ГлавнаяБлог5 громких утечек информации, которые навредили бизнесу

5 громких утечек информации, которые навредили бизнесу

Минцифры разрабатывает проект, который введет оборотные штрафы для компаний за утечку персональных данных клиентов. Документ представят в сентябре. В ведомстве поясняют, что мера должна простимулировать бизнес инвестировать в информационную безопасность и защиту личных данных пользователей. Масштабы утечек растут ежегодно. По данным экспертно-аналитического центра InfoWatch, в первой половине 2022 года число утечек информации ограниченного доступа в мире выросло на […]

5 громких утечек информации, которые навредили бизнесу

Минцифры разрабатывает проект, который введет оборотные штрафы для компаний за утечку персональных данных клиентов. Документ представят в сентябре. В ведомстве поясняют, что мера должна простимулировать бизнес инвестировать в информационную безопасность и защиту личных данных пользователей.

Масштабы утечек растут ежегодно. По данным экспертно-аналитического центра InfoWatch, в первой половине 2022 года число утечек информации ограниченного доступа в мире выросло на 93,2%, в России — на 45,9%.

Такие инциденты не только вредят пользователям, чьи данные попадают в сеть, но и бьют по бизнесу. Мы составили подборку громких утечек этого года, которые нанесли ущерб брендам — финансовый или репутационный.

В СДЭК произошла рекордная утечка данных

Оператор экспресс-доставки посылок в этом году «отличился» несколькими утечками. Самая крупная произошла в июле: по оценкам экспертов кибербезопасности, она затронула 25 млн пользователей и 30 тыс. контрагентов. В Telegram-каналах Infosecurity и «Утечки информации» сообщили, что в сеть выложили три файла, в которых было свыше 250 млн строк с данными компаний и физических лиц, включая электронную почту, телефоны и почтовые адреса.

Другая утечка в СДЭК произошла в феврале, когда инцидент затронул около 19 млн пользователей. Часть пострадавших подали коллективный иск на 2,2 млн рублей. В компании объяснили слив данных масштабной хакерской атакой.

В конце августа в СДЭК подтвердили факт еще одного происшествия: в открытый доступ выложили базу данных пользователей платформы для заказов за рубежом «CDEK.Shopping» и маркетплейса «СДЭК.Маркет». По оценкам, в сеть попали 120 тыс. строк с именами, телефонами и электронной почтой клиентов. Детали произошедшего расследуются.

По мнению экспертов, все инциденты компании — рекорд для российского рынка.

В сети опубликовали карту клиентов «Яндекс.Еда»

1 марта в сервисе «Яндекс.Еда» сообщили, что в сеть утекли персональные данные 58 тыс. клиентов. В открытый доступ попали имена, телефоны, адреса, коды от домофона и суммы покупок за полгода. В числе пострадавших оказались и сотрудники спецслужб. Позже в соцсетях распространили ссылку на сайт, на котором злоумышленники опубликовали интерактивную карту с данными клиентов.

В компании объяснили, что утечка произошла по причине недобросовестных действий одного из сотрудников и назвали инцидент беспрецедентным случаем.

По решению суда, сервис доставки еды оштрафовали на 60 тыс. рублей. А в начале августа Следственный комитет завел уголовное дело по факту утечки персональных данных клиентов — юристы будут добиваться компенсации для пострадавших.

За базу данных пациентов «Гемотест» попросили $2000

В даркнете 1 мая злоумышленники выставили на продажу базу данных клиентов сети медицинских клиник «Гемотест». В ней было более 30 млн строк: фамилия, имя и отчество пациента, дата рождения, адрес, мобильный номер, паспортные данные, СНИЛС. Эксперты предположили, что каждая строка — это одно обращение в лабораторию. За доступ к информации хакеры попросили $2000.

Получить данные лаборатории злоумышленники смогли из-за уязвимости в ИТ-системе. Позднее они предложили продать не только украденную базу, но и информацию о «прорехе», которая позволила совершить атаку. Они сообщили, что в системе содержится информация о 554 млн заказов с результатами анализов, в том числе на ВИЧ.

За утечку персональных данных, суд наложил на «Гемотест» штраф в размере 60 тыс. рублей. В лаборатории вину не признали и просили прекратить дело ввиду отсутствия состава правонарушения.

Uber выплатил за утечку данных $148 миллионов

В июле завершили дело о крупнейшем сливе в Uber: чтобы избежать уголовного преследования, компания официально взяла на себя ответственность за сокрытие утечки данных в 2016 году. Тогда пострадали 57 млн пассажиров и водителей, чьи имена, водительские удостоверения, электронные адреса и номера мобильных телефонов оказались у преступников.

То, что хакеры взломали облачный сервис и похитили данные, стало известно только через год. Так как в Uber долго замалчивали крупное хищение личных данных, началось расследование. Выяснилось, чтобы информация о краже не распространилась, глава служба безопасности выплатил преступникам $100 тысяч.

Чтобы урегулировать претензии властей в связи с массовой потерей личных данных, компании пришлось заплатить $148 млн. Это самая крупная выплата, связанная с делом о краже или потере персональных данных.

Злоумышленники полгода пользовались уязвимостью Twitter

В августе в Twitter подтвердили, что утекли данные более 5,4 млн пользователей сети. Общедоступными стали Twitter ID, имя, фамилия или название организации, телефон и электронная почта. Компания разослала пострадавшим уведомления, в которых посоветовала поменять пароль и включить двухфакторную аутентификацию, чтобы предотвратить несанкционированный вход в систему.

По словам представителей Twitter, из-за обновления кода платформы в июне 2021 года, в работе API соцсети появилась ошибка, связанная с неправильной обработкой настроек конфиденциальности и возможностью спарсить без авторизации Twitter ID и данные аккаунтов пользователей.

Уязвимость позволяла любому проверить адрес электронной почты или номер телефона и узнать, связан ли он с какой-либо учетной записью Twitter. Кроме этого, можно было получить идентификатор аккаунта.

В Twitter узнали о проблеме в начале 2022 года. Разработчики сразу устранили уязвимость, однако, как выяснилось, баг обнаружили злоумышленники и активно его использовали полгода.

Защитить бизнес от неприятных инцидентов помогут DLP-системы. Они распознают действия сотрудников и блокируют активность, связанную с возможной утечкой информации. Благодаря этому, компания получает полноценный инструмент, который обеспечивает информационную безопасность и предотвращает финансовые и репутационные потери.



Тоже интересно
Смотреть всё
Employee Monitoring, или мониторинг сотрудников: что это такое и для чего предназначен
Если в пандемию такие решения руководители использовали для контроля удаленной команды, то теперь их активно применяют...
22 февраля 2024
Changelog для «‎Стахановец 10»: релиз v10.09 ― обзор обновлений
Представляем свежую версию системы мониторинга и защиты от утечек данных.
16 февраля 2024
ГК Applite подтвердила совместимость DLP-системы «Стахановец» с операционной системой «Атлант»
Мы подтвердили совместимость DLP-системы «Стахановец» с ОС «Атлант», благодаря чему можем предложить клиентам...
13 февраля 2024