Крупнейшие утечки

Ольга Салахеева,
руководитель аналитического центра SearchInform

Компания SearchInform, лидер рынка России и других стран СНГ в сфере обеспечения информационной безопасности организаций, составила рейтинг самых громких утечек информации, произошедших в 2011 году. Данные этого рейтинга любопытны, симптоматичны и весьма поучительны.

В январе наиболее заметными событиями в сфере информационной безопасности стали: утечка аккаунтов iTunes, которыми пытались торговать на китайском аналоге eBay китайские хакеры, а также крупная утечка номеров кредитных карт клиентов британской косметической компании Lush. Но самым громким инцидентом января, пожалуй, стоит считать появление в общем доступе исходных текстов продуктов компании «Лаборатория Касперского» — пусть, как выяснилось позднее, эти «исходники» и были достаточно старыми.
В феврале крупную утечку данных допустила Идентификационная и паспортная служба Великобритании; также крупным инцидентом стала утечка данных 2,4 тыс. клиентов программы здравоохранения Medi-Cal в США. В целом же, февраль был относительно спокойным месяцем в плане утечек информации.
Зато март оказался «урожайным»: Cord Blood Registry (CBR), крупнейший национальный банк стволовых клеток в США, обнаружил утечку незащищенных персональных данных 300 тыс. клиентов; компания по медицинскому страхованию Health Net пострадала от утечки данных 1,9 млн своих клиентов. Также крупную утечку данных допустил американский банк Morgan Stanley — ее размеры так и не были обнародованы, но банк сообщил, что в открытый доступ попала «очень чувствительная информация».
В апреле, к сожалению, утечек данных тоже было достаточно много. Страховая и пенсионная компания Phoenix Ireland сообщила о потере личных данных около 50 тыс. своих нынешних и бывших клиентов. Очень крупной оказалась утечка, допущенная Управлением финансов Техаса, выложившим в открытый доступ данные 3,5 млн человек — пожалуй, эта утечка может по праву считаться крупнейшим из инцидентов весны уходящего года. Отделение частной некоммерческой организации Family Planning Council в Филадельфии сообщило также о крупной утечке данных — из компании был украден флэш-накопитель, содержащий личную и медицинскую информацию около 70 тыс. пациентов. Также крупной оказалась утечка адресов электронной почты из службы рассылок Epsilon, но в силу характера утекших данных большого вреда она не нанесла.
Май также принес немало инцидентов. Комиссия по ценным бумагам и биржам США сообщила об утечке личных данных около 4 тыс. своих сотрудников. Утечка данных из банковской системы Австралии стала причиной аннулирования 10 тыс. кредитных карт местных жителей, а медицинская клиника Dunes Family Health Care из американского города Ридспорт сообщила об утечке данных 16 тыс. своих пациентов. Но самой крупной утечкой мая (и всего 2011 года) стал инцидент с участием компании Sony, которая допустила попадание в общий доступ информации о счетах более 100 млн человек.
Количество пострадавших от утечек данных в июне, пожалуй, даже превысило аналогичный показатель для весны. Так, например, ноутбук, содержащий записи о 8,63 млн пациентов был украден из лондонского отделения Государственной службы здравоохранения Великобритании, а из Института директоров Австралии — ассоциации, объединяющей руководителей различных предприятий и организаций — был украден компьютер с персональными данными примерно 28 тыс. человек. Из-за влома сайта от утечки данных пострадали клиенты компании Sega — эта утечка оказалась очень крупной, поскольку скомпрометировано было 1,3 млн учетных записей. Банковская группа Citigroup Inc заявила о хищении хакерами информации о почти 200 тыс. владельцев пластиковых карт банка в Северной Америке. Крупным инцидентом в июне отметилась и Индия — вся база данных пользователей SoSasta.com (индийский клон Groupon, куплен американской компанией в январе 2011 года) случайно попала в открытый доступ и была проиндексирована Google. База включает в себя почтовые адреса и пароли в открытом виде 204926 пользователей. В очередной раз пострадала и Sony, на сей раз более 2 млн учетных записей «утекли» с SonyPictures.com.
В июле группировка Anonymous опубликовала данные, полученные в результате серии хакерских атак на военного подрядчика Booz Allen Hamilton, включая 90 тыс. почтовых аккаунтов военных. В этом же месяце Рунет всколыхнула история с SMS-сообщениями абонентов компании «Мегафон», попавшими в кэш поисковой системы «Яндекс». Тогда же случился и еще один «поисковый» скандал: поиск «Яндекса» и Google проиндексировал более 50 тыс. страниц с информацией о покупателях онлайн-магазинов. В том числе в Сеть попали сведения о клиентах секс-шопов.
Среди утечек августа первое место по праву можно присудить инциденту с участием компании Epson, который, не будь «100-миллионной» утечки из Sony, мог бы стать крупнейшей утечкой данных в году: злоумышленникам удалось похитить данные учетных записей 35 млн клиентов компании. Среди других крупных инцидентов можно упомянуть утечку данных 90 тыс. клиентов японского отделения Citigroup; утечку логинов, паролей и почтовых адресов 15 тыс. пользователей онлайн игры World of Tanks; утечку данных более чем 214 тыс. австрийских телезрителей и радиослушателей из компании GIS; а также попадание в публичный доступ данных более 20 тыс. клиентов и сотрудников медицинской компании Swedish Medical Center. В августе не обошлось без курьезов: из-за утечки информации пострадал... сайт WikiLeaks, специализирующийся на публикации «утекших» конфиденциальных данных.
Сентябрь также принес с собой несколько крупных утечек данных. Так, ведущая компания Южной Кореи по выпуску кредитных карт, Samsung Card Co., стала виновником утечки персональных данных 800 тыс. своих клиентов. Еще 920 тыс. человек пострадали из-за утечки персональных данных, допущенных компанией KOMSCO, также расположенной в Южной Корее. А британский фонд Eastern and Coastal Kent Primary Care Trust, занимающийся обслуживанием инвалидов и пожилых людей в графстве Кент, сообщил о потере диска с персональными данными 1,6 млн человек.
В октябре также было несколько утечек-«миллионеров». Во-первых, Science Applications International Corporation (SAIC) потеряла ленту с персональными данными более 5 млн американских военнослужащих. Во-вторых, организация Nemours, которая предоставляет медицинские услуги для детей в США, допустила утечку персональных данных 1,6 млн своих клиентов и сотрудников. Такое же количество персональных данных «отпустила» в открытый доступ и российская МТС — вернее, данные утекли еще в 2006 году, а в октябре 2011 года были опубликованы на сайте zhiltsy.net. К чести российских регуляторов, сайт успел проработать всего пару недель, после чего его принудительно закрыли.
В ноябре представители организации Sutter Health, которая объединяет несколько медицинских учреждений в США, заявили об утечке личных данных пациентов двух подразделений организации. В результате данного инцидента оказались скомпрометированными данные более 4,2 млн пациентов. В этом месяце в рейтинге утечек опять отметились индусы: индийская компания Power Finance Corp допустила утечку личной информации 120 тыс. инвесторов. Личные данные инвесторов PFC были размещены на общедоступном домене корпорации. А обогнала всех по количеству пострадавших в результате утечки Южная Корея, где данные 13,2 млн пользователей онлайн-игры Maple Story были украдены в результате хакерской атаки.
Наконец, в декабре произошла утечка данных 6 миллионов пользователей China Software Developer Network, а румынские кардеры похитили номера 80 тыс. банковских карт клиентов Subway. Также достаточно громким стал инцидент в Нью-Йорке, где власти Манхэттена раскрыли огромную сеть из 55 инсайдеров, которых обвиняют в финансовом мошенничестве и краже личных данных. Среди них сотрудники банков и крупных компаний Нью-Йорка, которые, по мнению властей, участвовали в краже более $2 млн у сотен американцев.
Как отметил аналитик компании SearchInform Роман Идов, в 2011 году среди крупных утечек преобладали инциденты, связанные с ошибками персонала и недостаточной защищенностью организаций. «Халатное отношение к вопросам обеспечения информационной безопасности сегодня демонстрирует непозволительно большое количество организаций по всему миру, — считает Идов. — Будем надеяться, что организации России и других стран СНГ, ознакомившись с нашим рейтингом утечек, не захотят попасть в него в 2012 году, и всерьез возьмутся за защиту своей информации».