Google проиндексировала клиентов кредитного союза Bethpage

 Федеральный кредитный союз Bethpage (BFCU) сообщил 86 тыс. своих клиентов о компрометации информации по их кредитным картам. Руководство Союза сообщило, что инцидент произошел по ошибке одного из сотрудников. Служащий BFCU выложил файл с клиентскими данными в Сеть через «безопасный» протокол. Однако через месяц другой работник организации сообщил о том, что Google проиндексировал «беззащитные» списки, и все это время они находились в общем доступе.

В результате инцидента скомпрометированы данные 86 тыс. клиентов, держателей пластиковых карт VISA.

Руководство BFCU заверило пострадавших, что CVV, пин-коды и номера социального страхования не содержались в открытом файле, и обещало в ближайшие сроки заменить пластиковые карты всем жертвам утечки. На данный момент новые карты выдали около 20 тыс. клиентам, все жертвы получили почтовое уведомление, а также возможность годового бесплатного мониторинга за их кредитными историями, пишет infowatch.ru.

Ситуацию комментирует Николай Федотов, главный аналитик InfoWatch: «Невозможно быть уверенным в элементе информационной системы только на том основании, что он находится в "нашем хозяйстве". Современные ИТ настолько переплели и запутали традиционные отношения собственности и управления, что термины "моё", "наше" и "чужое" потеряли чёткость, расплылись в облака и туманы. Нельзя поручиться, что на "твой" компьютер не заходил вчера Гугл и не проиндексировал его для всего Интернета.

Для защиты от утечек следует использовать принцип белого списка.

Конфиденциальная информация должна обращаться лишь в явно разрешённых местах, по явно прописанным процедурам. Шаг вправо, шаг влево – утечка».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google использует Gmail для отслеживания ваших покупок

Google использует в своих целях электронные письма пользователей сервиса Gmail. Оказалось, что корпорация сканирует письма на наличие онлайн-покупок, которые впоследствии будут отображаться в аккаунте Google.

На интересное поведение Google обратил внимание пользователь, поделившийся своими наблюдениями на площадке Reddit. По словам юзера, страница Purchases его Google-аккаунта содержала информацию о покупках, сделанных им на Amazon, а также в других онлайн-магазинах.

При этом, как заявляет пользователь, для этих покупок даже не использовался Google Pay.

Позднее исследователи решили проверить эту информацию. Один из интересующихся также обнаружил на своей странице Purchases покупки, совершенные им у Dominos, Steam, 1-800-Flowers.com, Amazon, Adidas и в других онлайн-магазинах. И в этом случае также не использовался Google Pay.

Общими усилиями неравнодушные пользователи пришли к заключению, что Google сканирует входящие письма на наличие покупок, а затем извлекает подробную информацию о заказах.

Это заключение подтвердили и сами представители Google в беседе с BleepingComputer. Сотрудники корпорации также отметили, что такой подход реализован, чтобы помочь пользователям быстро находить свои данные.

В Google объяснили, что компания не использует информацию, хранящуюся в письмах пользователей, для отображения рекламы. А для чего тогда Google использует эту информацию? Представители интернет-гиганта на этот вопрос не ответили.

Сотрудники Google подчеркнули, что данные о покупках можно удалить. Однако на практике оказалось, что сделать это довольно проблематично.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru