карт (кардеры) ограбили мировые авиакомпании на 446 миллионов евро. Косвенно виной тому стала развивающаяся система бронирования билетов через Интернет, сообщает "Финмаркет".

В ходе специального исследования, проводившегося по всему миру, было опрошено 42 авиалинии. 80% сообщили, что в прошлом году сталкивались с такими случаями. Общий убыток мировой отрасли от мошенничеств разного рода составил более 440 миллионов евро, то есть в среднем по 2,2 миллиона на каждую авиакомпанию. Из них в среднем по 740 тысяч евро приходится на убытки от обмана, совершенного с помощью кредитных карт.

Российской авиакомпании S7 Airlines, судя по всему, подобная напасть пока не грозит - в период с 20 по 24 апреля через сайт компании было куплено 567 электронных билетов (113 билетов в день), что составляет 8,4% от числа всех проданных за этот период авиабилетов через Интернет, сообщает "Финам". Но если кардеры (их, кстати, много среди украинцев) возьмутся за дело всерьез, то ситуация может принять нешуточный оборот и в наших палестинах.

Между тем российских фишеров (их деятельность схожа с кардерской) признали самыми опасными в мире. Арджен де Ландграаф, основатель сервиса E-Secure-IT, заявил, что наибольшую опасность представляют российские фишеры, которые не только занимаются выуживанием информации у клиентов банков, но и угрожают атаками на сайты кредитных учреждений, пытающихся им противодействовать. Доходы этой неуловимой русской группировки оцениваются в 150 миллионов долларов.

Источник: Webplanet

http://soft.mail.ru/pressrl_page.php?id=21605