ИБ-дайджест: иск против Yahoo! от миллиарда пользователей и утечки из-за неправильной настройки сервисов Amazon

04.09.2017

Вернуться к списку новостей

Yahoo! ответит в суде за утечки данных по иску от миллиарда пользователей

Суд признал легитимность коллективного иска от имени более миллиарда пользователей, которые заявили о компрометации личной информации из-за утечек данных в Yahoo!. В результате инцидента в 2013 году были скомпрометированы данные минимум миллиарда учетных записей Yahoo!, в 2014 году утечка затронула 500 млн аккаунтов (в причастности к ней Министерство юстиции США подозревает «российских хакеров»). В Yahoo! долго скрывали утечки и объявили о первом инциденте только через три года.

В 93-страничном обосновании судебного решения отмечается, что истцы опасаются кражи персональных данных в будущем. Часть пользователей Yahoo! указали в заявлении, что потратили деньги на защиту личной информации, еще часть пострадавших заявили, что их данные использовали мошенники. Многие выразили претензии по поводу замалчивания инцидентов: если бы Yahoo! своевременно сообщила об утечках, пользователи могли бы изменить пароли или удалить учетные записи.

«Мы считаем решение значительной победой для потребителей, так как суд, безусловно, примет во внимание все указанные недостатки. Это ведь самая масштабная утечка данных в истории», – цитирует адвоката истцов агентство Reuters.

Раскрытие информации об утечках данных пользователей повлияло на сделку купли-продажи интернет-бизнеса Yahoo!. Покупатель – Verizon Communications Inc. – снизил предлагаемую цену, заплатив в итоге 4,76 млрд долларов, тогда как рыночная капитализация накануне закрытия сделки составляла 37 млрд. В компании Verizon, которой теперь предстоит участвовать в национальном судебном процессе, ситуацию не комментируют.

Ошибки в настройке сервиса Amazon привели к утечке данных военнослужащих США и клиентов кабельной сети

Из-за неправильных настроек безопасности облачного сервера Amazon тысячи файлов с личной информацией военных, полицейских, сотрудников спецслужб и подразделений ООН попали в свободный доступ. Источник скомпрометированных данных – база резюме и заявлений о приеме на работу в частную охранную фирму, начиная с 2009 года. В фирме предположили, что ответственность за инцидент несет бывший подрядчик – компания по подбору персонала, которая использовала облачный сервис Amazon для пересылки резюме.

Одновременно стало известно еще об одном инциденте с данными на публичном сервере Amazon. Эксперты нашли 4 млн учетных записей с личной информацией клиентов Time Warner Cable – второй по охвату кабельной сети США. 600 гигабайт данных пользователей приложения MyTWC включали имена, адреса электронной почты, MAC-адреса, серийные номера устройств и детали финансовых транзакций. Причиной инцидента стала неправильная конфигурация «облака». Доступ к данным закрыли, как только узнали об уязвимости. Представитель Time Warner Cable сообщил изданию New York Post, что начато расследование.

«Сегменты Amazon AWS защищены по умолчанию, но каким-то образом оставлены общедоступными. Скорее всего, инженеры забыли и никогда не закрывали публичную конфигурацию», – предположил эксперт Kromtech.

Ранее в открытом доступе на файловом хостинге Amazon обнаружили информацию о 198 млн зарегистрированных избирателях: архив, не защищенный даже паролем, загрузила в «облако» фирма, которая собирала сведения для предвыборного штаба Дональда Трампа. Из-за некорректно настроенных политик безопасности также оказались скомпрометированы данные подписчиков компании Dow Jones, клиентов Verizon и развлекательной корпорации WWE, которые хранились на «облаках» Amazon.

Essential предложила бесплатно пользоваться сервисом для защиты персональных данных в качестве компенсации за утечку

На форуме Reddit в конце августа 2017 года появилось обсуждение подозрительной рассылки от компании Essential. Это новый производитель смартфонов, который принадлежит одному из основателей Android Энди Рубину.

В письме, отправленном с серверов Essential, содержалась просьба к покупателям подтвердить заказ на телефоны и переслать сотрудникам копании документы, удостоверяющие личность – паспорт или водительское удостоверение с фото, домашним адресом и подписью.

Первоначальная версия пользователей Reddit – фишинг – не подтвердилась. Примерно 70 заказчиков Essential отправили персональные данные, и оказалось, что сообщения перенаправляются всем адресатам рассылки.

Основатель Essential Энди Рубин признал проблему, извинился перед клиентами и предложил в качестве компенсации бесплатно пользоваться сторонним сервисом для защиты персональных данных в течение года.