Из PricewaterhouseCooper утекли данные госслужащих США

Александр Панасенко 12 Марта 2010 - 15:05

...

Как стало известно аналитическому центру InfoWatch, профсоюз ASEA/AFSCME госслужащих штата Аляска выразил недовольство принятыми мерами защиты 77000 служащих штата, чьи данные были утеряны компанией PricewaterhouseCooper. По мнению профсоюза, 2-летнего льготного обслуживания пострадавших явно недостаточно для ликвидации последствий утечки. Одно из ведущих мировых консалтинговых агентств PricewaterhouseCooper потеряло персональные данные служащих: имена, номера социального страхования, даты рождения и проч. 8000 пострадавших являются членами профсоюза.

По мнению профсоюза, предложение администрации штата о предоставлении бесплатной защиты от утечки персональных данных пострадавших не снимает всю ответственность за произошедший инцидент. Также профсоюз считает, что администрация ответственна за любой причиненный вред, включая то, что может произойти по истечении 2-х летнего периода обслуживания по защите данных. Решение администрации штата о том, что служащие должны самостоятельно побеспокоиться о защите своих данных и зарегистрироваться в программе по защите персональных данных, является несвоевременным. Пострадавшие должны быть зарегистрированы автоматически. Администрация штата остается ответственной за любой ущерб, независимо от того был ли служащий зарегистрирован в программе или нет.

Коммерческий директор ASEA/AFSCME Джим Дункан, считает недостаточными те меры, которые предпринимает администрация штата. Он направил письмо в адрес специального уполномоченного администрации, в котором он выразил озабоченность профсоюза данной проблемой и попросил уточнить характер утечки информации: на каком носителе содержалась информация, какая именно это была информация, будет ли полиция проводить расследование по этому делу и какие меры будут предприняты для того, чтобы восстановить утерянную информацию.

Ситуацию комментирует ведущий аналитик InfoWatch Николай Федотов: «Классические американские профсоюзы не зря ругают вымогателями и попрекают их прошлыми связями с мафией. Из любого события они готовы сделать повод для уплаты денег или увеличения льгот своим членам.
Утечка персональных данных относительно недавно стала считаться таковым поводом. Поэтому лучший совет любым компаниям – постараться утечки не допускать. Благо сейчас на то есть необходимые средства защиты (DLP системы), а также свободные к применению во все времена оргмеры.

Уже несколько лет общепринятая в США практика состоит в том, что субъектам похищенных/утраченных/разглашённых персональных данных оплачивается услуга финансового мониторинга. Эту услугу, которая снижает риск стать жертвой мошенничества, может приобрести любой желающий, но добровольно её заказывают немногие. Вал заказов начался, когда набрали обороты утечки «финансовых» персональных данных, т.е. таких, которые могут позволить злоумышленникам похитить деньги или купить что-либо за счёт жертвы. В качестве компенсации виновники утечек стали предлагать оплату услуги финмониторинга. Затем это вошло в традицию. Банки, которые оказывают такие услуги, очень рады сложившейся практике».

Источник

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:44

Малый и средний бизнес Корпорации Средства защиты веб-сайтов (приложений)Защита от DDoS

WMX представила систему защиты сайтов от «умных ботов»

Российская компания WMX (ООО «Вебмониторэкс») представила новое решение для защиты веб-ресурсов от автоматизированных атак — WMX SmartBot Protection. Продукт рассчитан не только на массовый бот-трафик, но и на более сложных ботов, которые умеют имитировать поведение обычных пользователей.

Проблема здесь вполне прикладная. Значительная часть интернет-трафика сегодня создаётся не людьми, а автоматизированными скриптами.

Такие боты могут собирать данные с сайтов, перебирать пароли, создавать фейковые аккаунты, искать уязвимости и в целом мешать нормальной работе онлайн-сервисов. Особенно чувствительны к этому интернет-магазины, финансовые сервисы, агрегаторы, доски объявлений, медиаплатформы и стриминговые площадки.

При этом боты становятся всё менее примитивными. Если раньше их можно было сравнительно легко отсечь по шаблонному поведению, то теперь они нередко умеют маскироваться под живого пользователя: заходят через браузер, имитируют движение мыши и даже проходят простые CAPTCHA. Из-за этого стандартных фильтров уже часто недостаточно.

В WMX говорят, что их система использует несколько уровней проверки. Сначала трафик фильтруется по базовым признакам — например, по IP-адресам и User-Agent. Если этого недостаточно, дальше подключается анализ браузерного окружения: параметров экрана, шрифтов, а также особенностей canvas и WebGL, которые могут указывать на эмуляторы или headless-браузеры.

Следующий этап — поведенческий анализ. Система смотрит, как именно ведёт себя пользователь: есть ли движения мыши, насколько быстро заполняются формы и не выглядят ли действия слишком механическими. После этого подключаются эвристики, которые оценивают уже не отдельные признаки, а их сочетание. Например, если кто-то кликает строго по центру кнопок через одинаковые интервалы времени, это может выглядеть подозрительно, даже если по отдельности такие действия не кажутся аномальными.

При необходимости могут использоваться и дополнительные проверки, включая CAPTCHA.

Новое решение работает в связке с WMX ПроWAF, веб-экраном компании. Логика здесь довольно понятная: антибот-система должна отсеивать автоматизированный трафик, а WAF — уже защищать приложение от попыток эксплуатации уязвимостей вроде SQL-инъекций, XSS или RCE. Заодно это снижает нагрузку на инфраструктуру, потому что до основного контура доходит уже более «чистый» трафик.

В компании также сообщили, что в будущих версиях собираются добавить систему скоринга угроз и механизмы, связанные с ML, для автоматического формирования новых эвристик.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!