Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Verizon заплатит 16 млн долларов за утечки информации
Оператор Verizon выплатит штраф за утечки информации. Известно, что его «дочка» допустила три утечки информации. Помимо выплаты крупного штрафа, соглашение с Федеральной комиссией по связи (FCC) предусматривает принятие мер для повышения уровня безопасности клиентов. Всего произошли три утечки информации.
Штраф в размере 16 млн долларов США назначен в связи с тремя инцидентами, связанным с утечками данных в телекоммуникационной компании TracFone Wireless, которую Verizon Communications приобрела в ноябре 2021 года. О первом инциденте TracFone сообщила в середине января 2022 г. Компания обнаружила его в декабре 2021 г., но расследование показало, что злоумышленники имели доступ к персональным данным клиентов с начала 2021 г. В результате мошенники подали большой ряд запросов на несанкционированный перенос телефонных номеров. В документах FCC говорится, что преступники воспользовались уязвимостями, связанными с аутентификацией через API.
Два других инцидента связаны с эксплуатацией уязвимостей в функции заказов на сайтах TracFone. Об этих инцидентах сообщалось, соответственно, в декабре 2022 г. и январе 2023 г. В обоих случаях злоумышленники воспользовались уязвимостью для доступа к собственной информации о сети клиента (CPNI) и другим данным пользователей.
«Злоумышленники использовали два разных метода для эксплуатации уязвимости (переключившись на второй метод, когда TracFone успешно заблокировал первый)», — поясняется в постановлении FCC.
Количество пострадавших клиентов и случаев замены SIM-карт было изъято из текста итогового соглашения FCC и Verizon. На запрос журналистов о том, сколько человек стали жертвами утечек информации, в TracFone и Verizon не ответили.
Мировое соглашение предусматривает принятие следующих мер безопасности к 28 февраля 2025 г.: разработка программы ИБ с целью сокращения уязвимостей в API, используя такие стандарты как NIST и OWASP, внедряя безопасные элементы управления API, а также регулярно тестируя и обновляя меры безопасности; внедрение средств защиты от несанкционированной смены номера и переноса SIM-карт, включая безопасную аутентификацию с целью подачи запроса на замену SIM-карты, уведомление клиентов о подобных запросах, введение PIN-кодов для переноса номера; ежегодная оценка уровня ИБ для гарантии эффективности программы, проведение каждые два года независимых аудитов для оценки достаточности реализуемых средств и эффективности программы; ежегодное обучение сотрудников по вопросам конфиденциальности и безопасности.
Источник: Bleeping Computer