Филиал OAO «Дальсвязь» допустил утечку клиентской базы данных

Сотрудники сахалинского филиала  OAO «Дальсвязь» выложили на свой публичный FTP-сервер файлы с исчерпывающими служебными и личными данными как минимум 11 тыс. текущих или бывших клиентов. Файлы содержат информацию даже о последних платежах клиентов и общей сумме начислений.



Утечка была обнаружена 8 декабря 2010 года экспертами аналитического центра Anti-Malware.ru на сайте, принадлежащем ОАО "Дальсвязь". Это произошло в ходе регулярного мониторинга русского сектора Интернета на предмет опубликования персональных данных граждан, осуществляемого при помощи поисковых систем.


Содержащие персональные данные клиентов файлы были по недосмотру выложены на публичный FTP-сервер, принадлежащий этой компании. Администраторы ресурса и представители OAO «Дальсвязь» были незамедлительно оповещены об утечке данных по доступным на их сайте адресам электронной почты и телефонам.


Обнаруженные в публичном доступе файлы содержат:



  1. Паспортные данные более чем 11 тыс. текущих и бывших клиентов (ФИО, номер и серия паспорта; кем и когда выдан паспорт; адрес прописки и/или проживания, дату и место рождения).

  2. Состояние абонента, последние платежи, используемый тарифный план, общую сумму начислений, указание на компанию-дилера (осуществившую подключение) и многое другое.

 


Утечка базы клиентов Дальсвязь


 


Утечка базы клиентов Дальсвязь


 


Судя по датам создания файлов, они находились в открытом доступе как минимум с июля 2010 года. Некоторые файлы датируются январем 2010 года.  Таким образом, любой желающий на протяжении многих месяцев мог беспрепятственно скачивать и использовать по своему усмотрению клиентскую базу филиала OAO «Дальсвязь».


Кроме того, на этом же FTP были обнаружены выложенные в открытый доступ музыкальные файлы, что также является нарушением действующего законодательства РФ.


 


Утечка базы клиентов Дальсвязь


 


Пока что нам не удалось получить официальный комментарий по этому инциденту от пострадавшей компании, и утечка до сих пор не закрыта. Поэтому детальную информацию по этическим причинам мы раскрыть не можем.


«Инцидент с OAO «Дальсвязь» во многом очень типичен и вызовет ощущение дежавю у всех, кто следит за сообщениями об утечках в мире. Данные клиентов по глупости или специально были выложены на FTP кем-то из сотрудников компании, вероятнее всего администратором сайта, на что указывает набор специальных программ в том же каталоге. Зачем это было сделано, предстоит выяснить службе безопасности пострадавшей компании», - комментирует Илья Шабанов, управляющий партнер Anti-Malware.ru.


«Если бы в компании использовались DLP-решения и контролировались основные сетевые протоколы, утечки, вероятно, можно было бы избежать. Контроль использования FTP относится к базовым требованиям безопасности, ведь если доступ к протоколу открыт, инсайдер может практически без труда перекачать на любой интернет-сервер гигабайты конфиденциальной информации», — комментирует Александр Ковалев, директор по маркетингу компании SECURIT, ведущего разработчика решения для защиты от утечек данных.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России готовят госстандарт для умных многоквартирных домов

Российские власти решили разработать государственный стандарт «умного» многоквартирного дома. В этом им помогут ИТ-компании и команда девелоперов. Согласно замыслу, чтобы дом назвать «умным», нужно внедрить систему распознавания лиц и возможности контроля инфраструктуры ЖКХ.

Одна из целей властей — повысить спрос застройщиков на российскую электронику. Сами же застройщики обращают внимание на тот факт, что далеко не все компоненты изготавливаются у нас.

О подготовке единых стандартов «умного» многоквартирного дома стало известно из письма заместителя главы Минцифры Андрея Заренина, которое было отправлено «Яндексу» и «Ростелекому», а также ещё 38 организациям. О содержимом письма рассказал «КоммерсантЪ».

В настоящее время уже готов проект стандарта, который содержит минимальный список сервисов, необходимых для того, чтобы назвать дом «умным». Среди таких сервисов, например, система распознавания номеров автомобилей и лиц, контроль над инфраструктурой ЖКХ. Расширенный же пакет будет включать «цифровых сотрудников»: робот-уборщик, робот-доставщик, робот-консьерж.

По мнению представителей Минцифры, на сегодняшний день в России нет чёткого понимания, какой именно дом попадает под понятие «умный». Отсюда и основная цель — закрепить единые стандарты. Также планируется подвести закройщиков и ИТ-компании к использованию одних протоколов обмена данными, что позволит создать единую цифровую среду.

Таким образом, если человек решил сменить место жительства, а на его смартфоне установлены приложения с определённым набором функций, он сможет использовать этот же софт для подключения к системе другого «умного» дома.

Эксперт GIS компании «Газинформсервис» Григорий Ковшов рассказал, как обезопасить «умные» устройства от кибератак:

«Спрос на "умные" устройства неизбежно растёт, но вместе с ростом популярности увеличилось и число кибератак на такие девайсы. Чтобы избежать вторжения в вашу частную жизнь и существенно снизить риски взлома домашней IoT-системы, рекомендую соблюдать следующие правила: измените заводские логины и пароли, если такие установлены по умолчанию, и не забывайте их менять. Также необходимо воспользоваться опцией автоматического обновления программного обеспечения. Это позволит своевременно устранять уязвимости в софте. Помните — информационная безопасность в наших с вами руках».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru