Дальсвязь допустила утечку клиентской базы данных

[nirnroot]

Сотрудники сахалинского филиала OAO «Дальсвязь» выложили на свой публичный FTP-сервер файлы с исчерпывающими служебными и личными данными как минимум 11 тыс. текущих или бывших клиентов. Файлы содержат информацию даже о последних платежах клиентов и общей сумме начислений.

Утечка была обнаружена 8 декабря 2010 года экспертами аналитического центра Anti-Malware.ru на сайте, принадлежащем ОАО "Дальсвязь". Это произошло в ходе регулярного мониторинга русского сектора Интернета на предмет опубликования персональных данных граждан, осуществляемого при помощи поисковых систем.

Содержащие персональные данные клиентов файлы были по недосмотру выложены на публичный FTP-сервер, принадлежащий этой компании. Администраторы ресурса и представители OAO «Дальсвязь» были незамедлительно оповещены об утечке данных по доступным на их сайте адресам электронной почты и телефонам.

Обнаруженные в публичном доступе файлы содержат:

Паспортные данные более чем 11 тыс. текущих и бывших клиентов (ФИО, номер и серия паспорта; кем и когда выдан паспорт; адрес прописки и/или проживания, дату и место рождения).
Состояние абонента, последние платежи, используемый тарифный план, общую сумму начислений, указание на компанию-дилера (осуществившую подключение) и многое другое.

Судя по датам создания файлов, они находились в открытом доступе как минимум с июля 2010 года. Некоторые файлы датируются январем 2010 года. Таким образом, любой желающий на протяжении многих месяцев мог беспрепятственно скачивать и использовать по своему усмотрению клиентскую базу филиала OAO «Дальсвязь».

Кроме того, на этом же FTP были обнаружены выложенные в открытый доступ музыкальные файлы, что также является нарушением действующего законодательства РФ.

Пока что нам не удалось получить официальный комментарий по этому инциденту от пострадавшей компании, и утечка до сих пор не закрыта. Поэтому детальную информацию по этическим причинам мы раскрыть не можем.

«Инцидент с OAO «Дальсвязь» во многом очень типичен и вызовет ощущение дежавю у всех, кто следит за сообщениями об утечках в мире. Данные клиентов по глупости или специально были выложены на FTP кем-то из сотрудников компании, вероятнее всего администратором сайта, на что указывает набор специальных программ в том же каталоге. Зачем это было сделано, предстоит выяснить службе безопасности пострадавшей компании», - комментирует Илья Шабанов, управляющий партнер Anti-Malware.ru.

«Если бы в компании использовались DLP-решения и контролировались основные сетевые протоколы, утечки, вероятно, можно было бы избежать. Контроль использования FTP относится к базовым требованиям безопасности, ведь если доступ к протоколу открыт, инсайдер может практически без труда перекачать на любой интернет-сервер гигабайты конфиденциальной информации», — комментирует Александр Ковалев, директор по маркетингу компании SECURIT, ведущего разработчика решения для защиты от утечек данных.
http://www.anti-malware.ru/news/2010-12-08/3397 (внешка с картинками)

[Excluz1ve]

epic fail

[Pinky]

а можно в краце?)

[Diter Tailor]

взорвать их....... у меня дальсвязь

[Pinky]

прочитала...
у дсв всегда все череж заднюю точку

а насчет минусов..
вы хотябы напишите за что...
а не "м" и "-"

[@LEX]

похую

[Bockra]

Странно, на сахкоме писали, что это в приморье и Сахалинских абонентов не было ((((:

[Log1stic]

Дальсвязь.
Похую.

[drew]

Источник из ДСв сообщил, что у компании не было утечки, а утечка произошла в другой организации, и залили эти данные на дсв-шный публичный ftp-сервер.

[Bogdaha]

на ситисахе уже давненько инфо!

[@LEX]

Цитата:

Сообщение от Bogdaha

на ситисахе уже давненько инфо!

ситисах помойка по хуже сахкома

[Têmniy]

Нашел же откуда перепостить - даже на сачкоме инфа полнее.

Цитата:

... Как сообщили ИА Sakh.com в пресс-службе Сахалинского филиала ОАО "Дальсвязь", по факту размещения персональных данных абонентов в открытом доступе службой безопасности компании проводится служебная проверка. Установлено, что информация об абонентах Сахалинского филиала в публичном доступе отсутствует.

Клиентская база, опубликованная на FTP-сервере, принадлежит сотовому оператору ООО "Беспроводные информационные технологии". ООО "БИТ" является самостоятельным и независимым от Сахалинского филиала ОАО "Дальсвязь" юридическим лицом...
сачком.новость

[Dooffy]

Цитата:

Сообщение от Têmniy

Нашел же откуда перепостить - даже на сачкоме инфа полнее.

судя по скринам, по ссылке с первого поста, это не так.
---
А, это в смысли, что это не клиенты дсв

[Bogdaha]

Цитата:

Сообщение от @LEX

ситисах помойка по хуже сахкома

гавно не тонет)

[@LEX]

Цитата:

Сообщение от Bogdaha

гавно не тонет)

гавняная помоечная хуита ваш ситисах)

[Drag_boy]

[xoma11]

10.12.2010
Комментарий ОАО «Дальсвязь» по факту размещения персональных данных на FTP-сервере

FTP-сервер, на котором был выложен файл с персональными данными, используется как файлообменник для интернет-пользователей Сахалинской области. Согласно Регламенту предоставления услуг сетей передачи данных и электронной почты клиент – пользователь FTP-сервера несет персональную ответственность за размещенную в его разделе информацию.

Незамедлительно после обнаружения факта размещения конфиденциальных данных, информация с FTP-сервера была удалена. Кроме этого установлено, что база данных, размещенная на FTP-сервере принадлежит сотовому оператору ООО "БИТ". В связи с тем, что ООО "БИТ" является дочерним обществом Дальсвязи, в настоящее время проводится служебная проверка и устанавливаются причины, по которым база данных стала доступна. Лица, виновные в сложившейся ситуации, установлены.

ОАО "Дальсвязь" искренне сожалеет о том, что действиями ее дочернего общества персональные данные клиентов ООО "БИТ" были размещены в открытом доступе.

База данных абонентов ОАО "Дальсвязь" защищены с соблюдением требований законодательства Российской Федерации, как в области защиты персональных данных, так и коммерческой тайны.
http://www.dsv.ru/press_centre/news/3535/

[Kiba]

главный вопрос: линк на базу-то будет?

[VoVySHkA]

Цитата:

Сообщение от Kiba

главный вопрос: линк на базу-то будет?

Мои паспортные данные посмотреть хочешь?

[drew]

Цитата:

Сообщение от Kiba

главный вопрос: линк на базу-то будет?

«Незамедлительно после обнаружения факта размещения конфиденциальных данных, информация с FTP-сервера была удалена.»

[Kiba]

Цитата:

Сообщение от drew

«Незамедлительно после обнаружения факта размещения конфиденциальных данных, информация с FTP-сервера была удалена.»

никто схоронить не успел?

[Filter]

Торрент в студию

[*Bulldog*]

кто то из админов крупно попал..

[no-name]

на сах коме писали про это, ftp.sakhalin.ru но там уже ничего нет...

[Muerto]