АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

31 марта 2010

Данные потребителей продукции Durex утекли в интернет

На прошлой неделе стало известно о масштабной утечке персональных данных пользователей сайта kohinoorpassion.com, оформлявших через данный интернет-ресурс заказы на продукцию компании Durex. 

Предположительно 5 марта первый заказчик обнаружил, что его личные персональные данные, а также данные других пользователей kohinoorpassion.com находятся в свободном доступе. Просмотреть их можно было свободно, просто указав любой номер заказа в адресной строке браузера, при этом не требовался ни пароль, ни логин. На странице заказа были указаны имена, адреса, телефонные номера и тип заказанных продуктов. Эти заказы были размещены со страниц индийского представительства компании Durex.

Обнаруживший утечку пользователь попытался определить, как долго данные находились в общем доступе, обозначив дату заказа 23 февраля, но гарантий, что эти данные не были доступны ранее, нет. Согласно показаниям пострадавшего, данных о кредитных картах или любой другой финансовой информации скомпрометированы не были.

После того как ошибка была обнаружена, он сразу связался с представителем торговой марки Durex в Индии и изготовителем презервативов - TTK-LIG и SSL International (владельцем торговой марки Durex) и сообщил им о проблеме, в результате чего ошибка была устранена. Одновременно пострадавший клиент создал свой собственный сайт, где обсуждались проблемы информационной безопасности, а также обновлялась информация об утечках. После просмотра и анализа этих обновлений можно предположить, что дело приняло серьезный оборот.

6 марта TTK-LIG по электронной почте выразила благодарность внимательному клиенту за его своевременный сигнал, а также в благодарность за своевременный сигнал компания отправила ему подарочный набор. Однако уже 18 марта юристы TTK-LIG отправили упомянутому пользователю письмо с угрозой, в частности в нем говорилось:

«п. 5. Во время проведенного компанией расследования было обнаружено, что с того момента, как стало известно об ошибке (5 марта, около 02.00), до момента завершения работы по отладке системы безопасности сайта (5 марта 23.40) Вы несанкционированно скачали данные 3906 человек, включая 2753 человек, разместивших заказы на сайте электронного магазина. Вы не имеете права скачивать и\или копировать персональную информацию наших клиентов, это является нарушением правил пользования интернет-магазина и конфиденциальности других наших клиентов. Такие действия являются незаконными и согласно закону об информационных технологиях являются наказуемыми в предусмотренном уголовным кодексом Индии порядке.

п. 6. Мы от имени нашего клиента (компаний TTK-LIG и SSL International) заявляем, что гражданское и уголовное правонарушения, совершенные Вами под предлогом обнаружения так называемой утечки персональных данных заказчиков с сайта, усугубляются Вашими дальнейшими действиями, такими как:

I. Создание сайта провокационного характера, негативно воздействующего на настроение заказчиков нашего клиента (компаний TTK-LIG и SSL International), вызывая у них смятение и публикацию на страницах сайта провокационных комментариев;

II. Обращение к заказчикам нашего клиента с помощью данных, которые были незаконно извлечены Вами с сайта нашего клиента, что является нарушением и вторжением в частную жизнь заказчиков. В связи с этим, по словам нашего клиента, к нему поступило не менее пяти сообщений от заказчиков, после того как были разосланы уведомления с адреса durexwhistleblower@gmail.com»

В письме также были перечислены типичные правовые требования.

В результате 19 марта пользователь, обнаруживший утечку, отправил юристам TTK-LIG и SSL International ответ следующего содержания:

«Пожалуйста, обратите внимание на то, что, либо Вы в течении последующих 24 часов приводите доказательства к выдвинутым Вами обвинениям, либо Ваш клиент обязан принести мне свои извинения. В случае отсутствия Вашего ответа к 10.00 21 марта я буду вынужден принять следующие меры:

(i), подача иска против Вашего клиента по делу о вторжении в мою частную жизнь из-за небрежности в обращении с моими персональными данными, которые были получены Вашим клиентом при совершении мной покупки в интернет-магазине, сугубо личного характера , (ii) воспользовавшись своим правом на свободу слова, действуя в интересах общественности, предать широкой огласке содержание Вашего уведомления и соответствующей имеющейся у меня информации.

В итоге пользователь получил сообщение от компании TTK-LIG следующего содержания:

«Компания SSL может подтвердить, что ограниченное число данных могли находиться в общем доступе на нашем индийском сайте какое-то время, но информации о кредитных картах или другой финансовой информации в открытом доступе не было. Компании SSL и TTK-LIG отнеслись к инциденту со всей серьезностью, была идентифицирована причина сбоя, все необходимые меры по улучшению работы систем безопасности были предприняты».

В письме было также отмечено, что компании абсолютно уверены в том, что их сайт надлежащим образом защищен и приносят свои извинения всем заказчикам, чьи данные оказались в свободном доступе. 
Ведущий аналитик InfoWatch Николай Федотов дал рекомендации о том, как, попав в рассмотренную выше ситуацию, не превратиться из доброжелателя в козла отпущения: «Хакерская этика - предмет тонкий, но совершенно необходимый. Кроме успокоения хакерской совести и улучшения хакерской кармы правильное поведение после обнаружения уязвимости может уберечь от преследования властями.

Не секрет, что у местных директоров, князей и раджей есть скверная привычка казнить гонца, принесшего дурную весть или срывать зло за собственные упущения на тех, кто эти упущения обнаружил. Не признавать же собственную ошибку. Не наказывать же старого любимого управляющего.

В наше время, когда персональные данные стали «чувствительной» информацией, а их утечки всё дороже обходятся компаниям, на месте хакера может оказаться любой. Обнаружить утечку ПД способен человек без хакерских навыков и даже не сильно разбирающийся в ИТ. Как ему правильно действовать, чтобы не стать козлом отпущения? Как информировать оператора, допустившего утечку? Когда и каким образом допустить обнародование фактов?

Мне кажется, что основам хакерской этики (и соответствующих правил самозащиты) следует обучать не только ИТ-специалистов, но и всех пользователей». 
Источник

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>