Организационный отдел совета Тукаевского района (Татарстан) разослал 40 районным депутатам список из 87 кандидатов в состав участковых избирательных комиссий (УИКов), не приняв мер защиты их персональных данных.

В результате на личные и служебные адреса электронной почты депутатов были отправлены фамилии, имена, даты, места рождения, данные об образовании, домашние адреса, места работы и паспортные данные 87 человек.

Кроме депутатов, с персональными данными кандидатов могли ознакомиться и сотрудники организаций, где трудятся депутаты совета, имеющие доступ к служебным ящикам электронной почты.

Информация была разослана вместе с повесткой дня внеочередного заседания Совета от имени и.о. главы района.

На открытом FTP-сервере, принадлежащем компании MedEvolve, которая разрабатывает ПО для управления медицинскими данными, было обнаружено более 200 тыс. записей, содержащих персональные данные (в том числе номера социального страхования) американских пациентов. 🙈

#безопасность #leak

https://vk.com/@dataleakage-bolee-200-tys-zapisei-pacientov-byli-opublikovany-na-obsched

Университет Гринвича (Лондон, Англия) оштрафован на 120 тыс. фунтов (около 160 тыс. долларов США) за утечку данных, произошедшую в 2013 году.

С 2013 по 2106 годы внутренний портал Университета, созданный для конференции 2004 года, содержащий персональные данные студентов и сотрудников, подвергался множественным атакам, но так и не был закрыт, хотя давно потерял свою актуальность.

За это время были похищены персональные данные 19500 человек. Данные включали имена, адреса и номера телефонов. А для 3500 записей была доступна такая информация как сведения об успеваемости и медицинские данные.

Все эти данные позже всплыли на форумах в Dark Net.

Компания 407 Express Toll Route (407 ETR), управляющая крупной платной дорогой в южном Онтарио (Канада) заявляет, что персональная информация примерно 60 тыс. человек была украдена из ее офиса.

#безопасность #leak

https://vk.com/@dataleakage-vnutrennyaya-utechka-dannyh-operatora-platnoi-dorogi-v-kanad

В свободном доступе была обнаружена база данных, содержащая имена, идентификационные номера, адреса электронной почты и пароли 934 тыс. южноафриканцев. 🔥

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-milliona-chelovek-v-uar

Четырехкратный олимпийский чемпион и кандидат в президенты Олимпийского комитета России (ОКР) Александр Попов опасается, что российский спорт ожидают новые допинг-разбирательства из-за утечки базы данных Московской антидопинговой лаборатории.

«Была украдена практически вся наша база данных, чем это грозит, я думаю, вы понимаете. Это начало третьей серии триллера, в которой Россия будет играть главную роль. До 2020 года осталось 26 месяцев, а сколько осталось времени на решение этих вопросов? Максимум 12», — заявил Попов на собрании Всероссийской ассоциации летних олимпийских видов спорта.

В российском спорте, как известно, многое не слава богу, но защитить одну единственную базу, которую с 2014 года, по разным источникам, копируют все, кому не лень, казалось, могли бы. Тем более, что технологии для этого есть. Проблема еще и в том, что в половине случаев данные похищают изнутри и делают это сотрудники, у которые есть на то полномочия.

Эффективно противостоять этому могут, например, DLP-системы, которые контролируют действия пользователя при работе с данными. Такие системы могут, например, поднять тревогу и заблокировать копирование больших объемов информации. DLP-системы часто применяют банки и компании, в которых сотрудники работают с ценной клиентской базой, но почему-то не используют антидопинговые лаборатории. Видимо, их руководство считает, что защищать там особенно нечего – просто анализ мочи.

Министерство здравоохранения округа Колумбия случайно слило в открытый доступ персональные данные 7 медработников.

На общедоступном онлайн портале для медсестер были опубликованы номера социального страхования (SSN), адреса и имена семи медсестер.

Поскольку выяснить точно кто эти пострадавшие семеро работников не смогли, то оповестили всех 600 сотрудников округа.

#безопасность #leak

Снова открытое облачное хранилище Amazon S3. 😴

Утекло более 33 000 номеров социального страхования (SSN), более 300 000 адресов электронной почты и полные имена жертв, предполагаемых преступников и свидетелей в многочисленных случаях физического и сексуального насилия. 🔥🙈

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-iz-sluzhby-pomoschi-zhertvam-nasi

Несколько файлов с данными 647 сотрудников завода Jaguar Land Rover были распространены среди персонала.

Данные содержали имена, идентификационные номера, дисциплинарные записи и кол-во дней, проведенных на больничном.

Один из файлов содержал список рабочих на увольнение.

Руководство завода заявило, что это ненастоящие данные и среди рабочих была распространена подделка. Непонятно, что именно ненастоящее в этих данных – персональная информация рабочих (имена, идентификационные номера и т.п.) или список на увольнение.

#безопасность #leak

https://vk.com/@dataleakage-rabochie-zavoda-jaguar-land-rover-uznali-o-svoem-uvolnenii-i

Coca-Cola сообщила об утечке данных 8000 рабочих одного из филиалов компании в сентябре 2017 года. Бывший сотрудник скопировал личную информацию коллег на свой внешний жесткий диск.

Малоизвестный сайт promotool.t-mobile.com, принадлежащий T-Mobile и используемый сотрудниками мобильного оператора в качестве портала обслуживания клиентов, поддерживал специальные запросы, возвращающие данные клиента T-Mobile - для этого нужно было просто добавить номер мобильного телефона клиента в конец веб-адреса. 🙈🙈

Возвращаемые данные включали полное имя клиента, почтовый адрес, номер платежного счета и в некоторых случаях информацию об идентификационных номерах налогоплательщика. Данные также включали информацию об учетной записи клиентов, например, если счет был просрочен или клиент приостановил свою услугу. 🔥

#безопасность #leak

https://vk.com/@dataleakage-oshibka-na-veb-saite-t-mobile-pozvolyaet-lubomu-poluchit-dos

Хакеры получили доступ к персональным данным 90 тыс. клиентов двух канадских банков.

Simplii Financial, являющееся розничным подразделением Canadian Imperial Bank of Commerce (CIBC), утверждает, что некие хакеры 27 мая 2018 года смогли получить доступ к персональным данным примерно 40 тыс. клиентов банка.

В тот же день Bank of Montreal (BMO) заявил, что хакеры за пределами Канады, угрожают опубликовать персональные данные 50 тыс. клиентов банка.

Онлайн магазин mypet-online.ru очень "умело" работает с заказами клиентов. Они все оказываются в открытом доступе и индексируются поисковиками.

Простейшим поисковым запросом можно спокойно найти карточку заказа и увидеть все данные, включая состав и сумму заказа, адрес доставки, имя, телефон и эл. почту покупателя.

Например, в Яндексе "прекрасно" работает запрос вида: "Заказ №" "Состав заказа" site:mypet-online.ru

Королевская Прокурорская служба Великобритании (Crown Prosecution Service) была оштрафована на 325 тыс. фунтов стерлингов (около 431 тыс. долларов США) за утерю незашифрованных DVD-дисков с видео допросов жертв и свидетелей преступлений.

Это не первый раз, когда прокурорская служба выплачивает штраф за нарушение, связанное с хранением персональных данных. В 2015 года служба была оштрафована на 200 тыс. фунтов (около $265 тыс.) за то, что хранили в открытом виде записи полицейских допросов жертв сексуального насилия.

Снова открытое облако Amazon S3 (AWS).

Утекло более 50 тыс. пользователей приложения Honda Connect в Индии...

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-50-tys-klientov-honda-india-iz-ot

Подрядчик очень торопился передать заказчику проект и оставил сервер Apache Airflow без пароля.

Особенность Apache Airflow в том, что ему для нормальной работы требуется доступ к внутренним ресурсам компании. В результате в свободном доступе оказались логины и пароли к FTP-серверу Universal Music Group, ключи и пароли для облака AWS, пароли для SQL-серверов и т.п.

#безопасность #leak

https://vk.com/@dataleakage-vneshnii-podryadchik-dopustil-utechku-uchetnyh-zapisei-k-ser

Очередное мобильное фитнес-приложение для iPhone и Android хранило данные своих пользователей в открытом облаке Amazon.

В свободном доступе оказались банковские карты, адреса электронной почты, даты рождения, пол, фотографии из профиля, программы и цели тренировок, вес, рост, принимаемые лекарства, травмы, частота употребления кофе и курения, и т.п.

Всего приложением PumpUp пользуется более чем 6 млн. человек по всему миру.

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-polzovatelei-populyarnogo-mobilno

Сервис по продаже концертных билетов Ticketfly, принадлежащий компании Eventbrite, временно приостановил свою работу из-за хакерской атаки на базу данных.

Клиентская база сервиса была похищена хакером IsHaKdZ, который теперь требует за ее не распространение $7,502 в биткоинах. 🤦🏼‍♂️

База данных, состоящая из нескольких файлов, содержит имена, адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса.

Во всей Европе сбой платежных систем Visa и Mastercard. Сообщается о массовых случаях отказа транзакций при оплате картами. При этом снятие в банкоматах работает нормально, но проблема в том, что наличные в банкоматах быстро закончились. 😄

В Италии никаких проблем с оплатой картой Visa я лично сегодня не обнаружил.

В период с 2016 по 2017 годы один из четырех крупнейших банков Австралии, по ошибке отправил 651 электронное письмо с персональными данными 10 000 своих клиентов на внешние адреса электронной почты в домене cba.com, перепутав его с внутренним доменом cba.com.au. 🔥🔥

Решил проблему данной утечки банк весьма «оригинально» - домен cba.com был куплен в апреле 2017 года. Видимо это показалось более надежным и простым решением, чем внедрять DLP-систему. 🙈🙈

Остается только вопрос с масштабируемостью данного подхода – если в будущем сотрудники банка решать отправить данные клиентов на какой-то другой домен, удастся его тоже купить? 😎

#безопасность #leak

https://vk.com/@dataleakage-krupnyi-avstraliiskii-bank-v-techenii-goda-rassylal-personal