Пропали диски с данными о 34 000 клиентов Morgan Stanley

Брокерская фирма Morgan Stanley Smith Barney объявила об утере персональных данных, принадлежащих 34 тыс. ее клиентов. Предполагается, что сведения были похищены злоумышленниками. Подобные утраты часто происходят в последнее время, однако, в отличие от многих других инцидентов, это происшествие связано не с атаками хакеров.


В начале минувшего месяца фирма выполнила обычную для себя процедуру - отправила в министерство финансов и налогообложения штата Нью-Йорк пакет с двумя компакт-дисками, на которых были записаны те самые сведения. Регулярная передача такой информации в государственные органы входит в обязанности компании; и в этот раз посылка благополучно отбыла по адресу, и столь же благополучно достигла своего получателя. По крайней мере, по прибытии в министерство пакет не имел явных повреждений и следов вскрытия. Тем не менее, когда адресат распечатал посылку, компакт-дисков в ней не было.

Соответствующее уведомление компания получила 8 июня. В течение примерно двух недель сотрудники фирмы искали носители информации везде, где только могли (в том числе и по маршруту доставки), однако так ничего и не обнаружили. 24 числа того же месяца, окончательно убедившись в пропаже, компания начала рассылать уведомления пострадавшим клиентам. На дисках были записаны имена, физические адреса, номера счетов и ИНН, идентификаторы социального страхования и размеры доходов, полученных клиентами от инвестиций.

Пока компания не располагает информацией о том, что в происшествии есть криминальный умысел; признаков ненадлежащего использования утраченных данных также пока нет. Тем не менее, фирма сообщила, что все равно обеспечит пострадавших клиентов бесплатной услугой мониторинга кредитных счетов - на всякий случай.

По сведениям, имеющимся в распоряжении журналистов, данные на дисках были защищены паролем, но не зашифрованы. То ли сама Morgan Stanley не имеет привычки использовать криптозащиту, то ли министерство не располагает возможностями для дешифровки - неясно. Непонятен некоторым зарубежным специалистам по инфобезопасности и сам способ передачи данных - в наш век высоких технологий, по их мнению, есть и более надежные способы доставить информацию получателю. В компании, похоже, согласны: пресс-секретарь Morgan Stanley уже заявил, что фирма и министерство финансов будут искать способы повысить защищенность передаваемых данных.

eWeek

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru