Újabb adatszivárgás a Sonynál: 1 millió érintett ügyfél

2 hónappal ezelőtt a Sony bejelentette, hogy több mint 70 millió felhasználó adata szivárgott ki a Playstation és a Qriocity szervereket ért támadások következtében. A múlt héten újabb hackertámadás áldozataivá váltak a cég belgiumi és hollandiai fókjai.

A hackerek 1 millió felhasználó e-mail címét, jelszavát, postacímét és születési dátumát szerezték meg.

A támadást a LulzSec nevű csoport  kezdeményezte, mivel felfedezték, hogy a jelszavak nem voltak titkosítva. “Nem lehet bízni egy olyan cégben, mely az alapvető biztonsági követelményeknek sem felel meg és a legegyszerűbb támadásokat sem képes elhárítani”, mondták ők.

Az egézszségügyben történő biztonsági rések nagy részét a hordozható eszközök elvesztése vagy lopása okozza

Habár számos megoldás létezik már az adatszivárgások megelőzésére, az egészségügyben történő emberi hibák okozta biztonsági rések száma egyre növekszik. Laptopok, merevlemezek, pendriveok és egyéb hordozható tárolóeszközök elvesztése, lopása vagy illetéktelen kezekbe való kerülése által emberek ezrei esnek jól megtervezett csalások áldozataivá.

Például, 20.000 bejegyzést tartalmazó notebookot loptak el a múlt hónapban a Reid Kórház egyik alkalmazottjától. A laptop azon páciensek adatait tárolta, akik 1999 és 2008 között vették igénybe a kórház szolgáltatásait.

A phoenixi fogorovosoktól ellopott titkosítatlan pendrive 10.000 pácienst érint, akik most könnyen identitáslopás vagy más csalások áldozataivá válhatnak.

20.000 orvosi bejegyzést tartalmazó notebookot loptak el

Április elején loptak el egy notebookot Reid Kórház egyik alkalmazottjának otthonábó. Habár a laptopon 20.000 páciensről szóló orvosi bejegyzés volt tárolva, Craig Kinyon, a kórház CEO-ja  szerint, a notebook csak egyike volt a lopott tárgyaknak, ami azt jelenti, hogy nem ez volt a betörés eldősdleges célja.

A lopott laptop olyan páciensek adatait is tárolta, akik 1999 és 2008 között vették igénybe a kórház szolgáltatásait. Az adatok neveket és társadalombiztosítási számokat tartalmaznak.  Pénzügyi és banki információkat szerencsére nem voltak tárolva a az ellopott készüléken.

Jelenleg világviszonylatban 53 másodpercenként lopnak el egy laptopot és a hasonló biztonsági incidensek száma folyamatosan növekszik. Ha sok esetben a tolvajokat és az eszközök lopását nehezen lehet elkerülni, legalább az eszközökön lévő bizalmas információkre kellene nagyobb figyelmet szentelni. A fejlett technológiai megoldások most már lehetővé teszik a károk megelőzését és szinte az elkerülését is. Elsősorban lehetne kezdeni az adattitkosítási szoftverek használatával, ami egyszerű és viszonylag olcsó megoldásnak számít.

Phoenixi fogorvosok miatt került veszélybe 10.000 páciens adata

Brian J. Daniels és Paul R. Daniels phoenixi fogorvosok a honlapukon keresztül közölték az adatszivárgást. A biztonsági rést egy ellopott pendrive okozta, melyen 10.000 páciens személyes adata volt tárolva.

A tudosítás rövid és kevés releváns információt tartalmaz:

2011 Március 2-án értesítettük a HIPAA-t, hogy egy biztonsági rés következtében pácienseink elektronikusan tárolt adatait ellopták. Ha bármilyen kérdése van, hívja a 602-265-8751 telefonszámot.

Mivel a honlap tartalma szegényes  és egyelőre a média se verte nagy dobra az ügyet, több információt csak az Egészségügyi és Humán erőforrások osztályától kaphatunk az incidens kivizsgálása után.

A Sony 70 millió felhasználó adatának elvesztését jelentette be

Április 26-án jelent meg egy bejegyzés a Sony blogján, melyben arról értesítették az olvasókat, hogy április 17 és 19 között támadás érte a PlayStation és Qriocity szervereket.

A Sony képviselői bejelentették, hogy a hálózatba való illegális behatolások miatt kénytelenek voltak felfüggeszteni néhány szolgáltatást, ugyanakkor egyes felhasználók adatai  is kompromittálódtak. Az OpenSecurity szerint, az ügy 70 millió felhasználót érint.

Habár a kivizsgálás még folyamatban van, a legfrissebb hírek szerint a támadóknak sikerült megszerezni a felhasználók  nevét, postai címét, e-mail címét, születési dátumát, felhasználónevét és a PlayStation/Qriocity jelszavát, illetve az online PSN identifikálót. Megtörténhet, hogy a kredit kártya adatai (a szám és a lejárati idő) is kompromittálódtak, de egyelőre nincs konkért bizonyíték ez iránt.

A Sony azt tanácsolja, hogy a felhasználók óvakodjanak személyes adataik kiadásától, hogy elkerüljék a kiberbűnözők csalási kísérleteit, és rendszeresen ellenőrízzék bankszámláikat.

A Sony tisztviselői sajnálják az incidenst és azt ígérték mindent megtesznek szervereik mielőbbi visszaállítására és a biztonsági szint növelésére.

Update: a legújabb hírek szerint a támadás 77 millió felhasználói fiókot érint, ami az internet történetének eddigi legnagyobb adatlopásának számít.

Bizalmas adatokat tartalmazó USB stick veszett el a Dacia gyárból

M. Gheorghe e-mailben értesítte a Dacia román autógyár vezetőit, hogy kezébe került az új Duster gyártási  technológiája és ha nem kap a gyártól egy autót vagy 20.000 lejt, kénytelen lesz eladni az információkat a versenytársaknak. Bizonyítékként néhány fájlt is csatolt az e-mailhez.

A férfi azt állítja, hogy a gyár udvarán sétálva talált rá a pendrivera és, hogy nem ő másolta ki az informatikai rendszerből a Dacia Duster gyártási technológiáját.

Az autógyártó vezetősége feljelentést tett a pitesti rendőrségen, minek következtében  azonosították a tettest, letartoztatták és kihalgatták. “Sajátos eljárásmód által azonosítottuk M. Györgyöt és házkutatást tartottunk nála. A személyes laptopján talált bizonyítékok arra mutatnak, hogy a vádlott zsarolni próbálta a gyár vezetőségét. A kihallgatásokon elismerte a vádakat.”, nyilatkozta a pitesti főügyész. Az még nem derült ki, hogy a bizalmas adatokat ki másolta át a számítógépről a pendrivera, ezért a vizsgálatot folytatják.

Az adatlopás és adatszivárgás megelőzése érdekében, mely nem csak pénzügyi veszteségekhez vezet, hanem csorbát ejt a vállalat nevén is, a biztonsági szakértők titkosító és USB-felügyeleti szoftverek használatát tanácsolják. Eképpen elkerülhető az érzékeny adatok elvesztése, kompromittálódása vagy illetéktelen kezekbe való jutása, ami előbb-utóbb kellemetlen következményekkel jár.

Biztonsági rés a MidState Medical Center-nél: 93.500 páciens adata került veszélybe

Egy külső merevlemez véletlenszerű elvesztése okozta a  MidState Medical Center 93.500 páciensének adatainak elvesztését.  Erről értesültek az egészségügyi központ alkalmazottai kedden. Az incidenes a Connecticut-i főügyész és a Fogyasztóvédelmi Szervezet figyelmét is felhívta és alapos kivizsgálásnak fogják alávetni.

A kórház szóvivője, Pamela Cretella szerint, az elveszett adatok neveket, címeket, születési dátumokat, társadalombiztosítási számokat és orvosi bejegyzéseket tartalmaznak.

A merevlemezt a Hartford kórház egyik alkalmazottja vesztette el. Az ügy február 15-én került a kórház  vezetőségének tudomására, mely azon nyomban megkezdte az érintettek tájékoztatását, mialatt egy belső viszgálat is indult.

Az értesítő levelet az MMC honlapján is közzétették: MERIDEN – 2011 Február 15-én megtudtuk, hogy egy merevlemez, melyen személyes adatok voltak tárolva, eltűnt a MidState Medical Center-ből. Az elveszett adatok neveket, címeket, születési dátumokat, társadalombiztosítási számokat, családi állapotot és orvosi bejegyzéseket tartalmaznak. Azokat a személyeket is értesítettük, kiknek a társadalombiztosítási számuk nem volta rajta az elveszett merevlemezen.

Cretella szerint, egyelőre nincs bizonyíték az elveszett információ roszzindulatú felhasználására. Mindamellett, a kórház ajánlja a Debix Identity Protection Network használatát, melyet 2 évig ingyenes állít az érintettek rendelkezésére.

A kiberbűnőzés felülmúlja a rendszer meghibásodás okozta károkat

A Ponemon Institute szokása szerint idén is elkészítette IT biztonsági felmérését. Ezúttal angol és amerikai vállalatok szerepeltek a felmérésben.

Egyes it szakemberek szerint a biztonsági résekkel járó költségeknek csökkeniük kell, mivel az emberek lassan hozzászoknak a biztonsági incidensekről kapott hírekhez. 2010-ben viszont ez mégsem következett be, sőt, mi több, ha 2009-ben az ugyanilyen felmérés 6,8 millió dolláros károkat számlált, 2010-ben a károk elérték 7,2 millió dollárt. Az utolsó felmérés az egy rekord elvesztéséből származó károkat 214 $-ra becsülte. Az összeg a közvetlen költségeken kívül tartalmazza a értesítésekkel, ügyfelek elvesztésével, rossz hírnévvel, stb. kapcsolatos költségeket is.

Az adatvesztések fő oka továbbra is a hanyagság és nemtörömdömség (41%). 2010-ben a kiberbűnőzés felülmúlja a rendszer meghibásodás okozta károkat 31%-os részesedéssel. Ezen rosszindulatú támadások nem csak kívülről, hanem belülről is érkezhetnek (pl. bizalmas adatok lopása usb pendriveon) és sokkal több költséggel járnak mint például a gondatlanság miatt bekövetkező incidensek.

A felmérés azt is kimutatta, hogy azokban az intézményekben, ahol IT-Security vezető van, a bizontásgi incidensek bekövetkeztének valószínűsége kisebb. Egy másik említésre méltó  tendencia, hogy a vállalatok próbálnak a lehető legrövidebb idő alatt reagálni a biztonsági incidensekre. Ez kétélű fegyver, mivel a Ponemon Institute felmérése szerint az adatbiztonsági incidensekre gyorsan reagáló vállalatok 54%-al fizetnek többet.

A felmérésről részeltesebben a következő linken lehet olvasni: http://www.ponemon.org/blog/post/cost-of-a-data-breach-climbs-higher

90.000 diák adatát tartalmazó merevlemez tűnt el

Az alaszkai Oktatási Minisztérium figyelmeztette az állami iskolákat, hogy 90.000 diák adatát tartalmazó merevlemezt loptak el Juneau-ból. Az ügyet jelenleg a juneaui rendőrség viszgálja.

“Az alaszkai törvények szerint azok az állami intézmények melyek személyes adatok birtokában vannak, kötelesek értesíteni minden személyt, akinek az adatát elvesztették vagy ellopták”, nyilatkozta Mike Hanley rendőrkapitány. “A lopás eredményeként némi bizalmas adat illetéktelen kezekbe jutott.”

Eképpen a tolvajok nevekhez, születési dátumokhoz, személyi számokhoz és egyéb adatkohoz fértek hozzá. 90.000 diák személyes adatairól van szó, akik részt vettek a tavalyi érettségi viszgán.

A lopás a Northwest Arctic Borough Iskola 279, valamint a Fairbanks North Star Borough Iskola 269 fogyatékos diákját is érinti.

Az minisztériumi sajtóközlemény szerint az identitáslopáshoz  kulcsfontosságú a társadalombiztosítási szám, ami viszont nem került nyilvánosságra. Mivel az adatok nem univerzális formátumban voltak tárolva, a fájl nevek sem könnyen felismerhetők, ezért az incidens nem számít súlyosnak. A minisztérium végül mégis úgy döntött, hogy kicseréli a diákazonosító számokat.

Az Oktatási Minisztérium elérhető a 465-8727 telefonszámon. Eddig csak 6 személy jelentkezett a fent említett ügyben. A Fairbank Iskola leveleket fog küldeni a veszélyeknek kitett diákok szüleinek.

Forrás: http://www.endpoint-security.info/

Adatok helytelen kezelése miatt büntetik a nagy-britanniai helyi önkormányzatokat

Legutóbb a Cambridgeshire Megyei Tanács hágta át az érzékeny adatokra vonatkozó Adatvédelmi Szabályzatot. A hivatal szóvivője szerint, legalább 6 személy bizalmas adatait tároló titkosítatlan pendrivenak veszett nyoma a hivatalból.

Nem sokkal az esemény bekövetkezte előtt, a megyei tanács egy belső kampány által figyelmeztette alkalmazottait a személyes adatok, valamint a tanácsról kialakított kép fontosságáról.

“Míg a Megyei Tanács egyértelműen elismeri a titkosított USB eszközök fontosságát a személyes adatok biztonságára nézve, ez az eset kimutatja, hogy a szervezeteken belül állandóan követni és ellenőrízni kell az adatvédelmi szabályok tiszteletben tartását”, mondta Sally Ann Poole, az ICO végrehajtó csoport vezetője.

70,000 és 80,000 £ bírságot szabtak ki a múlt hónap végén a Hounslow és az Ealing Tanács 700, valamint 1000 személyes adat elvesztése miatt.