Адрес документа: http://itsec.ru/newstext.php?news_id=57197
Бывший сотрудник компании Mitsubishi UFJ Securities подозревается в продаже персональных данных более 49000 клиентов компании. Предполагается, что доступ к базе данных осуществлялся через пароль и логин другого сотрудника компании.
Полицейский департамент г. Токио подозревает бывшего 44-х летнего сотрудника Mitsubishi в использовании прав своего коллеги для получения доступа к конфиденциальным данным клиентов. До увольнения в начале апреля подозреваемый занимал должность заместителя главы отдела информационных технологий в компании, ведущей операции с ценными бумагами "Chiyoda Ward", Токио.
Полиция планирует начать расследование этого дела после того, как компания подаст иск против бывшего сотрудника на предмет нарушения закона о несанкционированном доступе. По данным компании, восемь сотрудников отдела, включая заместителя руководителя, имели право доступа к базе данных компании.
По предварительной информации, заместитель руководителя отдела информационных технологий якобы раздобыл логин и пароль доступа к базе, принадлежащие другому сотруднику. Используя эту информацию, он несколько раз нелегально проникал в базу данных в период между 26 января и 4 февраля и извлек оттуда персональные данные клиентов. Предполагается, что подозреваемый нелегально скопировал данные на 1,486,651 клиентов и записал их на CD-R. Затем, в середине февраля он, якобы, разослал с помощью электронной почты данные 49159 клиентов своим знакомым скупщикам персональной информации, за которые получил 328,000 йен.
В середине марта брокерская компания начала собственное расследование после того, как стали поступать жалобы от клиентов. Поскольку подозреваемый признался в содеянном, компания совместно с городским департаментом полиции готовит документы для подачи иска в суд.
В настоящее время следователи установили, что заместитель руководителя уже вернул диск компании, и будет достаточно сложно предъявить обвинения бывшему сотруднику в воровстве, поскольку сама брокерская компания ничего не потеряла. Однако местным законодательством запрещается использование чужих прав доступа или персональных данных без соответствующего разрешения. Нарушившие данный закон подвергаются наказанию в виде лишения свободы сроком на один год или штрафу в 500000 йен.
Аналитик компании InfoWatch Николай Федотов: "Трудно комментировать правовую часть новости, поскольку после тройного перевода (японский-английский-русский) все юридические термины "затёрты" до полной неузнаваемости. Но техническая часть инцидента, в принципе, ясна. Внутренний злоумышленник довольно часто использует для доступа не свой собственный аккаунт, который у него есть, а аккаунт соседа или начальника. Потому что в этом случае чуть труднее доказать его преступление. Особенно если на предприятии нет полноценной DLP-системы, а просто логируется доступ при помощи штатных средств СУБД или веб-сервера.
В моей практике был подобный случай неправомерного доступа к корпоративной БД с целью хищения денег. Было очевидно, что злоумышленником являлся кто-то из работников. Внутреннее расследование тогда так и не смогло установить, кто именно. Поэтому виновного попросту назначили, сфальсифицировав доказательства против него. Статья 272 УК, приговор, срок. Вывод для пользователей: свой пароль надо пуще беречь от "своих", а "чужие" ему не так уж и страшны".
Copyright © 2004-2019, ООО "ГРОТЕК"
