Глобальный ИБ-дайджест: итоги апреля

Данные пассажиров аэропорта Индии использовали для нелегальной торговли алкоголем

Инцидент раскрыли во время расследования о неуплате пошлин агентством, которое управляет магазинами duty-free в аэропорту Тируванантапурам в штате Керала на юге Индии. Эпизод стал крупным делом об утечке данных пассажиров международных рейсов.

По словам таможенного комиссара, кроме неуплаты таможенной пошлины следствие выявило злоупотребление иммиграционными данными, подделку документов и нарушение мер национальной безопасности. Для продажи иностранного алкоголя на чёрном рынке агентство использовало паспортные данные 13 000 пассажиров, путешествовавших с сентября по декабрь 2017 года.

Теперь к делу будут привлечены Государственный акцизный департамент, Центральное бюро расследований и Национальное агентство расследований. Пока что основной версией внутреннего расследования является сговор сотрудников таможни и частного агентства с целью получать полётные листы и иммиграционные данные.

Художник купил персональные данные 346 тысяч жителей Китая для музейной экспозиции

32-летний художник из Пекина Денг Юфенг хотел создать произведение искусства, которое заставило бы зрителей задуматься о конфиденциальности личной информации. Чтобы реализовать художественный замысел, автор купил в интернете персональные данные и превратил их в экспозицию под названием «Секреты 346 тысяч жителей Уханя». Полиция не оценила иронию художника.

Власти города Ухань закрыли выставку в местном музее спустя два дня после открытия. Художнику сообщили, что против него ведут расследование по подозрению в сборе информации незаконными методами. Согласно китайским законам художнику грозит до семи лет заключения.

Денг Юфенг скупал пользовательские данные, используя китайский мессенджер QQ. Всего за 800 долларов – или $0,001 за человека – он получил имена, номера телефонов, данные об онлайн-покупках, маршруты путешествий и автомобильные регистрационные знаки.

Шведская академия признала факт утечки имен лауреатов Нобелевской премии по литературе

Шведская академия, которая 117 лет отвечает за присуждение Нобелевской премии по литературе, признала факт нарушения конфиденциальности информации. Имена обладателей Нобелевской премии по литературе разглашались до официального объявления минимум семь раз, начиная с 1996 года. Помимо имен победителей до официального объявления дважды были раскрыты имена новых академиков.

Первой о многократных утечках данных в академии сообщила шведская газета Dagens Nyheter. В распоряжении редакции оказались материалы внутреннего расследования. В документах речь шла о том, что информацию незаконно распространял «деятель культуры, близкий к академии». Сопоставив имеющиеся данные, журналисты пришли к выводу, что имена будущих лауреатов Нобелевской премии по литературе разглашал Жан-Клод Арно – крупная фигура шведской культурной жизни и муж одной из академиков.

На фоне скандалов и раскола среди академиков в середине апреля 2018 года в отставку вынужденно ушла первая женщина – постоянный секретарь Шведской академии. О добровольной отставке заявили еще трое членов.

Данные клиентов Panera Bread больше полугода находились в открытом доступе

Американская сеть кафе-пекарен Panera Bread допустила утечку персональных данных своих клиентов. Файл с информацией о 37 миллионах покупателей лежал на сайте компании в открытом доступе на протяжении 8 месяцев.

По данным KrebsOnSecurity, среди раскрытых данных были имена, домашние адреса, электронная почта, даты рождения и последние цифры из номеров банковских карт пользователей, которые размещали заказы онлайн.

ИБ-исследователь Дилан Хоулихан (Dylan Houlihan) уведомил Panera Bread об утечке 2 августа 2017 года. Однако директор по информационной безопасности компании Майк Гастависон (Mike Gustavison) изначально принял отчёт исследователя за мошенничество и только после долгой переписки пообещал устранить утечку. Доступ к информации был закрыт 3 апреля 2018 года.

Сотовый оператор Таиланда хранил 46 000 файлов в открытом облаке

Второй по величине сотовый оператор Таиланда TrueMove H хранил 46 000 файлов общим объёмом 32 Гб в публично доступном облаке AWS. В папках, названных по годам, размером 14,5 Гб, 8,3 Гб и 2,2 Гб, хранились документы в форматах PDF и JPG. Среди них – отсканированные копии паспортов, водительских удостоверений и национальных идентификационных карт клиентов компании.

В своём блоге ИБ-исследователь Niall Merrigan заявил, что никакой защиты не было: чтобы скачать все отсканированные данные, достаточно было просто найти URL.

С того момента, как компания TrueMove H узнала о неверной конфигурации облачного хранилища AWS, до момента закрытия доступа к нему прошёл месяц. Проблему устранили 12 апреля 2018 года.

Утечки в Apple: 29 инсайдеров обнаружено, 12 – арестовано

В первой половине апреля агентство Bloomberg опубликовало запись из закрытого внутреннего блога корпорации Apple, где речь идет о последствиях утечек информации, планах развития и новых продуктах до официального релиза.

В сообщении говорится, что в марте 2018 года компания уволила сотрудника, раскрывшего планы Apple по обновлению продуктов. А в 2017 году корпорация вычислила 29 инсайдеров, причастных к утечкам данных. Среди них – сотрудники компании, подрядчики и поставщики.

В сообщении также отмечается, что за проникновение в корпоративную сеть Apple и кражу коммерческих секретов арестованы 12 человек. Подобные действия расцениваются как федеральные преступления, и нарушителям грозят тюремные сроки и крупные штрафы.

Тематики: Безопасность

Ключевые слова: информационная безопасность, СёрчИнформ