Access web Add modules industryArtboard 58 Analyse App control Created with Sketch. Adv_Artboard 21 industryArtboard 61 Oficer Adv_Artboard 22 Ресурс 31 Business process icon Created with Sketch. Business Shape Created with Sketch. Artboard 13 Central policy Certificate Chain Adv_Artboard 27 Combined Shape Copy 3 Created with Sketch. Artboard 50 Artboard 48 Artboard 51 Artboard 47 Artboard 46 Artboard 49 Shape Created with Sketch. Cloud B7B55A6B-30C0-4E73-9637-1794E793654E Created with sketchtool. B3F1D6A1-80F6-48B0-9EBD-786404E82049 Created with sketchtool. Shape Created with Sketch. Соц.Ответств._Artboard 29 Cup Artboard 12 Delete Develop Mobile control Detect data Corporate devices icon Created with Sketch. Use Development Монтажная область 52 Effective Ресурс 29 icon Created with Sketch. Created with Sketch. industryArtboard 56 Соц.Ответств._Artboard 28 785FDCCF-4DD0-4D89-92DF-A0C4AC73109E Created with sketchtool. 5F4F180E-E1AA-4429-9F5C-BB866CAD85FA Created with sketchtool. Ресурс 26 Fill 1 Created with Sketch. Flash Adv_Artboard 23 Ресурс 28 industryArtboard 54 Ресурс 35 Adv_Artboard 19 Hidden app Adv_Artboard 24 Page 1 Created with Sketch. CityArtboard 17 1451A714-6689-46A8-8D48-D7A246F52BE2 Created with sketchtool. industryArtboard 59 Like Group 9 Created with Sketch. Locking Mail Main modules Adv_Artboard 20 Created with Sketch. Messenger Microscope CityArtboard 18 industryArtboard 55 Effective PC Ресурс 30 Report PC IT Ресурс 34 industryArtboard 60 Shape Created with Sketch. 4658DE58-0BFB-4713-AC6C-19C0753FDB86 Created with sketchtool. Photocamera Printer automatic scan icon Created with Sketch. Report icon Created with Sketch. Safe web_1 Safe Safety CityArtboard 14 industryArtboard 57 Scale Соц.Ответств._Artboard 30 Lingvo search Technology search Shape Created with Sketch. Secure Computer Flash Messenger Notebook Printer Smartphone Web Server 56B89AD1-943C-4CF7-8FC3-C3DD35C6EE7C Created with sketchtool. Skills industryArtboard 53 Smartphone Facebook Copy_White Created with Sketch. LinkedIN Copy_White Created with Sketch. Telegram_White Created with Sketch. Twitter_White Created with Sketch. VK_White Created with Sketch. Socials icon Created with Sketch. Structure web Created with Sketch. Created with Sketch. Fill 1 Created with Sketch. Adv_Artboard 25 Update_1 Created with Sketch. Created with Sketch. Artboard 11 Fill 1 Created with Sketch. Web 1 2_1 3 4 Created with Sketch. Safe
31 марта 2010

Данные потребителей продукции Durex утекли в интернет

На прошлой неделе стало известно о масштабной утечке персональных данных пользователей сайта kohinoorpassion.com, оформлявших через данный интернет-ресурс заказы на продукцию компании Durex. 

Предположительно 5 марта первый заказчик обнаружил, что его личные персональные данные, а также данные других пользователей kohinoorpassion.com находятся в свободном доступе. Просмотреть их можно было свободно, просто указав любой номер заказа в адресной строке браузера, при этом не требовался ни пароль, ни логин. На странице заказа были указаны имена, адреса, телефонные номера и тип заказанных продуктов. Эти заказы были размещены со страниц индийского представительства компании Durex.

Обнаруживший утечку пользователь попытался определить, как долго данные находились в общем доступе, обозначив дату заказа 23 февраля, но гарантий, что эти данные не были доступны ранее, нет. Согласно показаниям пострадавшего, данных о кредитных картах или любой другой финансовой информации скомпрометированы не были.

После того как ошибка была обнаружена, он сразу связался с представителем торговой марки Durex в Индии и изготовителем презервативов - TTK-LIG и SSL International (владельцем торговой марки Durex) и сообщил им о проблеме, в результате чего ошибка была устранена. Одновременно пострадавший клиент создал свой собственный сайт, где обсуждались проблемы информационной безопасности, а также обновлялась информация об утечках. После просмотра и анализа этих обновлений можно предположить, что дело приняло серьезный оборот.

6 марта TTK-LIG по электронной почте выразила благодарность внимательному клиенту за его своевременный сигнал, а также в благодарность за своевременный сигнал компания отправила ему подарочный набор. Однако уже 18 марта юристы TTK-LIG отправили упомянутому пользователю письмо с угрозой, в частности в нем говорилось:

«п. 5. Во время проведенного компанией расследования было обнаружено, что с того момента, как стало известно об ошибке (5 марта, около 02.00), до момента завершения работы по отладке системы безопасности сайта (5 марта 23.40) Вы несанкционированно скачали данные 3906 человек, включая 2753 человек, разместивших заказы на сайте электронного магазина. Вы не имеете права скачивать и\или копировать персональную информацию наших клиентов, это является нарушением правил пользования интернет-магазина и конфиденциальности других наших клиентов. Такие действия являются незаконными и согласно закону об информационных технологиях являются наказуемыми в предусмотренном уголовным кодексом Индии порядке.

п. 6. Мы от имени нашего клиента (компаний TTK-LIG и SSL International) заявляем, что гражданское и уголовное правонарушения, совершенные Вами под предлогом обнаружения так называемой утечки персональных данных заказчиков с сайта, усугубляются Вашими дальнейшими действиями, такими как:

I. Создание сайта провокационного характера, негативно воздействующего на настроение заказчиков нашего клиента (компаний TTK-LIG и SSL International), вызывая у них смятение и публикацию на страницах сайта провокационных комментариев;

II. Обращение к заказчикам нашего клиента с помощью данных, которые были незаконно извлечены Вами с сайта нашего клиента, что является нарушением и вторжением в частную жизнь заказчиков. В связи с этим, по словам нашего клиента, к нему поступило не менее пяти сообщений от заказчиков, после того как были разосланы уведомления с адреса durexwhistleblower@gmail.com»

В письме также были перечислены типичные правовые требования.

В результате 19 марта пользователь, обнаруживший утечку, отправил юристам TTK-LIG и SSL International ответ следующего содержания:

«Пожалуйста, обратите внимание на то, что, либо Вы в течении последующих 24 часов приводите доказательства к выдвинутым Вами обвинениям, либо Ваш клиент обязан принести мне свои извинения. В случае отсутствия Вашего ответа к 10.00 21 марта я буду вынужден принять следующие меры:

(i), подача иска против Вашего клиента по делу о вторжении в мою частную жизнь из-за небрежности в обращении с моими персональными данными, которые были получены Вашим клиентом при совершении мной покупки в интернет-магазине, сугубо личного характера , (ii) воспользовавшись своим правом на свободу слова, действуя в интересах общественности, предать широкой огласке содержание Вашего уведомления и соответствующей имеющейся у меня информации.

В итоге пользователь получил сообщение от компании TTK-LIG следующего содержания:

«Компания SSL может подтвердить, что ограниченное число данных могли находиться в общем доступе на нашем индийском сайте какое-то время, но информации о кредитных картах или другой финансовой информации в открытом доступе не было. Компании SSL и TTK-LIG отнеслись к инциденту со всей серьезностью, была идентифицирована причина сбоя, все необходимые меры по улучшению работы систем безопасности были предприняты».

В письме было также отмечено, что компании абсолютно уверены в том, что их сайт надлежащим образом защищен и приносят свои извинения всем заказчикам, чьи данные оказались в свободном доступе. 
Ведущий аналитик InfoWatch Николай Федотов дал рекомендации о том, как, попав в рассмотренную выше ситуацию, не превратиться из доброжелателя в козла отпущения: «Хакерская этика - предмет тонкий, но совершенно необходимый. Кроме успокоения хакерской совести и улучшения хакерской кармы правильное поведение после обнаружения уязвимости может уберечь от преследования властями.

Не секрет, что у местных директоров, князей и раджей есть скверная привычка казнить гонца, принесшего дурную весть или срывать зло за собственные упущения на тех, кто эти упущения обнаружил. Не признавать же собственную ошибку. Не наказывать же старого любимого управляющего.

В наше время, когда персональные данные стали «чувствительной» информацией, а их утечки всё дороже обходятся компаниям, на месте хакера может оказаться любой. Обнаружить утечку ПД способен человек без хакерских навыков и даже не сильно разбирающийся в ИТ. Как ему правильно действовать, чтобы не стать козлом отпущения? Как информировать оператора, допустившего утечку? Когда и каким образом допустить обнародование фактов?

Мне кажется, что основам хакерской этики (и соответствующих правил самозащиты) следует обучать не только ИТ-специалистов, но и всех пользователей». 
Источник

Подпишитесь на рассылку INFOWATCH