85 - Las 10 principales brechas de seguridad en 2007 - 30/12/2007


Autor: CSO Online - The Top 10 Data Breaches of 2007

Traducción: Sebastián Bortnik para Segu-Info

Nota: Algunas palabras y fundamentalmente nombres propios no fueron traducidos para mantener su formato original. Incluímos también la definición de algunas iniciales incluídas en el texto:

  • TSA (Transportation Security Administration): Administración de la Seguridad de Transporte
  • DHS (Department of Homeland Security): Departamento de Seguridad de la Patria

Discos duros robados, páginas web infectadas por malware y números de Seguro Social como contraseñas: la locura más brillante de un año lleno de revelaciones de seguridad.

Si sólo hay una cosa que va a recordar del 2007, será el corte de pelo de Britney Spears. Pero si hay dos cosas que recordará, será de Britney y de las miles de violaciones de seguridad que se informaron en 2007, ¿no? Bueno, eso es lo que nosotros vamos a recordar, y ya que no nos dedicamos necesariamente a chismes sobre celebridades (a menos que se relacione con seguridad) hemos decidido ofrecer una revisión de los mejores y peores incidentes en 2007.

Cada infracción se calificó dentro de nuestra ingeniosa y poco científica "Class Action Outrage Scale" (escala de indignación). Fíjese en Monster.com por ejemplo: según nuestras estimaciones, nueve de cada 10 abogados están indignados, en nombre de sus 1,3 millones de víctimas.

Nuestro "D'Oh! Factor" (gracias Homero Simpson) refleja cuán grave y ridículo fue el incidente. Preste atención de cómo el Grupo de Urología sueco ha ganado cinco de cinco Homeros.

Algunas infracciones en nuestra lista son graves. Otras son divertidas. Y algunas de ellas son, simplemente tristes. Pero todas ellas eran probablemente evitables.

  1. Nueva búsqueda de trabajo en Monster.com: ¿CISO para Monster.com?
    Víctimas: 1,3 millones
    Class Action Outrage Scale: 9 de cada 10 abogados
    D'Oh! Factor: 2 de cada 5 Homeros

    Un Hacker presuntamente robó credenciales legítimas de los solicitantes de empleo en Monster's insertando malware en el sitio y ejecutando una técnica de Phishing. Más tarde observamos que Monster esperó cinco días para informar a sus clientes. Cuando lo hicieron, la carta escrita sonaba como una legalidad de control de daños, refiriéndose a Monster como "La Compañía" y recordando constantemente a las víctimas que este tipo de cosas sucede a las empresas todo el tiempo. La noticia golpeó justo después de que Monster informara de ingresos por debajo de lo esperado y despidos planificados. Ouch!

    http://seguinfo.blogspot.com/2007/08/roban-los-datos-personales-de-miles-de.html

  1. Banco comercial de Wichita, Kansas: sólo fue lucirse
    Víctimas: 20
    Class Action Outrage Scale: 0 de cada 10 abogados
    D'Oh! Factor: 1 de cada 5 Homeros

    El banco niega que un atacante haya tenido acceso a una base de datos de clientes, sino que sólo lograron capturar 20 registros personales. "El hackeo fue rápidamente detectado y detenido" señaló una noticia al respecto. ¿Veinte registros? ¿Alguien más tiene la idea que este fue un plan de marketing? Usted sabe, establecer una infracción y detenerla rápidamente para mostrar la eficacia de su seguridad... ¡Genios!

  1. Luz y Electricidad en Indianapolis: Manteniendo la luz por un poco mucho
    Víctimas: 3.000
    Class Action Outrage Scale: 4 de cada 10 abogados
    D'oh! Factor: 4 de cada 5 Homeros

    Nombres, direcciones y números de Seguro Social de 3.000 clientes de Luz y Electricidad de Indianapolis inadvertidamente se publicaron en línea... durante casi cuatro años. Por supuesto, un corte de luz hubiera resuelto el problema.

  1. TSA: Poniendo orgulloso a DHS
    Víctimas: 3.930
    Class Action Outrage Scale: 7 de cada 10 abogados
    D'Oh! Factor: 3 de cada 5 Homeros

    Dos computadoras portátiles con nombres, direcciones, cumpleaños, números de Seguro Social y número de licencias de conducir de los conductores de camiones que transportan materiales peligrosos desaparecieron y fueron considerados robados de la TSA. Sin embargo, no hay de qué preocuparse. ¿Cuán fácil podría ser hacerse pasar por conductor comercial de transporte de materiales peligrosos, sólo con esa información?

    http://seguinfo.blogspot.com/2007/05/la-tsa-norteamericana-pierde-un-disco.html

  1. Supermercado de Shaw: "¿Qué deberíamos usar como contraseñas? Oh, ¡ya se!"
    Víctimas: 472 empleados de la tienda
    Class Action Outrage Scale: 2 de cada 10 abogados
    D'Oh! Factor: 5 de cada 5 Homeros

    En primer lugar, una "persona entró en una zona de seguridad de la tienda... y robaron una computadora de escritorio", de acuerdo a una carta de la tienda Salem. El hecho de que una persona entró y robó algo, ¿no la convierte en una zona no segura de la tienda? Pero bueno, sólo se trataba de un equipo de entrenamiento. Bueno... aquí está: "Los asociados de la tienda inician la sesión en el sistema utilizando sus números de Seguro Social como contraseñas". Probablemente, porque los números de cuenta bancaria son demasiado difíciles de recordar.

  1. Grupo Sueco de Urología -- ¡problemas con la orina!
    Víctimas: "Cientos"
    Class Action Outrage Scale: Escala: 1 de cada 10 abogados
    D'Oh! Factor: 5 de cada 5 Homeros

    Médicos perdieron tres discos duros que contienen información personal de los pacientes, ¡y queremos decir información personal!

  1. The Nature Conservancy -- Piense en ello como reciclado de datos
    Víctimas: 14.000
    Class Action Outrage Scale: 9 de cada 10 abogados
    D'Oh! Factor: 4 de cada 5 Homeros

    Alguien en "Nature Conservancy" había pensado localmente pero actuado globalmente, aparentemente visitando un sitio web de dudosa procedencia. El sitio estaba infectado con malware. Pronto, hackers se hicieron con nombres, direcciones, fechas de nacimiento y números de Seguro Social de los empleados y sus dependientes, y, sí, los números de depósito de cuentas bancarias. Es de esperar que haya ocurrido un cambio climático en el grupo de seguridad del departamento.

  1. TSA, segunda parte: ¡siguen poniendo orgulloso al DHS!
    Víctimas: 100.000
    Class Action Outrage Scale: 3 de cada 10 abogados
    D'Oh! Factor: 4 de cada 5 Homeros

    Los ladrones se robaron el disco duro de una computadora con los nombres, números de Seguro Social, fechas de nacimiento y de la cuenta bancaria y la información de rutas de los actuales y antiguos empleados, incluidos los policías federales. Sin embargo, no hay que preocuparse. ¿Cuán fácil podría ser hacerse para por un policía con sólo esa información?

  1. Her Majesty's Revenue and Customs: un lamentable error
    Víctimas: 25 millones
    Class Action Outrage Scale: 10 de los 10 abogados
    D'Oh! Factor: 2 de cada 5 Homeros

    Dos CDs que contenían datos de carácter personal de unos 7 millones de familias desaparecieron en el correo, y el canciller del HMRC renunció. Francamente, incluimos esto, sólo porque se podrían citar frases como: "El canciller pide el asesoramiento de la Agencia contra el Crimen Organizado", y "El Sr. Cable dijo que espera sinceramente que los discos no caigan en manos de 'la hermandad criminal'", y "La policía ha buscado en la basura de Londres en búsqueda de los desaparecidos discos de computadora". Mencionar este hecho como la peor brecha de seguridad de la historia de Gran Bretaña, suena encantador.

  1. TJX: "Lo siento por ello. He aquí una tarjeta de regalo. ¡Vuelva pronto!"
    Víctimas: Millones de compradores de todo el mundo
    Class Action Outrage Scale: 8 de cada 10 abogados
    D'Oh! Factor: 3 de cada 5 Homeros

    Ninguna brecha tiene más tinta este año que TJX's, en el que participaron algunas... decenas de millones de personas... 50 millones... 100 millones de registros de tarjetas de crédito y débito. Preciosos momentos, incluida la defensa de TJX en la prensa diciendo que "nuestra seguridad es comparable a muchos otros grandes minoristas", y la solución propuesta por TJX para con los consumidores en la que la compañía se comprometía a celebrar un encuentro de tres días denominado "La comprensión de la venta del cliente", y dar a algunos clientes $30 como vales. Después de que los defensores de los consumidores protestaran, los vales se cambiaron a $15. A pesar del triste episodio que fue para los consumidores, el balance de TJX se ha mantenido saludable. ¿No te encanta un buen negocio?

    http://seguinfo.blogspot.com/2007/04/robo-de-457-millones-de-tarjetas-de.html

Buenos Aires, 30 de diciembre de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto