Вы наверняка слышали истории о том, как в руки злоумышленников попадали терабайты информации о кредитных картах или персональных данных клиентов банков. Однако реальные масштабы проблемы гораздо больше, чем, кажется на первый взгляд.
Сегодня мы расскажем о 10 самых громких киберпреступлениях, которые превратились в настоящий ночной кошмар для компаний.
Платежная система Heartland Payment Systems
2008-2009 год стал плачевным для платежной системы, центральный офис которой расположен в Нью Джерси. Прорыв периметра безопасности привел к утечке данных о 130 миллионах кредитных и дебитных карт. Шпионское ПО, установленное киберпреступниками в сети передавало всю информацию по картам, как только она поступала из отделений банков. Поскольку компания обрабатывала платежи от 250 000 ритейлеров, удар был невероятной силы.
В 2010 Альберт Гонзалес, стоявший за этой утечкой данных, как впрочем, и руководивший еще несколькими крупными хакерскими атаками, был приговорен к 20ти годам лишения свободы.
Сеть магазинов «Target»
В декабре 2013 гигантская сеть магазинов «Target» подтвердила информацию о том, что хакеры заразили устройства для чтения кредитных карт. В результате злоумышленники завладели доступом к 40 миллионам счетов по всем Соединенным Штатам. В январе 2014 представители «Target» признали, что киберпреступники также получили доступ к персональной информации о 70 миллионах клиентов.
Развлекательный сервис Sony online
В апреле 2011 хакеры до сих пор остающиеся неизвестными, атаковали сервисы компании Sony: PlayStation Network и Sony Online Entertainment, похитив около 102 миллионов записей о клиентах.
Изначально Sony призналась в утечке данных о 78 миллионах клиентах — персональной информации, платежных реквизитов, логинов и паролей. Однако более глубокое расследование продемонстрировало, что около 24,6 миллионов пользователей сервисов SOE и Qriocity также пострадали. Кроме того, были похищены 23 400 записей о кредитных картах по всей Европе. Менее чем за три недели игровая сеть номер один потеряла позиции, а компании пришли судебные иски на сумму в 171 миллион долларов.
Национальный архив
В 2008 году 76 миллионов персональных карточек покинули стены Национального архива. К этому похищению хакеры отношения не имеют, причиной утечки стал обыкновенный человеческий фактор. В конце 2008 один из жестких дисков перестал работать. На нем хранилась информация о ветеранах армии США. Сотрудники архива решили отправить диск подрядчику на ремонт, не уничтожив хранящуюся на диске информацию, хотя бэкап данных был сделан. Подрядчик признал диск не пригодным к ремонту и отправил его обратно, также, не озаботившись уничтожением данных.
В итоге, информация о ветеранах армии и специальных подразделений, участвовавших в различных операциях, включая последние кампании, оказалась в свободном доступе. А это прямая угроза, как жизням отставных военных, так и их семьям.
Страховая компания Anthem
Anthem — одна из крупнейших в США компаний, продающих медицинские страховые полисы, потеряла от 69 до 80 миллионов записей о клиентах, содержащих персональную конфиденциальную информацию.
Epsilon
В марте 2011 Техасская компания Epsilon, обеспечивающая более 2500 клиентов платформой для e-mail маркетинга признала, что данные о 50 клиентах были украдены.
Информация о 60 миллионах клиентах, банках, сетях розничной торговли, отелях была похищена киберпреступниками. Среди пострадавших оказались такие известные фирмы, как: Best Buy, JPMorgan Chase, Capital One Bank и Verizon.
Home Depot
В сентябре 2014 крупный поставщик строительных материалов и оборудования Home Depot признал, что данные о 56 миллионах кредитных карт были похищены.
Evernote
В марте 2013 пользователи программного обеспечения обнаружили, что их почтовые ящики, логины и пароли находятся в открытом доступе, в сети. Для проникновения хакеры использовали такой прием, как «фишинг»: пользователи получали письма, один-в-один похожие на рассылку от Evernote.
Living Social
В апреле 2013 представители одного из сервисов, владельцем которого является Amazon, заявили, что из-за утечки информации была утрачена информация о 50 миллионах клиентов по всему миру. Примечательно, что пользователи из Азии не пострадали.
TJX Companies Inc
Предположительно хищение данных началось в 2006 и продолжалось целый год. Эта утечка стала одной из самых крупных в истории киберпреступлений: за 18 месяцев было похищено около 45,6 миллионов данных о кредитных картах. Однако эксперты предполагают, что группа компаний TJX сознательно занижает цифру, а реальный ущерб нанесен более чем 90 миллионам клиентам.
Epic Fail: и снова Sony
В ноябре 2014 Sony Pictures Entertainment — подразделение компании, занимающееся производством анимационных и видеофильмов подверглось нападению команды хакеров, взявших под полный контроль внутреннюю сеть.
В результате на файлообменниках оказались скан копии паспортов актеров, доступы к внутренней сети Sony, маркетинговые планы, сценарии, финансовые отчеты и четыре еще не вышедших в прокат фильма.
Результат нападения — голливудские конкуренты получили огромное преимущество, а Sony Pictures Entertainment очутилась на грани выживания.
Жертвой утечки информации может стать каждый, ведь мотивы кражи пестры, как радуга: жажда наживы, «заказ» конкурентов, охота за интеллектуальной собственностью, месть или просто развлечение для группы продвинутых подростков. Методология нападений также разнится, и уже давно не ограничивается прямыми хакерскими атаками посредствам онлайн и вредоносного программного обеспечения. Для проникновения практически всегда используются приемы социальной инженерии и инсайдеры. А в некоторых случаях злоумышленники ограничиваются банальной кражей оборудования — флешек, жестких дисков, ноутбуков.
Не менее уязвима и печатная документация. Специалисты по безопасности ежегодно регистрируют случаи, когда причиной утечки данных стала украденная из мусорного ведра распечатка логинов и паролей.
С развитием технологий уже никто не может считать себя в абсолютной безопасности, ведь похищение информации – очень прибыльное дело. Ну а для жертвы это прямой путь к серьезному финансовому ущербу или даже банкротству.
Единственный способ защиты – создание эшелонированного периметра безопасности, в который входят средства борьбы с вредоносным ПО, мониторинга интернет-трафика, контроля перемещения данных, контроль электронной почты, системы мониторинга подключенного оборудования. А также комплексы мониторинга и контроля действий сотрудников. Ведь при правильном подходе человеческий фактор может стать отмычкой к любой системе безопасности. Если, конечно, не держать эту лазейку под контролем.
По материалам журнала Tom’s Guide
