Контакты
Подписка
МЕНЮ
Контакты
Подписка

Украдены и выложены в Сеть данные 33 млн сотрудников IBM, Dell, AT&T, Boeing и других корпораций

Украдены и выложены в Сеть данные 33 млн сотрудников IBM, Dell, AT&T, Boeing и других корпораций

Украдены и выложены в Сеть данные 33 млн сотрудников IBM, Dell, AT&T, Boeing и других корпораций


16.03.2017



33,7 млн записей, 52 гигабайта

В Сеть утекла очень крупная база данных с контактными данными миллионов работников американских корпораций. База содержит 33,7 млн уникальных записей, в которой представлены почтовые адреса, полные имена, названия занимаемых должностей и функции работников, и другая информация разной степени конфиденциальности.

В базе присутствуют данные сотрудников известнейших американских компаний, в том числе работающих в ИКТ-отрасли: AT&T, Boeing, Dell, FedEx, IBM, Xerox и других.

Как пишет ZDNet, база "содержит десятки полей", и, помимо сугубо персональной информации, в ней собраны также более-менее публично доступные сведения, такие как географическое расположение штаб-квартир и офисов, количество работников в каждой компании и их отраслевая принадлежность - реклама, юридические услуги, СМИ и телекоммуникации.

Подобного рода данные используют маркетологи и рекламщики для проведения адресных кампаний. Стоимость подобных баз данных может быть очень велика.

Как сказано в публикации ZDNet, на 2015 г. стоимость доступа к полумиллиону таких записей достигала $200 тыс. Таким образом, доступ ко всей утекшей базе составил бы порядка $13,7 млн.

Эксперт по безопасности Трой Хант (Troy Hunt), ведущий ресурса Have I Been Pwnd, который получил из некоего "надёжного" источника всю эту базу, написал: "В то время, как часть этих данных можно насобирать из открытых источников, именно то, что эти сведения аккумулированы и структурированы, и по ним очень проводить поиск, составляет огромную ценность. Это также служит напоминанием, что мы потеряли контроль над приватностью своих личных данных; большая часть людей в этом наборе понятия не имеют, что их данными торгуют, и что они никак не могут на это повлиять".

Любой желающий может проверить, имеется ли его адрес в утекшей базе на сайте Have I Been Pwned.

Откуда дровишки

Утекшая база данных принадлежит (или принадлежала) маркетинговой корпорации Dun & Bradstreet. Та пока отреагировала на информацию об утечке лишь коротким заявлением: "Мы тщательно проанализировали полученную информацию и пришли к выводу, что она соответствует тому же типу и представлена в том же формате, в котором мы предоставляем данные нашим клиентам на ежедневной основе. Наш анализ показывает, что эти данные были получены и растиражированы не через систему Dun & Bradstreet".

Представители Dun & Bradstreet утверждают, что их системы не подвергались никаким взломам и вторжениям, что данные из этой базы продавались "тысячам" разных компаний и что сами утекшие данные были актуальны примерно шесть месяцев назад.

По всей видимости, утечка произошла у кого-то из клиентов Dun & Bradstreet, но выяснить, откуда, будет весьма проблематично.

Риск? Какой риск?

В Dun & Bradstreet утверждают, что данная утечка не представляет большой угрозы для пользователей, поскольку в основном это "общедоступные контактные данные, используемые для продаж и маркетинговых целей".

Трой Хант считает иначе. "Когда у вас в руках чьи-то имена и фамилии, названия должностей, почтовые адреса и название компании, в которой они работают, вы владеете данными, которые можно использовать для полного установления личности, - пишет Хант. - Именно поэтому этот массив данных является взрывоопасным: такое обилие персональной информации о столь большом количестве людей в контексте их профессиональных ролей составляет массу угроз для организаций, с которыми они связаны".

В частности, по мнению Ханта, для фишеров этот набор данных является "золотым дном".

С ним согласна директор по продажам компании Sec-Consult Rus Ксения Шилак: "Столь подробные данные о работниках корпораций представляют огромную ценность для фишеров и других киберпреступников. И тут стоит напомнить, что первым этапом целевых атак и APT-кампаний чаще всего оказывается именно фишинг. Как минимум, в теории столь массивная утечка подобных данных может существенно облегчить задачу промышленным шпионам, стремящимся получить доступ к интеллектуальной собственности компании".

Что же касается контроля над личными данными, то, как отметила Шилак, большая часть этих сведений и так публикуется в открытую, иногда самими же пользователями. Ценность - и потенциальную угрозу - эти сведения начинают представлять только тогда, когда они собраны воедино, структурированы и выложены в общий доступ все разом.

Сnews