ANALIZA: Cele mai importante brese de securitate din istoria recenta
greseliaoleroribrese de securitatecomputerecompanii
In universul interconectat al zilelor noastre, grija fata de informatiile personale "cantareste" greu. S-ar putea sa poti trai linistit cu gandul ca NSA-ul american (sau alte servicii secrete) iti monitorizeaza convorbirile mobile si activitatea pe Google. Problemele mari (si imediate) apar cand informatiile tale ajung pe mainile unor infractori. Din pacate, bresele de securitate sunt la ordinea zilei si datele personale pot fi puse in pericol.
Business Pundit trece in revista zece din cele mai "devastatoare" brese de securitate din istoria recenta si ne determina sa ne gandim de doua ori, inainte sa instituim un cont online sau sa furnizam informatiile personale catre alte entitati.
DVA (Department of Veterans' Affairs)
In 2006, guvernul britanic a fost afectat de o bresa de securitate cibernetica, identificata in sistemul DVA (Department of Veterans' Affairs). Baza de date criptata cu informatiile de identificare ale 26,5 milioane veterani a fost pierduta temporar. Aceasta se afla pe un laptop si un harddisk extern, pe care un analist VA le-a ratacit. Baza continea numele, SSN-urile (CNP-urile), datele de nastere si alte informatii de identificare personala.
Chiar daca baza de date a fost gasita, in cele din urma, institutia a platit daune de 20 milioane dolari. Faptul ca veteranii nu au fost instiintati cu privire la potentiala pierdere a informatiilor lor personale decat dupa trei saptamani, dupa ce riscul a fost constientizat, a alimentat si mai mult nemultumirile contribuabililor britanici.
VA nu a invatat nimic din trecutul sau si in 2009, a trimis la "service" un harddisk care continea informatiile confidentiale despre 70 milioane de veterani, fara sa le protejeze in vreun fel. Harddisk-ul a fost reciclat, iar tehnicianul respectiv nu a sters datele de pe el, lasand informatiile vitale in voia sortii. Din fericire, acestea nu au ajuns pe mana unor infractori.
Bresa de securitate de la Target
Target a devenit "tinta" hotilor de date, care au accesat informatiile clientilor. NBC News estimeaza ca infractorii au furat informatiile despre cardurile de credit si debit ale unui numar de 40 milioane clienti, in trei saptamani (perioada Black Friday-Decembrie 2013).
USA Today avertizeaza ca bresa ar fi afectat 70 milioane de consumatori, care nu au pierdut doar datele despre cardurile bancare. Astfel, hackerii au pus mana pe adresele, numele, adresele de email si numerele lor de telefon. Magazinul s-a autosesizat si a imbunatatit sistemul de securitate. Bresa amintita este una din cele mai grave din istoria SUA si a ajuns in atentia Departamentului de Justitie.
TJ Maxx and Marshalls
Clientii care au cautat suveniruri la TJ Maxx and Marshalls au primit mai mult decat si-ar fi dorit, in februarie 2007, cand hackerii au furat informatiile despre zeci de milioane de carduri de debit si credit. Sistemele companiei-mama TJX au fost compromise mai bine de un an si entitatea a sfarsit prin a plati milioane de dolari catre banci, consumatori, companiile emitatoare de carduri si FTC (Federal Trade Commission), din cauza acestei brese. Cazul de la TJX a fost inclus in "manualele" despre "securitatea cibernetica".
Epsilon
Epsilon este o companie de email marketing, care avea datele de contact si identificare ale unor clienti apartinand unor entitati importante, precum Citibank, Best Buy, Walt Disney Company si College Board. Din pacate, Epsilon nu a pazit cu sfintenie listele si hackerii au sustras informatiile despre clientii a 75 de companii importante.
Fiecare din clientii Epsilon ar fi urmat sa suporte costuri de 5,5 milioane dolari. Compania a pierdut 225 milioane dolari in urma proceselor si 45 milioane dolari dupa ce unii clienti au renuntat la serviciile sale.
Daca hackerii ar fi reusit sa foloseasca adresele de email pentru a accesa site-urile cu informatii personale, costurile s-ar fi ridicat la 4 miliarde de dolari! Cu alte cuvinte, costul furtului unei singure adrese de email este urias.
Incidentul "Sony PlayStation"
Pentru 100 milioane de utilizatori de PlayStation care au pus la dispozitia retelei datele aferente cardurilor lor bancare, bresa de la Sony nu a semanat cu un joc video. Incidentul a avut loc in 2011 si Sony a fost criticata pentru intarzierea cu care a alertat publicul cu privire la bresa informationala de proportii astronomice. Sony a descoperit intruziunea in retea cu sapte zile inainte sa ii anunte pe utilizatori. De asemenea, emailurile si parolele utilizatorilor nu au fost securizate de Sony.
CardSystems Solutions
O alta companie care a avut probleme din cauza stocarii necriptate a informatiilor utilizatorilor este CardSystems Solutions. Ca procesator intermediar de tranzactii cu carduri, compania ar fi trebuie sa dispuna de sisteme avansate de securitate. N-a fost sa fie: peste 40 milioane de conturi au fost sustrase de hackeri in 2005, inclusiv 100.000 conturi Visa si 30.000 conturi de la banci. Numele, numerele de card si codurile de securitate ale acestora au fost "preluate" de hackeri. Visa si Amex au rupt legaturile cu CardSystems din cauza acestei brese de securitate.
Heartland Payment Systems
In 2009, sistemele HPS au fost calcate de hackeri. 130 milioane carduri de credit si debit au fost compromise, dupa ce infractorii au infectat PC-urile companiei. Costurile bresei de securitate au ajuns la 140 milioane dolari, iar Heartland a fost nevoita sa plateasca bani buni in urma proceselor, pentru a despagubi Visa si American Express.
HM Revenue & Customs
Companiile private nu sunt singurele care sufera de pe urma atacurilor cibernetice. Autoritatea HM a inregistrat peste 1.000 de incidente de securitate la sediul sau, intre aprilie 2011 si august 2012. Dincolo de unele pagube materiale insemnate, HMRC a pierdut discurile cu informatiile a 25 milioane persoane, care beneficiau de ajutor social pentru cresterea copilului. De asemenea, hackerii au furat datele despre 6.500 pensionari. Partidul Conservator a apelat la Comisia Europeana, care a investigat HRMC in vederea stabilirii vinovatiei si pentru a vedea daca aceasta institutie a respectat obligatiile care survin in urma aplicarii Directivelor pentru protectia datelor.
AOL
Greseala din 2007 a celor de la AOL a fost de rasul lumii. Eroarea s-a petrecut dupa ce AOL a incercat sa castige bunavointa comunitatii academice prin furnizarea unui nou instrument de cautare, dar in schimb a reusit sa "prezinte public" informatiile despre cautarile unui numar de 657.000 utilizatori de internet.
Aceste cautari puteau fi corelate cu utilizatori specifici, iar reteta esecului AOL a fost "condimentata" cu informatiile financiare ale acestora... CEO-ul a demisionat in urma incidentului si AOL s-a confruntat cu un proces de 500 milioane dolari.
Certegy Check Services
CCS ar fi trebuit sa-si verifice mai bine angajatii, in momentul recrutarii. Compania a dezvaluit in 2007 ca unul dintre oamenii sai a sustras informatiile despre 8,5 milioane clienti, oferindu-le unui broker de date. Infractorul a vandut datele personale ale clientilor, dar si pe cele legate de cardurile de credite si alte date bancare.
BankInfoSecurity.com precizeaza ca Certegy a solutionat cazul alaturi de Procurorul General din Florida, fiind de acord sa plateasca despagubiri in valoare de 850.000 dolari in urma incidentului. Compania si-a imbunatatit si sistemul de recrutare, pentru a evita angajarea unor asemenea "negustori de informatii confidentiale".