17 января вторник
ДОЛЛАР 59.3 -0.87
ЕВРО 63.21 -0.34
ЮАНЬ 8.63 -0.51
ФУНТ 71.94 -0.11
НЕФТЬ 51.99 0.62
золото 1168.81 -0.02
МТС
10.13 +0.60
VimpelCom Ltd
3.97 -0.50
Yandex
21.5 +0.89
Mail.Ru Group
28.13 0.00
Ростелеком
84.84 -0.13
QIWI
12.23 +0.66
МегаФон
607.8 -0.82
РБК
8.52 +2.59
Если бы в ИБ была премия Дарвина
Авторские колонки 7 декабря 2016 •  therunet

Если бы в ИБ была премия Дарвина

Самые глупые ошибки в сфере информационной безопасности

7 декабря 2016
Отдел аналитики компании "СёрчИнформ"

Мы проводим регулярный мониторинг инцидентов безопасности, и время от времени встречает уникальные случаи. Не в смысле находчивости хакеров или инсайдеров, но в смысле исключительной глупости. Если проводить аналогию с премией Дарвина, в сфере информационной безопасности – свои призеры.

 

«Пусть пока здесь полежит»

Август 2016: Охранник автобазы обнаружил на свалке списки осведомителей Росреестра

Среди бумаг оказались нормативно-правовые документы, документы по конфликтным ситуациям — рейдерским захватам. Есть отчёты отдела собственной безопасности о проверках по фактам коррупции в самом Учреждении юстиции, но самое интересное — в бумагах фигурируют имена осведомителей, которые оказывали помощь Учреждению юстиции на конфиденциальной основе.

Март 2016: В Москве выбросили во двор секретный архив КГБ

В районе улицы Большая Лубянка были обнаружены папки с надписями "Архив КГБ СССР". Некоторые из них были пусты, в остальных, напротив, лежали документы. Не исключено, что у бумаг истек положенный срок хранения, но в таком случае архив должны были сжечь с составлением соответствующего акта.

«Нечаянно отправили не туда»

Апрель 2016: Административная ошибка стала причиной утечки секретных отчетов НАТО

Как сообщает HeraldScotland.com, 192 страницы секретного протокола были по ошибке отправлены на электронную почту операторам по рыбной ловле и паромным переправам. Минобороны Великобритании должны были отправить инструкцию с местами, которые могли быть затронуты во время учений Joint Warrior 161, однако выслали секретный документ с деталями действующих военных операций.

Июль 2015: В Кении произошла утечка секретной информации о визите Обамы

Чиновник из национальной кенийской авиакомпании разослал электронные письма с информацией об ожидаемом времени прибытия и отправления "борта номер один" клиентам авиакомпании, "всем операторам", персоналу обоих аэропортов Найроби и даже летным школам Кении. По стандартам Белого дома данные о 40-50-минутном окне, в течение которого Air Force One должен взлететь или приземлиться, никогда не публикуются. Служба личной охраны американского президента отказалась давать комментарии из-за случившегося.

«Показали больше, чем нужно»

Ноябрь 2015: По ТВ случайно показали секретные документы Минобороны РФ

В эфир российских телеканалов попали кадры с совещания у Владимира Путина по оборонной тематике. Телеканалы мельком показали фрагменты презентации одной из новых систем вооружения в руках у одного из офицеров. Текст был читаем и технические характеристики секретного вооружения попали в открытый доступ и растиражировались в блогах.

Ноябрь 2012: Из-за фотографий принца Уильяма военным пришлось менять пароли

Четыре из десяти опубликованных фотографий (принца запечатлели на базе Королевских ВВС) содержали закрытую информацию на попавших в кадр документах и мониторах компьютеров. В сети оказались опубликованы сведения для внутреннего пользования, в том числе логин и пароль для входа в одну из служебных систем ВВС, которые были распечатаны на бумажке, висящей в офисе.

Апрель 2015: Французский телеканал показал свои пароли для соцсетей

Утечка данных произошла во время интервью конкурентному телеканалу о хакерской атаке, которой подвергся TV5Monde. Во время интервью корреспондент TV5Monde сидел перед пачкой листов, на одном из которых оказался пароль к YouTube-каналу ТВ. Хакеры использовали доступы к аккаунтам в социальных сетях для того, чтобы транслировать через них лозунги в поддержку «Исламского Государства» и «Ахрар аш-Шам». Они также опубликовали ряд документов, которые назвали засекреченными военными документами, однако французское правительство отвергает это обвинение.

«Ой, забыл»

Январь 2012: Британский полицейский потерял секретные документы о мерах безопасности на Олимпиаде

Высокопоставленный офицер полиции Лондона забыл досье в пригородном поезде. Папку нашел другой пассажир и передал в редакцию таблоида The Sun. В документах содержались детали антитеррористических мер, даты и подробности встреч чиновников из разных стран, инструкции на случай чрезвычайных ситуаций, график тренировок спортсменов, планы по вопросам транспорта, а также номера мобильных телефонов и имена лондонских полицейских. Более того, к документам прилагались замечания самих сотрудников полиции, например, по поводу того, что к Олимпиаде им выдали "неработающие" рации.

Сентябрь 2016: Утечка эксплоитов АНБ произошла из-за ошибки, допущенной сотрудником три года назад

В августе 2016 гoда The Shadow Brokers заявили, что им удалось взломать хак-группу Equation Group (многие эксперты связывают ее деятельность с американским правительством) и похитить «кибероружие АНБ». В открытом доступе был опубликован архив, в котором содержались различные эксплоиты и инструменты «правительственных хакеров». Однако Reuters сообщает, что утечка произошла из-за обычной халатности сотрудника, который забыл весь «боевой инструментарий» на сервере после операции.

«Реклама от террористов»

Декабрь 2015: Американца записали в пособники ИГИЛ за нестертую рекламу на проданном пикапе

Водопроводчик из Техаса Марк Оберхольтзер узнал, что автомобиль, проданный им при участии автосалона, оказался в руках ИГИЛ. Мир увидел пикап с зенитным оружием в кузове и регистрационными данными семейной компании жертвы: на дверях машины фигурировало имя Оберхольтзера и телефон для связи. Доверие к подрядчику, который обещал сам снять рекламу, чтобы не повредить поверхность авто, обернулось для Марка каждодневными звонками с угрозами и необходимостью временно закрыть бизнес и уехать из дома.

«Поспешили. Насмешили»

Март 2016: Из-за опечатки хакерам не удалось похитить у банка $850 млн

Существуй премия Дарвина в сфере ИБ – этот случай точно вошел бы в тройку лидеров! Группа мошенников, получив доступ к средствам центрального банка Бангладеш (является частью Федеральной резервной системы США), похитила 81 млн долларов и только чудом не сумела украсть почти миллиард. Мошенники успешно провели 4 транзакции и промахнулись на пятой: в спешке допустили ошибку в названии организации, которой предназначался перевод. Вместо «Shalika Foundation» они написали «Shalika Fandation». Сотрудники банка обратили внимание на странность и быстро пресекли кражу, сумев вернуть часть похищенных денег.

Из опыта клиентов

Историями о незадачливых инсайдерах делятся и наши клиенты. Так, один из них пресек утечку информации о секретном объекте: несколько сотрудников вышли на работу в выходные и решили в качестве отдыха прогуляться по территории предприятия. Селфи на фоне секретного объекта в своих социальных сетях выложил один из менеджеров с «жалобой» на то, что приходится работать, пока все отдыхают. Контур информационной безопасности зафиксировал загруженное в сеть фото, и служба безопасности своевременно «попросила» карточку удалить. Разумеется, сотрудникам еще раз напомнили, где именно они работают и применили санкции.

Вам известны лучшие претенденты на получение ИБ-премии Дарвина? Делитесь в комментариях!

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.
Войти с помощью: