Pošto je početkom ovog meseca ukinula svoj program Electronic Filing PIN, Uprava unutrašnjih prihoda SAD-a (IRS – Internal Revenue Service) je prošle nedelje objavila da priprema bezbednije rešenje za narednu poresku godinu. Rešenje uključuje proširenje pilot programa ove agencije da na obrasce W-2 doda 16-cifrene kodove za verifikaciju. Mada je IRS prvobitno planirala da kasnije ove godine prekine svoj program Electronic Filing PIN, odlučila je da počne ranije zbog sve većeg broja napada na sistem u poslednjih nekoliko nedelja.Uprava je ranije ove godine obelodanila da su kradljivci poreza koristili ukradene brojeve Socijalnog osiguranja i jedan program za pogađanje PIN-ova da ugroze 100.000 prijava poreskih obveznika.
Ipak, IRS je ove godine sprečila više prevara nego prošle — 1,1 milijarde dolara, prema 350 miliona dolara. Klimavo poverenje Uprave prihoda
Odluka Uprave prihoda da prekine svoj PIN program pre vremena mogla bi da osmeli napadače.
„Ovo je priznanje neuspeha i korak nazad za upotrebljivost“, kaže Rami Esaid, direktor Distil Networks. „To je znak da nemaju pouzdanje u svoje stanje bezbednosti, pa će verovatno navesti napadače da i dalje traže ranjiva mesta“, izjavio je za TechNewsWorld. PIN sistem je od početka imao nedostatke, tvrdi Esaid. „Oni nisu primenili efikasno otkrivanje i sprečavanje robota, niti su u svoju veb aplikaciju ugradili pravilnu bezbednosnu logiku za prepoznavanje i praćenje automatizovanih napada grubom silom i provalom ovlašćenja“.
Svi budući napori Uprave prihoda da stvori bezbedniji PIN sistem moraće da vode računa o realnosti tekućeg okruženja pretnji. „Autentifikacija je oduvek bila značajna meta napada u IT“, objašnjava Tim Erlin, direktor IT bezbednosti i strategije rizika u Tripwire. „Kada jedna organizacija nudi javnosti uslugu zaštićenu nekom vrstom autentifikacije, ona će se naći na meti“, izjavio je za TechNewsWorld. „Provale su životna činjenica u ovo vreme, pa svaka organizacija mora da ima uspostavljen plan reagovanja pre nego što bude napadnuta“.
Kalendar provala zadnjih 6 dana juna:
- 26 jun. Haker sa identifikacijom „thedarkoverlord“ ponudio je na prodaju na tržištu Real Deal nekih 655.000 zapisa iz tri zdravstvene organizacije u SAD, izveštava Motherboard. Motherboard je proverio mali uzorak podataka koje im je haker dao, i izgledalo je da su pravi.
- 27 jun. Hard Rock Hotel & Casino u Las Vegasu javlja klijentima koji su koristili svoje platne kartice između 27. oktobra i 21. marta 2015, da ih ugrožava zlonamerni softver koji je izvlačio informacije iz sistema za naplatu u nekim restoranima i maloprodajnim lokalima u tom objektu.
- 27 jun. Uber povlači sudski zahtev za informacije vezane za provalu podataka u Uberu u koju su navodno bili uključeni zaposleni konkurentskog Lyft-a.
- 27 jun. Deset procenata pogođenih provalom podataka u Federalnoj kancelariji za upravljanje kadrovima, koja se odnosila na zapise 21,5 miliona ljudi, tek treba da bude obavešteno da su bili žrtve, izveštava The Washington Post.
- 28 jun. Blanco Technology Group objavljuje istraživanje koje pokazuje da 67 procenata tvrdih diskova iz druge ruke koje prodaje eBay sadrži lične informacije, a 11 procenata sadrži osetljive podatke korporacija.
- 28 jun. Kancelarija poverenika za informacije UK izveštava da je skoro udvostručila kazne naplaćene od prekršilaca pravila za zaštitu podataka te zemlje na 2 miliona funti u 2015, u odnosu na 1,1 milion funti u 2014.
- 28 jun. Noodles & Co. objavljuje kompromis svojih sistema prodajnih mesta postavljenih sa rizikom za informacije platnih kartica sa kupcima koji su poslovali sa ovim lancem restorana između 31. januara i 2. juna.
- 28 jun. Pandora upozorava svoje članove da promene lozinke pošto su neke od tih lozinki pronađene u podacima provala iz drugih servisa prijavljenih na Vebu.
- 29 jun. Bolnica Massachusetts General u Bostonu počinje da obaveštava nekih 4.300 pacijenata da su im lični podaci ugroženi pošto je otkrivena provala podataka kod njihovog dobavljača, Patterson Dental Supply.
- 29 jun. Udruženje Credit Union National Association objavljuje da se pridružuje tužbi protiv kompanije Wendy’s za provalu podataka u sistemima prodajnih mesta u nekim od njihovih restorana brze hrane.
- 29 jun. Kopija baze podataka navodnih terorista koju održava Thomson Reuters pojavila se onlajn gde svako može da je vidi, izveštava The Register. Bazu podataka World-Check navodno koristi 49 od 50 najvećih banaka na svetu i 300 državnih i obaveštajnih agencija radi sprečavanja da oni sa spiska pristupe globalnom bankarskom sistemu.
- 29 jun. Ovlašćenja, profili i preko pola miliona poruka od skoro 150.000 korisnika veb sajta Muslim Match objavljeno je na javnom Internetu, izveštava Motherboard, napominjući da test mail adresa slučajno odabranih iz keša podataka nagoveštava da su adrese ažurne i stvarne.
- 1 jul. Tomas White, poznat po identifikaciji „Cthulhu“, objavljuje na Internetu jedan torrent fajl koji sadrži 427 miliona lozinki od nekih 360 MySpace korisnika ukradenih u jednoj provali podataka iz 2013.
- 1 jul. Katolička zdravstvena organizacija Filadelfijske nadbiskupije pristala je da plati 650.000 dolara za izmirenje prinudne naplate od Ministarstva zdravlja i socijalnih službi SAD pošto je krađa jednog mobilnog uređaja ugrozila zdravstvene informacije na stotine korisnika domova za negu, izveštava Healthcare Finance News.