Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Персональные данные: ритейлер оштрафован за утечку на $400 тыс.
Американская сеть супермаркетов Wegmans Food Markets заплатит крупный штраф за то, что в прошлом году случайно скомпрометировала персональные данные миллионов клиентов. Розничная компания в течение нескольких лет хранила персональные данные на незащищенном облачном сервере.
Генеральная прокуратура штата Ньй-Йорк объявила в четверг 30 июня о том, что сеть продуктовых магазинов Wegmans оштрафована на $400 тыс. за то, что раскрыла конфиденциальную информацию более 3 млн покупателей. В частности, ритейлер допустил утечку конфиденциальной информации более 830 тыс. жителей Нью-Йорка.
В заявлении прокуратуры говорится, что на протяжении многих лет сеть Wegmans хранила персональные данные покупателей в неправильно сконфигурированной системе облачных вычислений с открытыми контейнерами, «облегчая хакерам и другим лицам доступ к информации». Кроме того, компания не вела журналы событий в облачных сервисах, что значительно затрудняло расследование инцидентов информационной безопасности.
Скомпрометированные данные включали имена пользователей и пароли к учетным записям системы Wegmans, а также имена клиентов, адреса электронной почты, почтовые адреса и данные из водительских удостоверений.
В апреле 2021 г. исследователь безопасности сообщил компании Wegmans, что обнаружил незащищенным ее контейнер облачного хранилища Microsoft Azure. Найденный кластер был открыт для общего доступа, что могло привести к раскрытию конфиденциальной информации потребителей.
По данным расследования прокуратуры, облачное хранилище Wegmans оставалось открытым с момента его создания в январе 2018 г. до апреля 2021 г. Более того, в мае 2021 г. торговая сеть призналась, что выявила в облаке еще один незащищенный контейнер, который содержал клиентскую базу.
В июне 2021 г. Wegmans начала рассылать уведомления клиентам, чьи данные оказались скомпрометированы. В этих письмах компания отмечала, что утекшие из облачного хранилища пароли были хэшированы с использованием криптографической «соли», то есть фактически не содержали набора символов. Однако, при этом Wegmans порекомендовала покупателям на всякий случай поменять пароли в своей системе и в других сервисах, если в них применялись те же пароли.
В четверг, 30 июня, представители Wegmans заявили, что нет никаких признаков того, что какие-либо клиентские данные использовались не по назначению.
В прокуратуре Нью-Йорка тем временем подчеркнули, что помимо уплаты штрафа в размере $400 тыс., Wegmans необходимо принять дополнительные меры для защиты данных своих покупателей.
Основанная в 1916 г. в городе Рочестере, торговая сеть Wegmans на сегодня объединяет более 100 супермаркетов в семи штатов и насчитывает более 50 тыс. сотрудников.