Największe wycieki danych w drugim kwartale 2013 roku

Facebook, amerykańskie sądy, uniwersytety i duże sieci sklepów. To jedynie kilka z wielu firm i instytucji, którym w drugim kwartale tego roku udało się utracić dane swoich klientów. W ciągu trzech miesięcy, w niepowołane ręce wpadły informacje dotyczące ponad sześciu milionów osób. Kto i w jaki sposób je tracił?

Wycieki Danych 2013

Wycieki Danych 2013

Na to pytanie odpowiada amerykańska instytucja nazwana Identity Theft Resource Center. Wśród jej zadań jest między innymi monitorowanie upublicznianych raportów dotyczących utraty danych przez tamtejsze firmy i instytucje. Co kwartał udostępniany jest raport, w którym zbierane są najgorsze tego typu zdarzenia.

W pierwszych trzech miesiącach tego roku, Identity Theft Resource Center dotarło do 131 przypadków utraty dużej ilości danych. W ręce niepowołanych osób wpadły informacje dotyczące 874 tysięcy osób. Były to między innymi dane ich kart kredytowych czy numery Social Security, będącego amerykańskim odpowiednikiem naszego ubezpieczenia społecznego.

Zobacz również:

Wśród instytucji i firm, które traciły dane były między innymi platforma mikroblogowa Twitter, szpitale w Stanford i Wisconsin, a nawet centrum badawcze Departamentu Energii, w którym prowadzone są programy związane z energią atomową.

W drugim kwartale tego roku liczba odnotowanych przypadków utraty danych niestety wzrosła. Łącznie, przez sześć miesięcy 2013 roku odnotowano ich już 301. Liczba ludzi, którzy mogli odczuć skutki działania hakerów czy nieporadności ekspertów od bezpieczeństwa, wzrosła natomiast ponad siedmiokrotnie. W ręce niepowołanych osób mogły się dostać dane ponad sześciu milionów osób! Identity Theft Resource Center wymienił oczywiście największe zdarzenia tego typu.

Listę otwiera kwietniowy atak na sieć sklepów Schnuck Markets. W wyniku ataku ucierpieli mieszkańcy amerykańskiego miasta St. Louis i okolic. Anonimowemu hakerowi udało się ukraść ponad dwa miliony numerów kart kredytowych wraz z ich datą ważności. Cyberprzestępca nie wszedł jednak w posiadanie nazwisk i adresów prawowitych właścicieli kart. Dyrektor zarządzający Schnuck Markets przeprosił klientów swojej firmy.

O drugim z przypadków wymienionych na liście, głośno było nawet w Polsce. Największy serwis społecznościowy na świecie – Facebook – ogłosił, że w czerwcu utracił dane mniej więcej sześciu milionów swoich użytkowników. W tym przypadku nie doszło jednak do ataku, a jedynie do wycieku danych. Wadliwie działające oprogramowanie doprowadziło do tego, że internauci dzielili się swoimi adresami e-mail i numerami telefonów z nieznajomymi osobami. Wykryty błąd został już usunięty.

Kolejna z wymienionych spraw to już opis ataku hakerów. Wymierzono go w kancelarie sądów w stanie Waszyngton. Cyberprzestępcom udało się dostać na serwery kancelarii i skraść z nich milion numerów praw jazdy i 160 tysięcy numerów Social Security. Przedstawiciele sądów przeprosili Amerykanów i obiecali, że w trybie natychmiastowym zajmą się wzmacnianiem bezpieczeństwa swojej sieci.

Szczęścia nie miała również firma RentPath. Jedna z osób zatrudnionych przez nią na umowę zlecenie, okazała się być złodziejem. Wyniosła ona z firmy sprzęt, na którym znajdowały się dane 56 tysięcy obecnych i byłych pracowników RentPath oraz kandydatów starających się o pracę w firmie.

W jeszcze gorszej sytuacji znalazł się szpital z miasta Celebration na Florydzie. Odkrył on, że jedna z osób pracujących na ostrym dyżurze ukradła dane ponad 763 tysięcy pacjentów będących ofiarami wypadków drogowych. Dane te były następnie przekazywane wspólnikowi, który próbował namówić pokrzywdzonych do skorzystania z usług zaprzyjaźnionych kręgarzy i prawników. W tym przypadku sprawa nie zakończyła się jedynie przeprosinami. Szpital pozwał firmę, z którą wcześniej współpracował. Adventist Health Systems zostało oskarżone o niewłaściwe chronienie danych. Tymczasem człowiek, który kradł informacje o pacjentach, został skazany na rok więzienia.

Niektóre instytucje mogą natomiast mówić o strasznym pechu albo zupełnym braku talentu do ochrony danych. University of Florida w Gainesville aż dwukrotnie musiał informować o utracie cennych danych. W kwietniu tego roku okazało się, że jeden z pracowników tamtejszej praktyki lekarskiej, mógł skraść dane 14 tysięcy pacjentów. Człowiek ten był powiązany z szajką przestępczą zajmującą się kradzieżą tożsamości. Tymczasem w maju utracono dane kolejnych 5,6 tys. pacjentów korzystających z kliniki pediatrycznej. Miesiąc później o potencjalnym wycieku danych poinformował Florida State University. Ujawnił on, że informacje na temat 47 tysięcy nauczycieli z Florydy zostały udostępnione publicznie na dwa tygodnie w trakcie błędnie przeprowadzonej operacji przenoszenia danych.

Jeszcze ciekawszy był przypadek operatorów telefonii komórkowej YourTel America i TerraCom z Oklahoma City. Oskarżyli oni firmę mediową Scripps Howard o to, że jej dziennikarze weszli w posiadanie danych 150 tysięcy klientów obu sieci. Miały one zostać przekazane przez zewnętrzną firmę pomagającą w dziennikarskim śledztwie. Scripps Howard zaprzeczyło tym doniesieniom, a operatorom nie udało się niczego udowodnić. Przyznali się jedynie do utraty danych.

Spać spokojnie nie mogą nawet osoby korzystające z elektronicznych systemów zarządzających sprzedażą biletów. Hakerom udało się włamać do systemu nazwanego Vendini, z którego ukradli dane finansowe korzystających z niego osób. W wyniku ataku ucierpiało ponad 55 tysięcy mieszkańców USA i Kanady.

Zwykły, ludzki błąd został wyceniony na 400 tysięcy dolarów, w kolejnym przypadku utraty danych, opisanym przez Identity Theft Resource Center. Odszkodowanie w takiej wysokości zostało wypłacone amerykańskiemu Departamentowi Zdrowia i Opieki Społecznej przez Idaho State University. Jeden z pracowników uniwersytetu wyłączył zaporę ogniową chroniącą tamtejszą sieć, w wyniku czego, w niepowołane ręce mogły się dostać dane 17,5 tys. osób.

Uderzać można nie tylko w firmy i instytucje państwowe. Cyberprzestępcy popisali się pomysłowością w przypadku ataku przeprowadzonego na miasto Akron w stanie Ohio. Zabezpieczenia jego oficjalnej strony internetowej i systemów informatycznych zostały złamane. Następnie „wyczyszczono” je z danych 30 tysięcy mieszkańców miasta. Chodzi tu o zeznania podatkowe, numery karty kredytowych oraz numery Social Security. Podejrzewa się, że za włamaniem stoi grupa hakerów z Turcji. Nie udało się ich oczywiście złapać. Sami hakerzy byli przy okazji na tyle aroganccy, że na policyjnej stronie internetowej z poradami dla potencjalnych ofiar przestępstw, zostawili mnóstwo wskazówek swojego autorstwa.

Także w maju, o utracie danych poinformował szpital Piedmont HealthCare z Północnej Karoliny. Został on zaatakowany przez hakera, który wszedł w posiadanie numerów Social Security 10 tysięcy osób przechodzących przez proces rekrutacyjny szpitala. W tym samym miesiącu, w Północnej Karolinie dane straciła także praktyka lekarska Presbyterian Anesthesia Associates. Hakerowi udało się wykorzystać lukę w jej stronie internetowej i skraść informacje dotyczące kard kredytowych dziesięciu tysięcy pacjentów. Czyżby w obu przypadkach za atakiem stała ta sama, lub te same osoby? Tego nie wiadomo.

Wiadomo natomiast, że wycieki danych często zdarzają się w szpitalach. Ostatnią instytucją na liście  Identity Theft Resource Center jest właśnie szpital Bon Secours Mary Immaculate z miasteczka Newport News w stanie Virginia. Poinformował on, że zwolnił dwóch asystentów pielęgniarzy ponieważ niewłaściwie obchodzili się z danymi pacjentów. Szpital poprosił nawet organy ścigania o wszczęcie śledztwa mającego wyjaśnić czy poufne informacje mogły wpaść w ręce niepowołanych osób. W tym przypadku chodziło o dane pięciu tysięcy osób. Nie wiadomo jednak jakie efekty przyniosła praca policji.

To oczywiście nie wszystkie przypadki utraty danych, odnotowane przez Identity Theft Resource Center. Więcej na ten temat można znaleźć na oficjalnej stronie internetowej centrum. Publikowane na niej raporty sięgają 2005 roku i są bardzo szczegółowe.


TOP 200