760 компаний стали потенциальными жертвами хакеров, атаковавших сеть RSA

Эксперт в области информационной  безопасности и независимый журналист Брайан Кребс опубликовал список жертв – компаний, которые могут стать следующими в списке злоумышленников, атаковавших сеть одного из гигантов индустрии информационной безопасности RSA Security; в общей сложности потенциальной угрозе оказалось подвержено более 760 компаний, 20% из которых входят в список Fortune 100.

Напомним, что в марте 2011 года, было совершено нападение на сеть RSA Security. Как сообщалось тогда, злоумышленники направили двум небольшим группам сотрудников компании электронные письма со вредоносными вложениями - книгами Microsoft Excel, в которые были внедрены особые Flash-объекты. В случае открытия файлов злоумышленники получали полный контроль над пораженным компьютером и, благодаря этому, смогли украсть алгоритм создания безопасного соединения, используемый во всех токенах RSA, а, следовательно, этой угрозе были подвержены и все клиенты компании.

Стоит отметить, что, несмотря на все опасения экспертов в области безопасности касательно возможных последствий, ни одна компания из перечисленных не заявила о каких-либо нарушениях. Но, г-н Кребс уточнил, что в опубликованном списке указаны те компании, которые подчинялись инфраструктуре управления, идентичной той, что использовалась при атаке на RSA. Боле того, первые жертвы находились под контролем хакеров уже в ноябре 2010 года.

Но, несмотря на долгое и тщательное расследование, остались незакрытыми некоторые вопросы и, рассматривая приведенный список, стоит их учитывать, отмечает автор статьи. Во-первых, в списке есть компании, являющиеся провайдерами Интернет. Поскольку некоторые из их клиентов стали жертвами атаки, то и они оказались в этом же числе. Во-вторых, пока не ясно, сколько систем в каждой компании было скомпрометировано. Были ли это постоянные вторжения либо атакующие просто получили доступ к конфиденциальной информации своих жертв. И, наконец, некоторые из приведенных организаций значатся среди жертв, поскольку их системы были намеренно скомпрометированы в попытке заполучить вредоносный код, который использовался при нападении (касается некоторых антивирусных компаний).

Тем не менее, среди прочих, наиболее значимым оказалось присутствие в списке жертв атаки таких компаний как Cisco Systems, eBay, European Space Agency, Facebook, Freddie Mac, Google, General Services Administration, IBM, Intel Corp., the Internal Revenue Service (IRS), Massachusetts Institute of Technology, Motorola Inc., Novell, Perot Systems, Research in Motion (RIM) Ltd., Seagate Technology, Thomson Financial, Unisys Corp., USAA, Verisign, VMWare и Wells Fargo & Co. (полный список)

По мнению Эдди Уильямса, эксперта по безопасности G Data SecurityLabs, эта атака уже выходит за рамки обычных хакерских атак. «Во-первых, она целенаправленная (targeted), и при ее организации использовались уловки социальной инженерии. Иными словами, кибермошенники заранее выбирали, кому отправить сообщение, чтобы оно было открыто на рабочем месте. Во-вторых, она преследует цели не только покупки и перепродажи корпоративной информации, но и корпоративного шпионажа в пользу конкурентов. Наибольшая опасность для компаний-клиентов RSA представлялась вероятность нападения с целью похищения денег с корпоративных счетов, потери информации, содержащей коммерческую и информацию о применяемых технологиях - «ноу-хау», а так же утечки персональных данных сотрудников. В-третьих, эта атака нацелена не на одну компанию, а сразу на сотни крупнейших компании мира. Это делает ее более опасной, а прибыль кибермошенников более весомой», считает эксперт.

«Помимо компаний от такой утечки могут пострадать и обычных пользователи ПК», - добавил он. «Например, их персональные данные из Google, Facebook, Sony и других компаний, могут утечь в руки киберпреступников, в сеть или на подпольные форумы. Но это в случае того, если компания-клиент RSA не откажется от использования токенов именно этой марки. Если учесть тот факт, что RSA является крупнейшим игроком рынка подобных услуг, то это будет не так просто. Паниковать пока не стоит, так как ни одна компаний из списка, еще не заявила об утечке информации. Поэтому мы можем только предполагать, что может случиться в случае реальной утечки».    

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Слишком данные: Госдума начала менять ФЗ-152

О том, что у кого-то есть дом, квартира или вилла, можно будет узнать только в том случае, если этот «кто-то» согласится сам. Такой порядок предусматривает новая редакция закона «О персональных данных» — поправки накануне были приняты Госдумой в первом чтении.

Среди авторов законопроекта — депутаты-единороссы Александр Хинштейн, Андрей Луговой, Сергей Боярский и сенатор Андрей Клишас.

В новой версии закон фактически засекречивает сведения из Единого государственного реестра недвижимости (ЕГРН). Авторы предлагают раскрывать информацию из ЕГРН третьим лицам только с письменного согласия владельца недвижимости.

Сейчас собственник, который не желает, чтобы данные о квартире были переданы третьим лицам, должен написать отказ в их предоставлении. 

Новые поправки предлагают считать такой запрет автоматическим. Для того чтобы информация о квартире или доме стала доступна, продавец должен написать специальное согласие.

 «В результате банки и потенциальные покупатели смогут получить подтверждение, что продавцу действительно принадлежит продаваемая недвижимость, только если он того пожелает — способов заставить его это сделать не существует», — объясняет «Ъ» глава Национальный совет финансового рынка Андрей Емелин глава НСФР.

НСФР уже направил в Минцифры письмо с предложениями доработать законопроект ко второму чтению. Банки жалуются на избыточную нагрузку, которая свалится на финансовые организации. Если закон примут в таком виде, в Роскомнадзор придется сообщать о каждом трансграничном денежном переводе и письме за границу.

Оператор будет «обязан уведомить уполномоченный орган» о намерении выполнить трансграничную передачу персональных данных, то есть до самой передачи.

Как пояснил «Ъ» глава НСФР Андрей Емелин, это означает, что практически любое действие любого лица, приводящее к трансграничной передаче любых персональных данных, потребует предварительного письменного уведомления Роскомнадзора с указанием восьми видов сведений.

Это коснется любого перевода денег за границу, поскольку получателю передаются персональные данные отправителя.

В письме НСФР отмечается, что эти нормы «в существенной степени ограничивают возможности оказания финансовых услуг (например, расчетные операции, сделки на финансовых рынках) и реализации внутренних контрольных процедур, корпоративного управления и контроля в отношении обществ, находящихся за рубежом, требующих трансграничной передачи персональных данных и т. п.».

Как пояснил источник «Ъ» на банковском рынке, в Роскомнадзор придется сообщать о каждом новом сотруднике банка, участвующем в обработке персональных данных. Более того, в перечень попадает весь персонал сторонних компаний, которых банк привлекает к операциям, например, колл-центры.

Что еще нового: 

  • Законопроект требует от операторов обработки персональных данных незамедлительно сообщать о кибератаках и утечках
  • Операторы обязаны «непрерывно взаимодействовать» с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России
  • В три раза — с 30 до 10 дней — сокращается срок исполнения запросов, связанных с незаконной обработкой персональных данных
  • Вводится обязанность операторов ПДн прекратить дальнейшую обработку персональных данных по требованию владельца в 30-дневный срок

Тема «персональных данных» в повестке Госдумы звучит на этой неделе второй раз. Накануне в окончательном, третьем, чтении был принят проект закона, по которому продавцов товаров и услуг будут штрафовать за незаконный сбор ПДн. Должностным лицам будет грозить штраф от 5 тысяч до 10 тысяч рублей, а юридическим — от 30 тысяч до 50 тысяч рублей.

Закон вступает в силу с 1 сентября 2022 года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru