Listę prezentujemy w porządku od 10 do 1 miejsca - w każdym przypadku podajemy nazwę firmy lub instytucji, której dotyczył problem, oraz liczbę osób, których dane skradziono/zgubiono (to tzw. "liczba ofiar"). Oto zestawienie:
Miejsce 10: Monster.com
Liczba ofiar: co najmniej 1,3 mln
Ta sprawa była głośna w wakacje - wtedy to firma Symantec wykryła, że przestępcy zdołali (za pomocą konia trojańskiego) wykraść dane co najmniej 1,3 (a być możne nawet 1,6) mln użytkowników serwisu rekrutacyjnego Monster.com. Wśród przejętych przez przestępców informacji znalazły się m.in. imiona i nazwiska użytkowników, ich adresy e-mail, adresy domowe, numery telefonów i faksów, a także informacje o tym, o jakie posady się ubiegali. Na domiar złego podczas dochodzenia w tej sprawie okazało się, że władze Monster.com zwlekały ok. 5 dni z poinformowaniem o całym wydarzeniu użytkowników serwisu. Więcej informacji na ten temat można znaleźć w tekście "Szukali pracy, znaleźli... trojana".
Miejsce 9: Commerce Bank of Wichita
Liczba ofiar: 20
To wydarzenie jest raczej przykładem pomysłowej akcji promocyjnej, niż realnego zagrożenia. Przedstawiciele Commerce Bank ze stanu Wichita poinformowali kilka miesięcy temu, że do ich systemu informatycznego włamał się groźny przestępca i ukradł dane... 20 klientów. Bank z dumą informował, że atak został natychmiast wykryty i zablokowany.
Wielu specjalistów ds. bezpieczeństwa sceptycznie potraktowało te doniesienia - cóż to za przestępca, który włamuje się do banku i kradnie tylko 20 rekordów? Dlatego też cały incydent traktowany jest obecne raczej jako sprawna akcja PR-owa banku, mająca podkreślić jego sprawność w zwalczaniu cyberzagrożenia.
Miejsce 8: Indianapolis Power and Light
Liczba ofiar: ok. 3 tys.
Z zasobów zakładu energetycznego z Indianapolis ktoś ukradł kompletne dane ok. 3 tys. klientów - zawierające m.in. numery ubezpieczenia społecznego, dane teleadresowe itp. Cóż, 3 tys. to może nie zbyt wiele - ale jeśli weźmie się pod uwagę, że firma odkryła kradzież dopiero po 4 latach (a w tym czasie dane zostały m.in. opublikowane w Internecie) to incydent ten z pewnością zasługuje na to, by trafić do naszego zestawienia.
Miejsce 7: TSA
Liczba ofiar 3390
Klasyczna historia - prawnik rządowej agendy TSA (Transportation Security Administration) zgubił dwa komputery, których dyski zawierały dane kierowców. Problem w tym, że nie byli to zwykli kierowcy - ktoś, kto znalazł owe komputery i odczytał zapisane na ich dyskach informacje, poznał personalia, trasy przejazdowe, numery praw jazdy... osób specjalizujących się w transportowaniu niebezpiecznych (np. toksycznych) materiałów.
Miejsce 6. Shaw's Supermarket
Liczba ofiar: 472
Opis zdarzenia pozostawmy przedstawicielom firmy: "niezidentyfikowana osoba dostała się do zabezpieczonego przed nieautoryzowanym dostępem sektora sklepu i ukradła komputer stacjonarny" . Cóż, opis jest odrobinę niespójny - trudno bowiem miejsce, z którego bez problemu wyniesiono pod pachą komputer, nazwać "zabezpieczonym". W każdym razie owa niezidentyfikowana osoba zdobyła w ten sposób dane blisko 500 pracowników sklepów - w tym m.in. ich numery ubezpieczenia społecznego (ponieważ - uwaga, uwaga - w systemie informatycznym owego sklepu pełniły one funkcję... haseł dostępu).
Miejsce 5: Swedish Urology Group
Liczba ofiar: kilkaset
Lekarze z instytutu urologii zgubili trzy twarde dyski wypełnione poufnymi danymi pacjentów. I to wyjątkowo poufnymi - mało kto przecież pragnie upublicznienia informacji o swoich problemach z układem moczowym.
Miejsce 4: Nature Conservancy
Liczba ofiar: 14 tys.
Witryna zajmującej się ochroną przyrody agencji została zakażona złośliwym oprogramowaniem, które umieszczono tam po to, by uzyskać dostęp do komputerów pracowników Nature Conservancy. Plan się powiódł - przestępcy przejęli w ten sposób komplet informacji o 14 tys. osób zatrudnionych w NC (m.in. numery ubezpieczenia, dane teleadresowe, numery kont).
Miejsce 3: TSA (po raz drugi)
Liczba ofiar: ok. 100 tys.
Druga wpadka Transportation Security Administration była zdecydowanie poważniejsza niż ta z punktu 7 - doszło do niej, gdy złodziej ukradł zewnętrzny dysk zawierający dane 100 tys. obecnych i dawnych pracowników agencji. Były tam m.in. kompletne dane funkcjonariuszy zajmujących się ochroną samolotów (tzw. air marshal) - specjaliści obawiają się, że mogą one posłużyć przestępcom do podszywania się pod pracowników rządowych.
Miejsce 2: Urząd Podatkowy i Celny Jej Królewskiej Mości
Liczba ofiar: 25 mln.
Pracownikowi brytyjskiego Urzędu Podatkowego przydarzyła się niemiła przygoda - zgubił dwie płyty CD, zawierające dane osobowe 7 mln rodzin (w sumie ok. 25 mln osób). Wywołało to ogromny skandal, który zakończył się dymisją szefa UPiC JKM.
Miejsce 1: TJX
Liczba ofiar: miliony
Zasłużone pierwsze miejsce sieci handlowej TJX to efekt wykrycia na początku roku gigantycznej kradzieży danych osobowych z jej systemu informatycznego. Dochodzenie wykazało, że przestępcy włamali się do niej poprzez dziurawą sieć Wi-Fi po czym przez kilkanaście miesięcy wykradali dane klientów (m.in. numery kont i kart kredytowych). Przedstawiciele poinformowali niedawno, że łączne straty, jakie firma poniosła na skutek włamania do jej sieci informatycznej, przekroczą 150 mln USD. Zdaniem analityków straty mogą być nawet kilkakrotnie wyższe - ale nawet w wariancie minimalnym "sprawa TJX" będzie najkosztowniejszym włamaniem w historii.
$Opracowano na podstawie tekstu "The Top 10 Data Breaches of 2007" Scotta Berinato z amerykańskiego wydania magazynu CSO.
Daniel Cieślak
