Pomimo informacji wystosowanej przez rządy, grupy konsumenckie i organizacje przemysłowe, dla których zabezpieczenia IT (IT security) są sprawą nadrzędną, ten rok obfitował w zatrważającą ilość poważnych nadużyć.
Źródło: resources.zdnet.co.uk
Tłumaczenie: Małgorzata Kotlińska, Rzeszów
Niektóre z tych naruszeń nie mogą się równać coraz większej ilości wyszukanych ataków, lecz – w wielu przypadkach – systemy są narażone na szwank w sposób, który nie powinien być możliwy. Oprócz zniszczeń poczynionych marce organizacji, coraz bardziej zaostrzona struktura prawna w tej dziedzinie – prawa takie jak Sarbanes-Oxley – nie powinna nikomu pozostawić wątpliwości jak istotne znaczenie ma prawidłowe zabezpieczenie.
Oczywiście nie ma takiej rzeczy jak 100-procentowo bezpieczny system, ale ten rok pokazał, że niektóre przedsiębiorstwa nadal nie potrafią sprostać podstawom bezpieczeństwa (security). Groźba czynności prawnych z powodu skradzionych danych klienta, w tym potencjalna kara więzienia dla menedżerów odpowiedzialnych za dany dział, nadal nie dotarła do niektórych organizacji, jak ilustrują następujące przypadki.
1. Nadużycie w korporacji TJX Companies
Najgorsze – naszym zdaniem – do tej pory w roku 2007 było zdarzenie nazwane sprawą TJX, które zostało zgłoszone w styczniu, a teraz uważa się, że była to największa w historii firmy ilość odnotowanej utraty danych osobowych.
W marcu TJX, który obsługuje sieci sklepów handlu detalicznego o obniżonych cenach, takie jak TK Maxx w Wielkiej Brytanii oraz TJ Maxx i Marshalls w USA, przyznał, że 45,7 milionów kont klientów zostało narażonych na szwank.
Grupa banków i dostarczycieli kredytów stwierdziła w październiku, że liczba ta mogła być dwa razy wyższa, twierdząc, że skradziono 96 milionów danych z kart kredytowych.
W marcowym dokumencie SEC (Securities and Exchange Commission) TJX zauważa, że cyberprzestępcy po raz pierwszy mieli dostęp do ich systemu komputerowego w lipcu 2005 roku i zainstalowali oprogramowanie, aby zebrać poufne informacje o klientach, takie jak informacje o koncie, nazwiska i adresy, numery praw jazdy oraz identyfikatory wojskowe i stanowe. Nadużycie trwało do połowy stycznia 2007. Szczegóły później ujawniły, że hakerzy włamali się do bezprzewodowej sieci LAN zabezpieczonej przez WEP korporacji TJX w Minesocie.
Konta i transakcje, które zostały zaatakowane to transakcje kartami kredytowymi i debetowymi jak również czeki i zwroty zakupów dokonane bez paragonów w sklepach firm Marshalls, TJ Maxx, HomeGoods oraz AJ Wright w USA i Portoryko. Transakcje przy użyciu kart kredytowych w sklepach TJX's Winners oraz HomeSense w Kanadzie jak i transakcje kartami kredytowymi i debetowymi w sklepach TK Maxx w Irlandii i Wielkiej Brytanii.
2. Strona Monster Job zaatakowana przez hakerów
W sierpniu strona oferująca pracę Monster.com odczuła naruszenie bezpieczeństwa, które – jak doniesiono – skutkowało kradzieżą poufnych informacji od około 1,3 miliona osób poszukujących pracy. Liczba ta została później skorygowana do „milionów”.
Hakerzy skradli informacje z chronionej hasłem biblioteki CV amerykańskiej internetowej agencji rekrutacyjnej przy użyciu uwierzytelnień pobieranych od klientów Monster. Atak został rozpoczęty za pomocą dwóch serwerów z ukraińskiej firmy prowiderskiej połączonych z botnetem. Zaatakowane komputery zostały zainfekowane złośliwym oprogramowaniem zwanym Infostealer.Monstres.
Agencja dowiedziała się o problemie po raz pierwszy 17-go sierpnia, kiedy to śledczy razem z firmą zajmującą się bezpieczeństwem w sieci Symantec poinformowali, że Monster został zaatakowany.
3. Naruszenie informacji dotyczących klientów Salesforce
W listopadzie komputery firmy Salesforce.com (specjalizującej się w hostingu CRM) zostały zaatakowane, kiedy to jeden z pracowników przez pomyłkę wydał szczegóły dotyczące loginu firmowego.
Osoby łowiące (phishers), które „wykiwały” pracownika, użyły następnie tej informacji, aby dostać się do systemów Salesforce i skraść listę klientów. Skontaktowali się z klientami z tej listy, a niektórzy z nich podali poufne szczegóły. Salesforce wystosował publiczne ostrzeżenie po tym, jak przestępcy zaczęli wysyłać złośliwe maile do osób ze skradzionej listy.
Salesforce przyznał, że dane klientów zostały skradzione w wyniku nadużycia, lecz kiedy ZDNet.co.uk skontaktował się z firmą, ta odmówiła podania do wiadomości czy problem dotyczy klientów z Wielkiej Brytanii, czy powstały jakieś szkody finansowe oraz czy zostały podjęte jakiekolwiek czynności dyscyplinarne wobec pracowników w wyniku tego wydarzenia. Nie podano żadnych innych komentarzy w tej sprawie.
4. Nationwide ukarany grzywną na ponad £1milion za kradzież laptopa
W natłoku incydentów dotyczących zagubionych laptopów w roku 2007 prawdopodobnie najsurowszą karą, jaką odczuła brytyjska instytucja, była ta nałożona na Nationwide. W lutym FSA nałożyło karę na firmę branży usług na sumę £1miliona z powodu zagubionego laptopa. Firma straciła laptopa w sierpniu 2006 roku, kiedy to laptop ten został skradziony z domu jednego z pracowników.
Według FSA, Nationwide jest winny braku efektywnego systemu i narzędzi kontroli w dziedzinie zarządzania bezpieczeństwem informacji. FSA odkryło także, że firma Nationwide nie była świadoma, iż laptop zawierał poufne informacje o klientach i przez 3 tygodnie po kradzieży nie podjęła żadnych działań w tej sprawie.
5. Departament Bezpieczeństwa Krajowego USA powoduje rozproszony atak ‘denial-of-service’
Mimo iż nie był to w rzeczywistości przypadek cyberprzestępstwa, była to poważna fuszerka dokonana przez organizację, która powinna się na tym znać. Techniczna pomyłka kontrahenta rządowego (jaka miała miejsce jesienią) sprawiła, że wielu profesjonalistów ds. bezpieczeństwa USA zapchało sobie wzajemnie skrzynki odbiorcze.
W środę, 3-go października, Departament Bezpieczeństwa Krajowego (DHS) wysłał swój codzienny raport Open Source Intelligence Report do „listy subskrybentów zawierającej prawdopodobnie tysiące odbiorców” – napisał w poście na blogu Marcus H Sachs - dyrektor SANS Internet Strom Center. Czytelnik odpowiedział na listę adresową z prośbą o zmianę, a jego e-mail został przesłany to wszystkich subskrybentów z listy.
„W czasie kolejnej godziny tuziny czytelników odpowiedziały, tworząc rodzaj mini ataku DDoS na skrzynki odbiorcze subskrybentów” – napisał Sachs. Prawie połowa e-maili zawierała prośby o zaprzestanie wysyłania kolejnych e-maili lub żądania o usunięcie z listy subskrybentów, pomimo iż instrukcja wypisania się z listy subskrybentów widnieje na dole codziennego raportu DHS – napisał Sachs.
|
