Хотя обычно на блошиных рынках продают почти бесполезные предметы, иногда там можно встретить настоящие сокровища. Так, любитель электроники из Нидерландов приобрёл «пучок» старых HDD с гигабайтами конфиденциальных медицинских записей, сообщает The Register.

Роберт Полет (Robert Polet) купил пять жёстких дисков по €5 ($5.21) каждый на блошином рынке недалеко от одной из местных авиабаз. Как сообщает издание Omroep Brabant, Полет более 30 лет является IT-энтузиастом и активным фотографом (что и побудило его к покупке HDD), хотя работает водителем. На купленных дисках Полет обнаружил медицинские записи сограждан, включая номера социального страхования, даты рождения, домашние адреса, сведения о выписанных лекарствах, информацию о врачах и аптеках. Записи были сделаны в 2011–2019 гг. и в основном касались лиц из городов Утрехт (Utrecht), Хаутен (Houten) и Делфт (Delft). Поэтому Полет вернулся на рынок и купил оставшиеся десять HDD у того же продавца.

Источник изображения: William Warby / Unsplash

Полет ознакомился всего с двумя из пятнадцати HDD, но этого было достаточно, чтобы сделать вывод — утечка касается какой-то местной медицинской организации. Судя по всему, это обанкротившаяся Nortade ICT Solutions, которая разрабатывала ПО для сектора здравоохранения. Как отмечают эксперты, у разработчика ПО вообще нет прав хранить подобную информацию. Но даже если он попал под какое-то исключение из закона, то всё равно все данные должны быть зашифрованы, а накопители при выводе из эксплуатации должны быть утилизированы должным образом. Законы Нидерландов требуют, чтобы удаление медицинских данных с накопителей проводилось профессионалами (где-то это поставлено на поток), а сам процесс удаления должен быть сертифицирован.

Инциденты безопасности, связанные с некорректной утилизацией электронных отходов, случаются регулярно. Например, летом 2023 года сообщалось, что из дата-центра SAP украли SSD с конфиденциальными данными, причём это был уже пятый случай за два года, а один из накопителей появился на Ebay. Morgan Stanley когда-то сэкономил $100 тыс. на утилизации жёстких дисков, а в результате потерял $120 млн.

«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

Недавно представленный Amazon чат-бот Amazon Q страдает характерными для этого типа решений «галлюцинациями» и допускает утечки конфиденциальных данных, сообщает Platformer. Пользователям превью-версии стали доступны данные о местоположении ЦОД компании, непубличных дисконтных программах и ещё не представленных функциях.

Инцидент получил статус утечки уровня 2. Это означает, что он оказался достаточно серьёзен, чтобы привлечь специалистов к его устранению ночью и работе в течение выходных. Проблемы Q весьма некстати проявились тогда, когда Amazon пытается отвоевать себе место на рынке ИИ-ассистентов. Пионерами здесь стали Microsoft, Google и некоторые стартапы. В сентябре компания объявила о намерении инвестировать $4 млрд в стартап Anthropic, а на этой неделе, наконец, представила собственный чат-бот Q.

В ответ на сообщения о проблемах Q в компании заявили, что некоторые сотрудники действительно обмениваются отзывами по внутренним каналам, но нет свидетельств того, что в материалах обратной связи упоминаются случаи явной утечки данных. Позже компания ещё раз подчеркнула, что Amazon Q не допускал утечек конфиденциальной информации. При этом в компании уточняют, что обратная связь только приветствуется, поскольку поможет лучше настроить поведение ИИ-ассистента. Однако внутренние документы компании, утекшие в Сеть, свидетельствуют об обратном — Q выдавал вводящие в заблуждение или же потенциально опасные ответы, например, касающиеся вопросов безопасности.

Источник изображения: John Schnobrich/unsplash.com

До сих пор Amazon тщательно скрывает местоположение ЦОД из своего огромного парка, включающего как собственные объекты, так и арендованные мощности. В 2018 году WikiLeaks обнародовала внутреннюю документацию IT-гиганта, включающую сведения о координатах дата-центров компании по состоянию на 2015 год. С тех пор расположение ЦОД раскрывалось только в документах о планируемом строительстве, но точных сведений о местонахождении всех площадок компании данных нет до сих пор. В последнем отчёте K-10, AWS уведомила, что на конец 2022 года компания владела по всему миру ЦОД общей площадью более 1,4 млн м² и арендует ещё более 1,6 млн м².

Служба безопасности SAP начала расследование, связанное с появлением на eBay одного из накопителей, пропавших в одном из ЦОД компании. Как сообщает издание The Register, инцидент произошёл ещё в ноябре прошлого года в немецком городе Вальдорф земли Баден-Вюртмеберг. Известно, что из дата-центра компании пропали сразу четыре SSD. Это уже пятый инцидент с исчезновением накопителей из европейских ЦОД SAP за последние два года, передаёт издание.

В результате расследования выяснилось, что охрана была организована очень плохо, поскольку никто не проверял людей, покидавших считавшийся защищённым ЦОД. В результате диски переместили в «небезопасное» здание в комплексе строений штаб-квартиры, откуда они и были украдены без особых проблем. В компании отметили, что на дисках не хранилось какой-либо личной информации, но, как оказалось, эти данные не вполне соответствовали действительности.

В своё время в SAP утверждали, что подходят к безопасности данных очень серьёзно, и, хотя служебная информация не подлежит разглашению, представители разработчика ПО заверили, что свидетельства утраты данных клиентов или сотрудников отсутствуют. Однако один из четырёх SSD, оказавшийся на eBay, приобрёл сотрудник самой SAP, после чего выяснилось, что накопитель содержал персональные записи о сотне сотрудников компании. Местонахождение трёх оставшихся дисков неизвестно до сих пор.

Изображение: Bru-nO / Pixabay

Хотя свою роль сыграла человеческая ошибка и несоблюдение протоколов безопасности, основной причиной утери всё-таки назвали кражу. Инцидент не может не вызывать беспокойства как у самих разработчиков, так и у их клиентов, поскольку в последние годы SAP активно продвигает собственные облачные решения и продажу ПО по модели услуг, предоставляемых как на базе собственных ЦОД, так и дата-центров партнёров.

Инцидент в IT-индустрии не первый и, вероятнее всего, не последний. В 2019 году финская компания Blancco, занимающаяся безопасной очисткой накопителей, обнаружила, что из 159 случайным образом выбранных на eBay накопителях из США и Европы 42 % несли данные, оставшиеся от прежних владельцев. Доступ к ним могли получить даже люди, имеющие базовую компьютерную грамотность. Более того, в 15 % случаев накопители хранили и персональные сведения.

Впрочем, даже неправильный вывод из экплуатации может привести к проблемам. Так, банк Morgan Stanley, сэкономив $100 тыс. на утилизации HDD, в итоге потерял $120 млн. Но это касается и другого оборудования. Недавний анализ, проведённый ESET, показал, что выставляемые на продажу сетевые устройства зачастую содержат массу информации, позволяющей как минимум скомпрометировать сети крупных компаний.

Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.

В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жёстких дисков, возможно, не была стёрта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.

Фото: Pixabay/pastedo

Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролёра денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот «не осуществлял надлежащего надзора». Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в «игнорировании отраслевых стандартов» в отношении надлежащей утилизации ИТ-активов (ITAD).

Согласно документам, банк отказался от услуг IBM в пользу «неизвестного и неквалифицированного поставщика» для вывода из эксплуатации своего IT-оборудования в рамках «решений, ориентированных на получение прибыли», чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жёстких дисков, продала оборудование компании KruseCom.

Как поступила с ним KruseCom неизвестно — оборудование либо было продано ещё кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьёй.