Capital One заплатит $80 млн за утечку данных граждан США

Capital One заплатит $80 млн за утечку данных граждан США

Американская компания Capital One, специализирующаяся на кредитных картах и автокредитах, должна будет выплатить $80 миллионов за прошлогоднюю утечку персональных данных, принадлежащих более 100 млн граждан США.

Соответствующий штраф на холдинг наложило Министерство финансов США, по словам которого Capital One не смогла обеспечить достойный уровень управления рисками перед тем, как перевести ИТ-операции в публичный облачный сервис.

По мнению Минфина США, компания должна была имплементировать системы, обеспечивающие сетевую безопасность и предотвращающие потерю важных данных.

Помимо этого, Capital One оставила непропатченные уязвимости в облачном хранилище, что и привело к крупнейшей утечке персональной информации американцев. Согласно данным расследования, хакер-одиночка смог похитить данные карт граждан.

Также в руки преступника попали 140 тысяч номеров социального страхования и 80 тыс. номеров банковского счёта.

Во взломе обвинили бывшую сотрудницу Amazon 33-летнюю Пейдж Томпсон. Следователям известно, что девушка действовала под псевдонимом «erratic».

Изначально преступница опубликовала подробности утечки на GitHub. После этого один из пользователей площадки уведомил Capital One о киберинциденте, что позволило быстро принять меры в отношении допущенных дыр в безопасности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На рынок вышел Start EASM — продукт для управления публичными активами

Российская компания-разработчик решений в сфере информационной безопасности Start X (ex-Антифишинг) представила Start EASM — продукт для управления публичными техническими и человеческими активами.

К таким активам относятся публично доступные корпоративные логины и пароли, забытые служебные домены, тестовые среды, документы с конфиденциальной информацией, файлы с персональными данными клиентов.

Все они появляются в открытом доступе в результате небезопасных действий сотрудников или подрядчиков: DevOps-инженеров, разработчиков, HR-менеджеров и других коллег.

Такие активы в первую очередь находят и используют злоумышленники, чтобы проникнуть в инфраструктуру компании и получить доступ к системам и данным клиентов.

Например, они могут найти документ с данными клиентов компании в таск-трекере, к которому сотрудник открыл публичный доступ. Или выкупить забытый корпоративный домен и создать фишинговую страницу, чтобы собрать корпоративные логины и пароли для последующих целевых атак на сотрудников. 

В среднем компании не знают о 30% своих публичных активов, каждый из которых может стать причиной инцидента безопасности. Start EASM помогает заранее увидеть такие активы и устранить связанные с ними уязвимости до того, как их используют злоумышленники.

«Наш продукт помогает не только определить поверхность атаки, но и показывает связь между угрозами для компании и небезопасными действиями людей. Благодаря этому команды безопасности могут увидеть и устранить саму причину появления таких уязвимостей — через целевое обучение своих сотрудников, тренировку навыков безопасной работы и доставку актуальных требований до продуктовых команд», — говорит Сергей Волдохин, директор по продуктам экосистемы Start X.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru