Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
ИТ-компания потеряла персональные данные более миллиона клиентов
В Сингапуре компания GeniusU, занимающаяся разработкой ИТ-сервисов для сферы образования, была оштрафована за то, что допустила инцидент, в ходе которого были похищены персональные данные 1,26 млн человек. Хакерам удалось получить персональные данные, скомпрометировав учетную запись одного из сотрудников.
Этот инцидент информационной безопасности является одним из крупнейших в Сингапуре за последние годы. Компания GeniusU узнала о нарушении в начале 2021 г., но сам инцидент информационной безопасности случился в ноябре 2020 г. Хакерам удалось получить доступ к такой конфиденциальной информации, как имена и фамилии, адреса электронной почты, данные о местоположении, а также IP-адреса. Руководитель отдела продуктов GeniusU Кэтлин Хэмильтон (Kathleen Hamilton) признала факт утечки конфиденциальной информации в сообщении на официальном сайте компании.
Внутреннее расследование GeniusU показало, что утечка, вероятно, произошла в результате доступа к учетным данным одного из разработчиков. Выяснилось, что логин и пароль для входа в базу данных GeniusU хранились в репозитории GitHub. Разработчик либо использовал слабый пароль к репозиторию, либо его пароль был каким-то способом скомпрометирован. Так или иначе, злоумышленники, получив доступ к учетной записи на GitHub, смогли проникнуть в хранилище GeniusU и скачать данные.
Сингапурская комиссия по защите персональных данных (PDPC) решила оштрафовать компанию GeniusU за допущенную утечку. В своем решении, опубликованном 21 апреля, информационный регулятор пояснил, что GeniusU не приняла разумных мер безопасности для предотвращения несанкционированного доступа и кражи персональных данных пользователей.
Назначенный штраф в размере 35 тыс. сингапурских долларов (примерно $25,5 тыс.) является довольно мягким c учетом огромного количества скомпрометированных записей персональных данных. Мотивируя свое решение, чиновники из PDPC отметили, что утечка из GeniusU не затронула такую важную информацию, как сведения о финансовых счетах и медицинские данные.