Главная / Власть / На Украдены и выложены в Сеть данные 33 млн сотрудников IBM, Dell, AT&T, Boeing и других корпораций

На Украдены и выложены в Сеть данные 33 млн сотрудников IBM, Dell, AT&T, Boeing и других корпораций

База насчитывает более 33 млн уникальных записей – почтовые адреса, имена и фамилии и занимаемые должности. Эксперты считают, что эта база представляет «золотое дно» для фишеров и других киберпреступников.

33,7 млн записей, 52 гигабайта

В Сеть утекла очень крупная база данных с контактными данными миллионов работников американских корпораций. База содержит 33,7 млн уникальных записей, в которой представлены почтовые адреса, полные имена, названия занимаемых должностей и функции работников, и другая информация разной степени конфиденциальности.

В базе присутствуют данные сотрудников известнейших американских компаний, в том числе работающих в ИКТ-отрасли: AT&T, Boeing, Dell, FedEx, IBM, Xerox и других.

Как пишет ZDNet, база «содержит десятки полей», и, помимо сугубо персональной информации, в ней собраны также более-менее публично доступные сведения, такие как географическое расположение штаб-квартир и офисов, количество работников в каждой компании и их отраслевая принадлежность – реклама, юридические услуги, СМИ и телекоммуникации.

Подобного рода данные используют маркетологи и рекламщики для проведения адресных кампаний. Стоимость подобных баз данных может быть очень велика.

Как сказано в публикации ZDNet, на 2015 г. стоимость доступа к полумиллиону таких записей достигала $200 тыс. Таким образом, доступ ко всей утекшей базе составил бы порядка $13,7 млн.

Эксперт по безопасности Трой Хант (Troy Hunt), ведущий ресурса Have I Been Pwnd, который получил из некоего «надёжного» источника всю эту базу, написал: «В то время, как часть этих данных можно насобирать из открытых источников, именно то, что эти сведения аккумулированы и структурированы, и по ним очень проводить поиск, составляет огромную ценность. Это также служит напоминанием, что мы потеряли контроль над приватностью своих личных данных; большая часть людей в этом наборе понятия не имеют, что их данными торгуют, и что они никак не могут на это повлиять».

Любой желающий может проверить, имеется ли его адрес в утекшей базе на сайте Have I Been Pwned.

Откуда дровишки

Утекшая база данных принадлежит (или принадлежала) маркетинговой корпорации Dun & Bradstreet. Та пока отреагировала на информацию об утечке лишь коротким заявлением: «Мы тщательно проанализировали полученную информацию и пришли к выводу, что она соответствует тому же типу и представлена в том же формате, в котором мы предоставляем данные нашим клиентам на ежедневной основе. Наш анализ показывает, что эти данные были получены и растиражированы не через систему Dun & Bradstreet».

Представители Dun & Bradstreet утверждают, что их системы не подвергались никаким взломам и вторжениям, что данные из этой базы продавались «тысячам» разных компаний и что сами утекшие данные были актуальны примерно шесть месяцев назад.

По всей видимости, утечка произошла у кого-то из клиентов Dun & Bradstreet, но выяснить, откуда, будет весьма проблематично.

Риск? Какой риск?

В Dun & Bradstreet утверждают, что данная утечка не представляет большой угрозы для пользователей, поскольку в основном это «общедоступные контактные данные, используемые для продаж и маркетинговых целей».

Трой Хант считает иначе. «Когда у вас в руках чьи-то имена и фамилии, названия должностей, почтовые адреса и название компании, в которой они работают, вы владеете данными, которые можно использовать для полного установления личности, – пишет Хант. – Именно поэтому этот массив данных является взрывоопасным: такое обилие персональной информации о столь большом количестве людей в контексте их профессиональных ролей составляет массу угроз для организаций, с которыми они связаны».

В частности, по мнению Ханта, для фишеров этот набор данных является «золотым дном».

С ним согласна директор по продажам компании Sec-Consult Rus Ксения Шилак: «Столь подробные данные о работниках корпораций представляют огромную ценность для фишеров и других киберпреступников. И тут стоит напомнить, что первым этапом целевых атак и APT-кампаний чаще всего оказывается именно фишинг. Как минимум, в теории столь массивная утечка подобных данных может существенно облегчить задачу промышленным шпионам, стремящимся получить доступ к интеллектуальной собственности компании».

Что же касается контроля над личными данными, то, как отметила Шилак, большая часть этих сведений и так публикуется в открытую, иногда самими же пользователями. Ценность – и потенциальную угрозу – эти сведения начинают представлять только тогда, когда они собраны воедино, структурированы и выложены в общий доступ все разом.

Источник

Добавить комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены *

*

Прокрутить до верха