Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Великобритания. Выставлены на продажу персональные данные миллионов клиентов букмекерской конторы Ladbrokes
Британскому изданию The Mail on Sunday предложили купить конфиденциальные данные миллионов клиентов ведущей британской букмекерской компании Ladbrokes.
После того как редакции The Mail on Sunday предложили персональные данные 10.000 клиентов компании Ladbrokes и доступ к базе, в которой хранятся данные 4,5 млн. жителей Великобритании и иностранных граждан, началось расследование по факту кражи огромного количества персональных данных. Кража персональных данных и их продажа в Великобритании являются уголовными преступлениями.
Информация об утечке была оперативно передана в британское Управление по защите персональных данных (официальный надзорный орган по вопросам защиты данных в Великобритании), которое сразу приступило к расследованию.
В списке, предложенном редакции, значились домашние адреса клиентов, история проводимых ими сделок, номера счетов, даты рождения, номера телефонов и адреса электронной почты.
В свою очередь компания Ladbrokes подала заявление в полицию и начала рассылку сообщений клиентам о том, что данным об их кредитных картах, паролях и другая финансовая информация обеспечена дополнительная защита.
На продажу база данных была предложена загадочным австралийцем, который утверждает, что работал в Ladbrokes в Великобритании 2 года назад в качестве специалиста по информационной безопасности, и данные к нему попали от помощника, который пытался их продать. За время долгих переговоров по электронной почте австралиец по имени Даниэл утверждал, что представляет австралийскую компанию DSS Enterprises, расположенную в Мельбурне. Компания основана специалистом в области Информационных Технологий Данитом Субасинж, уроженцем Шри-Ланки.
Господин Субасинж отрицает свою причастность к краже данных. По его словам, его фирма занимается разработкой веб-сайтов, а сам он помогает в организации свадебных торжеств своей подруге Шарлин Кинг, уроженке Великобритании.
В регистрационной палате Австралии г-н Субасинж зарегистрирован как самостоятельный трейдер. Его последний проект был посвящен разработке веб-сайта для агентов по недвижимости Мельбурна, но в списке его клиентов есть Министерство обороны Великобритании и компания Ladbrokes.
По его словам, доступа к базе данных Ladbrokes, а также другой такой информации у него нет. В течение 18 месяцев в течение 2007-2008 года он оказывал Ladbrokes различные аналитические услуги. В ноябре 2009 он находился в Великобритании в отпуске и по-прежнему поддерживает дружеские отношения с несколькими сотрудниками Ladbrokes. Г-н Субасинж также добавил, что «даже если были бы обнаружены его имя, подпись и отпечатки пальцев на каких-либо материалах, фигурирующих в деле, даже это еще ничего бы не доказывало».
В начале этой недели редакция The Mail on Sunday получила очередное письмо австралийца Даниэла, в котором он объявил о прекращении переговоров о продаже злополучной базы данных. Даниэл утверждает, что сначала он хотел предупредить о возможной утечке Ladbrokes, но затем решил обратиться в СМИ.
Как сообщил Дэвид Смит, заместитель специального уполномоченного Управления по защите данных, к утечкам персональных данных Управление относится очень серьезно? и любая организация, которая имеет дело с персональной информацией, должна обеспечить ее сохранность и безопасность. Он также выразил благодарность редакции газеты The Mail on Sunday за бдительность и сообщил, что Управление будет вести переговоры с компанией Ladbrokes для выяснения деталей произошедшей утечки и выработки дальнейших действий, которые должна будет предпринять компания для предотвращения подобных инцидентов впредь.
Ситуацию прокомментировал ведущий аналитик InfoWatch Николай Федотов: «Предложить конфиденциальную информацию газете означает сделать инцидент достоянием гласности. А это, в свою очередь, снижает шансы злоумышленного инсайдера (да и продавца тоже) остаться безнаказанным. Поднятая газетой шумиха, обращение в государственные органы и общественный резонанс непременно повлекут разбирательство, при котором, согласно старой доброй традиции, достанется на орехи не только непосредственному виновнику.
Почему же продавец пожелал продать базу данных именно СМИ? Почему он не продал её втихую на чёрном рынке? Ведь это безопаснее. Да потому, что указанная база реальной ценности не имеет. В ней отсутствуют данные, из которых можно выжать деньги - номера кредитных карт, номера соцстрахования, пароли к аккаунтам. А фамилии с адресами в деньги не конвертируешь. Кардерам, хакерам, фишерам, спамерам и прочим злоумышленникам такие данные даром не нужны. Вот и остаётся лишь предавать инцидент гласности, очевидно, чтобы причинить неприятности букмекерской конторе.
Вывод: не все персональные данные (ПД) одинаково ценны. Существуют разные категории ПД, требующие, соответственно, разной степени защиты. Не все имеет смысл защищать с одинаковым старанием и затратами!»