В Австралии Красный Крест допустил крупнейшую в истории страны утечку данных по неосторожности

01.11.2016

Вернуться к списку новостей Первым о масштабной утечке данных в своем блоге сообщил Трой Хант, глава регионального представительства Microsoft, специалист по информационной безопасности и основатель сайта «Меня взломали?». Неназванный пользователь связался с ним в Twitter и сообщил, что в его распоряжении оказались личные данные из регистрационной формы сайта австралийского Красного Креста.

В качестве подтверждения аноним прислал Ханту его собственные данные из онлайн-анкеты донора: пол, имя, номер телефона, адрес электронной почты, дату рождения и дату последнего посещения донорского пункта. Впоследствии выяснилось, что информация о его жене, которая чаще сдает кровь, была более полной и включала также домашний адрес и сведения о группе крови.

В итоге «источник» передал Ханту всю базу объемом 1,74 гигабайта. Скомпрометированными оказались личные данные 550 тысяч доноров, которые заполняли веб-форму стандартного опросника на сайте с 2010 по 2016 год. Хант сообщил об инциденте австралийской группе реагирования AusCERT.

На пресс-конференции в Мельбурне глава австралийского общества Красного Креста признала, что утечка данных произошла из-за «человеческой ошибки». Предварительное расследование показало, что резервная копия базы данных хранилась на сайте разработчика и доступ к ней был у третьего лица, отвечающего за техническую поддержку сайта организации. По оценке Ханта, это самая масштабная утечка данных по неосторожности в истории Австралии.

Представители Красного Креста подчеркнули, что в данных нет медицинских сведений о состоянии здоровья доноров и о результатах анализов крови. Хант отметил, что вопросы в анкете донора в основном безобидные и касаются, например, веса донора, свежих татуировок или сведений о посещении стоматолога. Однако среди них есть и такой: «Был ли у вас незащищенный половой контакт за последние 12 месяцев?».

Эксперты по безопасности, к которым обратился Красный Крест, полагают, что вероятность использования данных в корыстных целях крайне мала. Пользователь, которые передал базу Ханту, удалил архив. Основатель сайта «Меня взломали?» уверен, что у его источника не было злого умысла – он принадлежит к числу тех, кто «прочесывает» интернет в поисках подобных баз ради спортивного интереса.

Тем не менее Красный Крест разослал всем донорам, заполнившим форму регистрации на сайте, сообщение с предостережением о возможном неправомерном использовании их данных.