США не могут остановить веб-утечки

Череда веб-утечек с сайтов американских госструктур продолжается. На вэб-сайте госсекретаря Техаса (Texas Secretary of State) обнаружены персональные данные нескольких сотен тысяч человек. На сайте вместе с достаточно безобидными данными о налоговом обеспечении оказались номера социального страхования людей. Номера социального страхования в Техасе начали автоматически удалять из публикуемых документов с 2005 года. Сейчас редактируют и более старые документы. Однако, чтобы удалить уже выложенные на сайте номера, людям необходимо лично обращаться в администрацию штата.

Аналогичный инцидент случился и в Британии. Муниципальный совет Ньюкасла (Newcastle City Council) по ошибке выложил в интернете приватные сведения о пластиковых карточках и платежах 54 тыс. горожан. Утечку обнаружили 19 июля. Глава городского совета распорядился немедленно начать расследование, привлечь полицию и независимых экспертов. Оказалось, информацию с незащищенного сервера скачивали с нескольких зарубежных ip-адресов. Скомпрометированные данные включали номера кредитных карт, муниципальные платежи, различные бизнес-налоги, штрафы и прочие отчисления в период с февраля 2006 по апрель 2007 года.

Горожанам уже сообщили об инциденте, и предупредили, что необходимо следить за состоянием счетов. Муниципальный совет отключил сетевую платежную систему для выяснения обстоятельств. Только после того как ИТ-специалисты провели необходимые работы и поручились за сохранность данных, сервера вновь заработали в нормальном режиме.

Тем временем в Огайо (Ohio) на веб-сайте Компьютерного консорциума Старка-Портэджа (Stark-Portage Area Regional Computer Consortium, SPARCC) опубликовали номера социального страхования 1,8 тыс. бывших и нынешних работников местных школ. Консорциум, в частности, хранит и обрабатывает налоговые платежи для местных школ. Среди прочих данных, в файлах записаны и номера социального страхования работников. Глава консорциума уже признал, что в инциденте виновны собственные сотрудники, а не хакеры или какие-то другие внешние угрозы.

Когда утечку обнаружили, консорциум обратился за помощью к специалистам по ИТ-безопасности и полиции. Предварительные итоги расследования указывают на то, что утечка состоялась из-за халатности работников, которые оставили незащищенными файлы с конфиденциальными данными. В настоящий момент консорциум оптимизирует систему безопасности на своем сайте. В частности, планируется внедрить специальные программы мониторинга.

Еще одна утечка персональных данных произошла с сайта больницы St. Vincent в Индианаполисе (Indianapolis). Виноваты подрядчики госпиталя, компания Verus. Программисты Verus разработали систему для оплаты услуг через интернет. В ходе работ на веб-сервере, защиты лишились анкеты большинства пациентов. Ошибку заметили не сразу, и некоторое время данные были доступны для всех посетителей сайта. Представители больницы подчеркнули, что предпринимают активные действия, чтобы защитить своих пациентов. Меры безопасности обязательно будут усилены. А нынешним пострадавшим госпиталь оплатит годовой мониторинг счетов.

"Инциденты, подобные техасской утечке, регистрировались ранее и в других штатах. Только реакция была иной. В Калифорнии, Колорадо доступ к базам был перекрыт и все конфиденциальные данные удалены. Аналогично потупили и в Ньюкасле. Причина большинства веб-утечек заключается в том, что огромное количество сведений переводится в электронные базы данных и выкладывается в интернете. Но из-за отсутствия классификации вместе с открытой информацией раскрывают и приватную", - считает Денис Зенкин, директор по маркетингу компании InfoWatch.