Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Доля утечек по вине подрядчиков снизилась вдвое
По итогам I полугодия 2020 г. экспертно-аналитический центр InfoWatch подсчитал, что виновниками 2% зарегистрированных утечек стали подрядчики и партнеры компаний. Это вдвое ниже, чем в I полугодии 2019 г., когда эта категория нарушителей спровоцировала около 4% утечек.
Исследователи безопасности приобрели на электронном аукционе eBay ноутбук, на котором оказались данные о подвижном ракетном комплексе немецких вооруженных сил. Документы на ноутбуке имели гриф секретности, правда, самого низкого уровня по немецкой военной классификации. При этом доступ к информации можно было получить довольно легко: для входа в Windows не требовался пароль, а программа с документацией о вооружениях была защищена простым паролем. Как удалось выяснить журналистам, ноутбук через аукцион eBay был продан фирмой по переработке технических отходов, находящейся в городе Бинген.
В Великобритании разгорелся скандал вокруг утечки из Министерства образования (DfE). Выяснилось, что подрядчик вольно распорядился доверенной ему информацией, и она в итоге оказалась в руках компаний, занимающихся ставками в интернете. Расследование, проведенное изданием Sunday Times, показало, что утечка произошла через компанию Trustopia – британское Минобразования использует ее интеллектуальные сервисы в сфере обучения. Сама Trustopia отрицает факт злоупотреблений с данными, но в заявлении DfE подчеркивается, что эта фирма некорректно предоставила доступ к базе Learning Records Service оператору «больших данных» GB Group, тем самым нарушив подписанное соглашение.
Полиция Индии разоблачила группу мошенников, которые выводили деньги со счетов клиентов Axis Bank. В преступную группу входил сотрудник ACL Mobile Ltd – подрядной организации, отвечающей за предоставление процессинговых услуг. Менеджер ACL фотографировал клиентские данные с экрана компьютера и пересылал их сообщникам. Всего мошенники успели вывести средства около 1000 клиентов банка – общая сумма ущерба составила 25 млн рупий.
В США сеть клиник Mercy Health сообщила об утечке в результате действий сотрудника подрядной организации. Из-за человеческой ошибки список с персональными данными 2487 пациентов был отправлен по некорректным адресам.
Нельзя забывать, что подрядчики и партнеры могут быть косвенными виновниками утечек конфиденциальной информации. Здесь стоит напомнить о разрушительном инциденте, который произошел в компании BlackBaud. Этот облачный провайдер в мае стал жертвой хакерской атаки с использованием вируса-вымогателя. На сегодня известно, что злоумышленники завладели данными порядка 200 клиентов BlackBaud. Вероятно, в руки хакеров попала личная информация миллионов людей. Среди компаний, пользующихся услугами BlackBaud, в основном медицинские учреждения, университеты, колледжи, а также музеи и благотворительные фонды.