День дурака в инфобезе: самые глупые инциденты в бизнесе и госсекторе

01.04.2019

Вернуться к списку новостей

К 1 апреля собрали ИБ-инциденты, допущенные по глупости, и неудачные попытки сжульничать на работе. Если бы в инфобезе вручали премию Дарвина, наш список победителей был бы таким. 

Номинация «Товар года»

Товар года

В начале прошлого года правительство Австралии отдало в «секонд» два шкафа для хранения документов, ключи от которых были утеряны. Новый владелец мебели купил ее за 10 австралийских долларов (около 455 российских рублей) и открыл полки с помощью дрели. Внутри его ждал сюрприз – сотни правительственных документов с грифом «совершенно секретно».

Покупатель поступил честно, когда отдал находку журналистам телеканала ABC, а не иностранным шпионам, например. СМИ мигом растиражировали историю. Из документов можно было узнать о работе пяти ведомств страны – детали контртеррористических операций, планы австралийских военных на Ближнем Востоке, данные о законопроектах. 

Через час после публикации документов находку у ABC изъяли, правительство начало срочное расследование. Департамент премьер-министра и кабинет министров взяли на себя ответственность за утерю документов.

Номинация «Снайперская точность»

Номинация «Снайперская точность»

Финское приложение для фитнеса Polar Flow прославилось в июле 2018 года. Создатели хотели, как лучше, когда решили собрать все маршруты пользователей на одной карте. По задумке это позволяло любителям спорта находить места для пробежек и велопрогулок в своем городе.

Похожая функция есть и у других фитнес-приложений. Разница в том, что Polar Flow позволило видеть чужие маршруты всем пользователям без ограничений. В итоге с помощью приложения журналисты вычислили места тренировок американских военных и агентов ФБР. Доступными для всех оказались и данные их профилей, с помощью которых можно было узнать домашние адреса офицеров и найти их Facebook-страницы.

Когда СМИ написали об утечке персданных, разработчики Polar Flow официально извинились и отключили функцию слежения.

Polar Flow можно наградить и за то, что наступили на «грабли», ведь в 2017 году похожая история приключилась с фитнес-трекером Strava, карта маршрутов которого показывала местоположение секретных военных баз.

Номинация «Верность традициям»

Номинация «Верность традициям»

Летом 2018 года секретную документацию ВВС США выставили на продажу на одном из хакерских форумов. За 150-200 долларов желающие могли купить инструкции по обслуживанию ударных дронов MQ-9 Reaper, пособия с описанием тактик по размещению самодельных взрывных устройств, руководство по эксплуатации танка M1 ABRAMS, инструкции по обучению членов экипажа, пособия по выживанию. 

Распродажу заметили специалисты по безопасности, которые выяснили у продавца, как он получил доступ к документам. Оказалось, хакер подключился к маршрутизаторам американской авиабазы в Неваде с помощью FTP-пароля по умолчанию. Получив доступ к сети авиабазы, киберпреступник взломал компьютер одного из старших офицеров, откуда выудил информацию. 

ИБ-исследователи сообщили об инциденте властям, и те начали расследование. По иронии судьбы офицер, чей компьютер был взломан, недавно прошел курс по кибербезопасности и должен был знать, как предотвратить несанкционированный доступ в систему. Но «бумажная безопасность» процветает повсюду. 

Номинация «Сама щедрость»

Номинация «Сама щедрость»

В 2015 году шведское транспортное агентство (аналог Минтранса) передало специалистам IBM Sweden управление реестром транспортных средств и водительских удостоверений. Отдавая часть задач на аутсорсинг, агентство надеялось сэкономить деньги на оплате труда, поскольку субподрядчики IBM Sweden находились в странах Восточной Европы. 

Кроме денег, генеральный директор транспортного агентства хотел сэкономить время. Поэтому проигнорировал меры безопасности и отдал субподрядчикам доступ ко всей информации ведомства. Мол, выбирайте, что вам нужно. В руках IBM Sweden оказались имена агентов спецслужб, сведения о железнодорожной, автомобильной и морской инфраструктуре, подробные персональные данные о каждом водителе Швеции, информация обо всех транспортных средствах, зарегистрированных в стране, включая полицейские и военные машины, а также данные об участниках программы защиты свидетелей.

За грубое нарушение ИБ-правил глава агентства получила увольнение и скромный штраф в 8 500 долларов.   

Номинация «Бортовой самозванец»

Номинация «Бортовой самозванец»

Житель Подмосковья Тарас Шелест переплюнул героя фильма «Поймай меня, если сможешь». Шелест с детства мечтал быть летчиком, но поступить ни в один авиационный вуз не смог – не набрал баллов. Тогда предприимчивый мужчина купил диплом Санкт-Петербургского университета гражданской авиации и после усиленных тренировок на симуляторах полета устроился в частную компанию стюардом, а после стажировки – вторым пилотом. 

Налетав 290 часов, Шелест пришел с резюме в крупную авиакомпанию. Кадровое подразделение без вопросов приняло его документы. Мужчина слыл блестящим работником и наверняка построил бы хорошую карьеру, если бы не досадное происшествие. Шелест воскликнул «Слава Украине!», когда сообщал диспетчеру о заходе в украинское воздушное пространство. И вот тогда служба безопасности заинтересовалась героем. Начала проверку и выяснила, что мужчина в авиационном вузе никогда не учился.  

В итоге уголовное дело на горе-пилота возбуждать не стали, наказали только запретом на полеты в России. Пожалели – все-таки летать человек научился хорошо. СМИ сообщают, что после разбирательства Шелеста приняли пилотом в украинские авиалинии. 

Напоследок желаем, чтобы в случае любых ИБ-инцидентов в вашей компании последней всегда смеялась служба безопасности. 

Подпишитесь на Telegram-канал «СёрчИнформ», чтобы получать еще больше новостей и мнений!

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними