Утечка данных в Техасе обошлась налогоплательщикам в 2 млн. долларов
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Утечка данных в Техасе обошлась налогоплательщикам в 2 млн. долларов

Александр Панасенко 16 Февраля 2012 - 09:16
...

На ликвидацию последствий крупнейшей утечки в Техасе потрачено почти 2 млн долларов. Благодаря правильной организации работы с гражданами, пострадавшими от утечки данных, чиновникам Налогового управления штата удалось сэкономить почти 20 млн долл. денег налогоплательщиков.



Аналитический центр InfoWatch напоминает, что 31 марта 2011 года в открытом доступе была обнаружена база данных Налогового управления штата Техас с персональной информацией о 3,5 млн жителей. База содержала имена адреса, номера социального страхования и другие сведения. В Налоговом управлении тогда признали, что база находилась в открытом доступе в течение года. Главный аналитик InfoWatch Николай Федотов оценил примерную стоимость одной записи базы в 12-18 долл. Стоимость всей базы на черном рынке - 40 млн долл.

Однако начальник Налогового управления Сюзан Комбс заверила, что ни один человек в результате утечки не стал жертвой мошенников. В течение 2 недель после обнаружения факта публикации данных в интернете Управление письменно уведомило граждан, чьи данные были скомпрометированы. Услуги почтовой службы обошлись Управлению в 1,2 млн долларов. По словам Комбс, оперативная деятельность по ликвидации последствий утечек заметно снизила негативный настрой пострадавших.

Самыми принципиальными и недоверчивыми оказались около 100 тыс. человек, которые все-таки приняли решение о проведении мониторинга своей кредитной истории. Это всего лишь 3% от общего числа жертв. Услуги соответствующего обошлись недоверчивым техасцам в 600 492 долл., по 6 долл. с человека. Если бы все пострадавшие выразили желание проверить свою кредитную историю, сумма расходов на ликвидацию последствий от утечки приблизилась бы к 22 млн. долл.

Чиновникам Налогового управления также удалось избежать судебного преследования со стороны пострадавших. Зная практику американского правосудия, можно только догадываться, в какую сумму для государства обошлась бы халатность налоговиков.

Николай Федотов, главный аналитик InfoWatch: "В США давно принят на вооружение такой подход. Для защиты персональных данных помимо обеспечения их конфиденциальности наготове меры по ликвидации последствий утечки. Две линии обороны всегда лучше, чем одна. Тем более, что совсем предотвратить утечки не получается и вряд ли получится в будущем. Персональные данные под охраной, однако если инцидент всё-таки произошёл, то в течение считанных дней задействуются механизмы смягчения последствий. Как минимум, субъекты данных ставятся в известность и для них включается финансовый мониторинг, который не позволит злоумышленникам совершить мошенничество на похищенных данных. Построение подобного механизма было бы полезно и в России." 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т-Технологии тестирует формат bug bounty с упором на недопустимые события
Екатерина Быстрова 09 Октября 2025 - 12:54
Корпорации Средства поиска уязвимостейBug Bounty
Т-Технологии тестирует формат bug bounty с упором на недопустимые события

Компания Т-Технологии (входит в экосистему Т-Банка) представила новую исследовательскую программу, которая выходит за рамки классического поиска уязвимостей. Теперь, помимо поиска технических багов, участникам предлагают тестировать так называемые «недопустимые события» — сценарии, проверяющие, насколько инфраструктура компании устойчива к критическим воздействиям.

Главная особенность программы в том, что она построена по принципу pay-for-impact: вознаграждение начисляется не просто за найденную уязвимость, а за демонстрацию сценария, который реально проверяет устойчивость ключевых систем.

Исследователям не ограничивают направления работы — они могут анализировать мобильные приложения, API, бизнес-логику, интеграции с партнёрами и другие части цифровой инфраструктуры.

Руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь объяснил идею так:

«Наша цель — не заменить классический баг-баунти, а дополнить его новым направлением. Мы хотим, чтобы исследователи искали комплексные сценарии, способные подтвердить защищённость систем на практике. Это делает безопасность более прозрачной и технологичной».

Пока программа работает в приватном режиме — принять участие в ней могут только приглашённые специалисты.

Ключевые параметры программы:

  • Платформа: Standoff Bug Bounty
  • Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящего к подтверждённому «недопустимому событию».
  • Размер выплат: до 3 млн рублей за выявление критического сценария, от 100 тыс. до 1,5 млн рублей — за промежуточные этапы в зависимости от сложности и влияния.
  • Промежуточные итоги: запланированы на 1 апреля 2026 года.

Что такое «недопустимые события»

Под ними понимаются сценарии, которые позволяют проверить, насколько критические компоненты инфраструктуры готовы к серьёзным инцидентам. Среди примеров:

  • попытки несанкционированного доступа к внутренним сервисам;
  • закрепление в базе данных с правами администратора;
  • внедрение кода в цепочку релизов продуктов;
  • обход систем защиты и мониторинга.

В чём новизна подхода

Новая программа делает акцент не на количестве уязвимостей, а на практической устойчивости инфраструктуры. Исследователи могут комбинировать разные векторы атак — от фронтенда до интеграций, — чтобы находить сложные цепочки. Все подтверждённые сценарии автоматически передаются в SOC и другие подразделения для проверки и усиления защиты.

«Для банков особенно важно не только находить уязвимости, но и подтверждать реальную защищённость систем. Мы надеемся, что такой подход станет стандартом для отрасли», — добавил Дмитрий Гадарь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России бот-трафик вырос в 1,9 раза, число устройств в ботнетах — в 5 раз
Новость
В России бот-трафик вырос в 1,9 раза, число устройств в ботн...
Количество фишинговых доменных имен выросло на 38%
Новость
Количество фишинговых доменных имен выросло на 38%
Осуждённый участник REvil обвинил власти Россию в атаке на Kaseya
Новость
Осуждённый участник REvil обвинил власти Россию в атаке на K...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.