Violación de datos

Ir a: navegación, búsqueda de

A violación de datos es la liberación intencional o inintencional de información segura en un entorno de confianza. Otros términos para este fenómeno son divulgación de información no intencional, fuga de datos y también derrame de datos. Gama de incidentes de ataque concertado por sombreros negros con el respaldo de crimen organizado o gobiernos nacionales eliminación descuidada de medios de almacenamiento de equipos o datos de computadora usada. Definición "una violación de datos es un incidente de seguridad en la que datos sensibles, protegidos o confidenciales es copiados, transmitidos, visitaron, robados o utilizados por un individuo no autorizado para hacerlo". Las violaciones de datos pueden incluir información financiera, como tarjeta de crédito o datos bancarios, información personal de salud (PHI), información personal identificable (PII), los secretos comerciales de las corporaciones o de propiedad intelectual. Según el sin fines de lucro Organización de consumidores Privacy Rights Clearinghouse, un total de 227,052,199 registros individuales que contengan información personal delicada estuvieron implicados en violaciones a la seguridad en los Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo incidentes donde datos sensibles al parecer no fue expuestos.[1]

Contenido

  • 1 Definición
  • 2 Entorno de confianza
  • 3 Privacidad de datos
  • 4 Información privilegiada frente a las amenazas externas
  • 5 Violación de datos médicos
  • 6 Consecuencias
  • 7 Incidentes graves
    • 7.1 2014
    • 7.2 2013
    • 7.3 2012
    • 7.4 2011
    • 7.5 2009
    • 7.6 2008
    • 7.7 2007
    • 7.8 2006
    • 7.9 2005
  • 8 Véase también
  • 9 Referencias
  • 10 Enlaces externos

Definición

Esto puede incluir incidentes tales como robo o pérdida de medios digitales tales como cintas de computadora, unidades de disco duros, o ordenadores portátiles que contienen tales medios sobre que tal información se almacena sin cifrar, publicación de dicha información en el world wide web o en un ordenador si no accesible desde el Internet sin adecuada seguridad de la información Precauciones de seguridad, transferencia de dicha información a un sistema que no está completamente abierto pero no es adecuada o formalmente acreditado para la seguridad en el nivel aprobado, tales como sin cifrar correo electrónico, o la transferencia de dicha información a la sistemas de información de una agencia posiblemente hostil, como una empresa competidora o una nación extranjera, donde pueda estar expuesto a más intensivas técnicas de descifrado.[2]

ISO/IEC 27040 define una brecha de datos como: compromiso de seguridad que conduce a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada de, o acceso a datos transmitidos, almacenados o transformadas de otra forma protegidos.

Entorno de confianza

La noción de un entorno de confianza es algo fluida. La salida de un miembro de confianza del personal con acceso a información confidencial puede convertirse en una brecha de datos si el funcionario retiene el acceso a los datos con posterioridad a la terminación de la relación de confianza. En los sistemas distribuidos, esto también puede ocurrir con una avería en un Web de confianza.

Privacidad de datos

Más tales incidentes mucha publicadas en los medios de comunicación implican información privada a los individuos, es decir números de seguro social, etc.. Pérdida de información corporativa como secretos comerciales, información corporativa sensible, detalles de contratos, etc. o del gobierno información frecuentemente no denunciada, ya que no hay ninguna razón convincente para hacerlo en ausencia de daño potencial a los ciudadanos privados, y la publicidad alrededor de este caso puede ser más dañina que la pérdida de los datos de sí mismo.

Información privilegiada frente a las amenazas externas

Aquellos que trabajan dentro de una organización son una causa importante de violaciones de datos. Estimaciones de los incumplimientos causados por rango de errores accidentales "factor humano" de 37% por Ponemon Institute[3] a 14% por el informe de las investigaciones de Verizon 2013 datos incumplimiento.[4] La categoría de amenaza externa incluye actores patrocinada por el estado y los hackers. Asociaciones profesionales de administradores de activos IT[5] trabajar agresivamente con los profesionales de ti para educarlos sobre mejores prácticas de reducción de riesgos para las amenazas tanto internas como externas a los activos de ti, software y la información.

Violación de datos médicos

Algunas celebridades se han encontrado para ser las víctimas de violaciones de acceso médico inadecuado, aunque más así en una base individual, no forma parte de una brecha típicamente mucho más grande.[6] Dada la serie de violaciones de datos médicos y la falta de confianza pública, algunos países han promulgado leyes que exigen garantías para poner en marcha para proteger la seguridad y confidencialidad de la información médica como se comparte electrónicamente y algunos derechos importantes para monitorear su historial médico y recibir una notificación de pérdida y adquisición no autorizada de información de salud a los pacientes. Los Estados Unidos y la UE han impuesto las notificaciones de infracción datos médicos obligatorios.[7]

Costo promedio de violación de datos en Alemania [8]

Consecuencias

Aunque estos incidentes plantean el riesgo de robo de identidad otras consecuencias graves, en la mayoría de los casos hay o no daño duradero; tanto se resuelva la brecha en la seguridad antes de que la información es accesible por personas inescrupulosas, o el ladrón sólo está interesado en el hardware robado, no los datos que contiene. Sin embargo, cuando tales incidentes públicamente conocidos, es habitual que la parte ofensora intentar mitigar daños y perjuicios proporcionando a la suscripción de las víctimas a un Agencia de informes de crédito, por ejemplo, nuevas tarjetas de crédito, u otros instrumentos. En el caso de blanco, el incumplimiento de 2013 costo objetivo una significativa caída en ganancias, que lanzó un 40% en el cuarto trimestre del año.[9]

Incidentes graves

Incidentes notables incluyen:

2014

  • En agosto de 2014, casi 200 fotografías de celebridades fueron publicados en la Web de la Junta de imagen 4chan. Una investigación de Apple encontraron que las imágenes fueron obtenidas "por un ataque muy dirigido a nombres de usuario, contraseñas y cuestiones de seguridad".[10]
  • En septiembre de 2014, Home Depot sufrió una brecha de datos de 56 millones de números de tarjeta de crédito.[11]

2013

  • En octubre de 2013, Adobe Systems reveló que su base de datos corporativa fue hackeado y algunos registros de usuario 130 millones fueron robados. Según Adobe, "por más de un año, sistema de autenticación de Adobe ha hash criptográficamente contraseñas del cliente utilizando la SHA-256 algoritmo, incluyendo Salar las contraseñas y recorrer el hash más de 1.000 veces. Este sistema no era el tema del ataque que divulgó públicamente el 03 de octubre de 2013. El sistema de autenticación involucrado en el ataque fue un sistema de respaldo y fue designado para ser desarmado. Involucrado en el ataque que utiliza el sistema Triple DES codificación para proteger toda la información de contraseña almacenada".[12]
    Para obtener más información: Adobe Systems § violación de datos al cliente y código fuente
  • A finales de noviembre a principios de diciembre de 2013, Target Corporation anunció que los datos de unos 40 millones crédito y débito tarjetas fue robado. Es la segunda brecha de tarjeta de crédito y débito después de la Violación de datos de empresas TJX donde afectaron a casi 46 millones de tarjetas.[13]

2012

  • En el verano de 2012, Wired.com Senior Writer Mat Honan afirma que "los hackers destrucción mi vida digital en el lapso de una hora" hackeando sus Apple, Twitter y Gmail contraseñas para obtener acceso a su apodo de Twitter y en el proceso, afirma los hackers exterminados todos y cada uno de sus dispositivos, eliminar todos sus mensajes y documentos, incluyendo todas las imágenes que nunca había tomado de su hija de 18 meses de edad.[14] La hazaña fue alcanzada con una combinación de información facilitada a los hackers por servicio de asistencia técnica a través de Amazon Ingeniería socialy el sistema de recuperación de contraseña de Apple que utilizan esta información.[15] Relacionado con su experiencia, Mat Honan escribió una pieza esquematización por qué las contraseñas no pueden mantener a los usuarios seguros.[16]
  • En octubre de 2012, una agencia policial contactó con el Departamento de ingresos de Carolina del sur (DoR) con la evidencia que había sido robado personalmente identificable información (PII) de tres individuos.[17] Más tarde se informó que un número de Seguro Social 3,6 millones estimados fueron descubiertos junto con 387.000 registros de tarjeta de crédito.[18]

2011

  • En abril de 2011 SONY experimentó una brecha de datos dentro de sus PlayStation Network. Se estima que la información de 77 millones de usuarios ha sido comprometida.
  • En marzo de 2011, RSA sufrió una violación de su almacén SecurID token sistema seed-key, donde robaron las llaves de semilla para su sistema de autenticación en 2 factores, permitiendo a los atacantes replicar los tokens de hardware utilizados para acceso seguro en empresas y entornos de gobierno.
  • En junio de 2011 Citigroup divulgó una brecha de datos dentro de su operación de tarjeta de crédito, que afecta a aproximadamente 210.000 o el 1% de las cuentas de sus clientes.[19][20]

2009

  • En diciembre de 2009 un RockYou! base de datos de contraseñas fue violada que contiene 32 millones de nombres de usuario y contraseñas de texto plano, comprometiendo aún más el uso de contraseñas débiles para cualquier propósito.
  • En mayo de 2009 la Escándalo de gastos parlamentarios de Reino Unido fue revelado por The Daily Telegraph. Un disco duro que contiene los recibos escaneados de los miembros del Parlamento británico y sus pares en la cámara de los Lores fue ofrecido a varios periódicos UK a finales de abril, con The Daily Telegraph finalmente adquirirla. Publicaron detalles en cuotas del 8 de mayo en adelante. Aunque fue pensado por el Parlamento que los datos se publicarán, esto iba a ser en forma redactada, con los datos de que los miembros individuales consideraban "sensibles" quedé. El diario publicó las exploraciones que demostraron los detalles de las reclamaciones, muchas de las cuales parecían estar en violación de las reglas y sugerido difundido uso indebido del sistema de gastos generoso. La tormenta de los medios de comunicación resultante condujo a la dimisión de la Altavoz de la cámara de los comunes y el procesamiento y encarcelamiento de varios diputados y lores por fraude. El sistema de gastos fue reacondicionado y reforzado, poniendo más a la par con los planes de la industria privada. El Servicio de policía metropolitana sigue investigando posibles fraudes y el Fiscalía de la corona está considerando más procesamientos. Varios diputados y señores se disculpó y hecho todo, parcial o sin restitución y conservaron sus asientos. Otros que había sido humillado en los medios de comunicación no se ofreció para la reelección en la Elecciones generales del Reino Unido, 2010. Aunque la numeración a menos de 1.500 personas, el asunto recibió la mayor cobertura de los medios globales de cualquier violación de datos (como sucedió en febrero de 2012).
  • En enero de 2009 Heartland Payment Systems anunció que había sido "víctima de una violación de seguridad dentro de su sistema de procesamiento", posiblemente parte de una "operación de fraude cibernético global".[21] La intrusión se ha llamado la violación criminal más grande de datos de la tarjeta, con estimaciones de hasta 100 millones de tarjetas de más de 650 financiera servicios de las empresas comprometidas.[22]

2008

  • En enero de 2008 GE Money, una división de General Electric, que divulgó una cinta magnética que contiene 150.000 números de seguro social y en la tienda tarjeta de crédito información de 650.000 clientes por menor es conocido por ser de un Iron Mountain Incorporated instalación de almacenamiento. J.C. Penney se encuentra entre 230 vendedores afectados.[23]
  • Horizon Blue Cross and Blue Shield of New Jersey, Enero, 300.000 miembros [1]
  • Alma, Febrero, 321.000 donantes de sangre [1]
  • Partido nacional británico fuga de lista de miembros,[24]
  • A principios de 2008, Countrywide Financial (desde entonces adquirida por Bank of America) supuestamente fue víctima de una violación de datos cuando, según noticias, informes y documentos judiciales, empleado Rene L. Rebollo Jr. robado y vendido a 2,5 millones información personal como números de seguro social.[25][26] Según la denuncia legal: "a partir de 2008 - coincidentemente después vendieron sus carteras de hipotecas bajo injusta y fraudulenta 'piscinas securitización', y coincidentemente después su cartera hipotecaria entró en incumplimiento de pago masivo como resultado mismo - Countrywide aprendió que la información financiera de potencialmente millones de clientes había sido robada por ciertos agentes en todo el país, empleados u otras personas."[27] En julio de 2010 Bank of America se establecieron más de 30 demandas colectivas relacionadas ofreciendo crédito gratuito de monitoreo, seguro de robo de identidad y el reembolso por pérdidas a los consumidores como 17 millones afectados por la violación alegada datos. El asentamiento se estimó en $ 56,5 millones sin incluir los costos judiciales.[28]

2007

  • D. A. Davidson & Co. 192.000 clientes nombres, la cuenta del cliente y números de seguridad social, direcciones y fechas de nacimiento[29]
  • El 2007 la pérdida de datos del estado de Ohio y Connecticut por Accenture
  • TJ Maxx, datos de las cuentas de crédito y débito 45 millones[30]
  • 2007 UK niño beneficiarse escándalo de datos
  • CGI Group, Agosto, 283.000 jubilados de Ciudad de Nueva York [1]
  • La brecha, Septiembre, 800.000 solicitantes de empleo [1]
  • Centro de sangre de Memorial, Diciembre, 268.000 donantes de sangre [1]
  • Comisión de elecciones del Condado de Davidson, Diciembre, 337.000 votantes [1]

2006

  • Escándalo de datos de búsqueda de AOL (a veces se denomina un "Data Valdez",[31][32][33] debido a su tamaño)
  • Department of Veterans Affairs, Puede, veteranos, reservas y personal militar en servicio activo, 28,600,000[1][34]
  • Ernst & Young, Mayo, 234.000 clientes de Hotels.com (después de una pérdida similar de datos sobre 38.000 empleados de clientes de Ernst & Young en febrero) [1]
  • Boeing, Diciembre, 382.000 empleados (después de pérdidas similares de datos sobre los 3.600 empleados en abril y 161.000 empleados en noviembre de 2005) [1]

2005

  • Ameriprise Financial, robado ordenador portátil, El 24 de diciembre, 260.000 registros de clientes [1]

Véase también

  • Revelación completa

Referencias

  1. ^ a b c d e f g h i j k "Cronología de las violaciones de datos", Privacy Rights Clearinghouse
  2. ^ ¿Cuando hablamos de incidentes que ocurren en NSSs, vamos a usar comúnmente términos definición?, "Preguntas frecuentes sobre incidentes y derrames", Archivos nacionales Oficina de supervisión de seguridad de información
  3. ^ Riesgo de fraude Insider: segundo estudio anual. Ponemon.org (28 / 02 / 2013). Recuperado encendido 2014-06-10.
  4. ^ Informe de las investigaciones de violación de datos de Verizon | Verizon Enterprise Solutions. VerizonEnterprise.com. Recuperado encendido 2014-06-10.
  5. ^ ¡ Bienvenido a IAITAM. IAITAM.org. Recuperado encendido 2014-06-10.
  6. ^ Ornstein, Charles (2008-03-15). "Hospital para castigar a husmear en Spears". Los Angeles Times. 26 / 07 / 2013.
  7. ^ Kierkegaard, violaciones de datos médicos de p. (2012): notificación retrasada es notificación negada, derecho informático y seguridad informe, 28 (2), p.163–183.
  8. ^ "Estudio anual 2010: costo alemán de una brecha de datos" (PDF). Ponemon Institute. Febrero de 2011. 2011-10-12.
  9. ^ https://www.nytimes.com/2014/02/27/Business/Target-reports-on-fourth-quarter-earnings.html?_r=0
  10. ^ "Apple anuncio a la prensa: actualización a Celebrity Photo investigación". Business Wire (StreetInsider.com). 02 de septiembre de 2014. 2014-09-05.
  11. ^ Melvin Backman (18 de septiembre de 2014). "Home Depot: 56 millones tarjetas expuestas en infracción". CNNMoney.
  12. ^ Goodin, M.d (2013-11-01) ¿Cómo un error épico de Adobe podría fortalecer la mano de descifradores de contraseñas. Ars Technica. Recuperado encendido 2014-06-10.
  13. ^ "Objetivo de seguridad afecta a hasta 40 M tarjetas". Associated Press via Milwaukee Journal Sentinel. 19 de diciembre de 2013. 21 de diciembre 2013.
  14. ^ Honan, Mat (15-11-2012). "Matar la contraseña: por qué una cadena de caracteres no puede protegernos ya". Wired.com (Condé Nast). 17 / 01 / 2013.
  15. ^ Honan, Mat (06 de agosto de 2012). "Cómo Apple y Amazon fallos de seguridad llevaron a mi épica de Hacking". Wired.com. 26 Jan 2013.
  16. ^ "Proteger al individuo de violación de datos". La revisión de la legislación nacional. Raymond Law Group. 14 / 01 / 2014. 17 / 01 / 2013.
  17. ^ "Informe de respuesta a incidentes públicos". Estado de Carolina del sur. 2012-11-12. 10 / 10/2014.
  18. ^ "Carolina del sur: la madre de todas las violaciones de datos". El Post y Courier. 03-11-2012. 2014-10-110. Valores de fecha de llegada: |accessdate = (Ayuda)
  19. ^ Greenberg, Andy (09 de junio de 2011). "Citibank revela uno por ciento de las tarjetas de crédito, expuesto en la intrusión de hackers". Forbes. 2014-09-05.
  20. ^ Hacer negocios un poco menos riesgoso: la convergencia de datos, identidad y riesgos regulatorios. LessRiskyBiz.blogspot.com (2011-06-13). Recuperado encendido 2014-06-10.
  21. ^ Heartland Payment Systems destapa Software malicioso en su sistema de procesamiento
  22. ^ Lecciones de la violación de datos en el Heartland, MSNBC, 07 de julio de 2009
  23. ^ Cintas de Backup de GE Money con 650.000 discos falta en montaña del hierro - Iron Mountain
  24. ^ Publicó los detalles de los activistas BNP - BBC News
  25. ^ "Bank of America se instala trajes de robo de datos en todo el país"
  26. ^ "En todo el país demandó por violación de datos, la demanda de acción de clase busca $ 20 millones en daños y perjuicios", Seguridad de información bancaria, 09 de abril de 2010
  27. ^ "En todo el país venden privado Info, reclamos de clase", Noticias de corte, 05 de abril de 2010
  28. ^ "La convergencia de datos, identidad y riesgos regulatorios", Hacer negocios un poco el Blog menos riesgoso
  29. ^ Manning, Jeff (2010-04-13). "D.A. Davidson una multa sobre seguridad informática tras violación de datos". El periódico The Oregonian. 26 / 07 / 2013.
  30. ^ "T.J. Maxx datos robo peor reportada por primera vez". MSNBC.com. 2007-03-29. 2009-02-16.
  31. ^ datos Valdez Diccionario Doubletongued
  32. ^ Fuga masiva de datos de AOL, Electronic Frontier Foundation
  33. ^ datos Valdez, Neto Lingo
  34. ^ "Parte de información activo tropa de datos VA robados", Red mundial, 06 de junio de 2006

Enlaces externos

  • "Base de datos la pérdida de datos"es un proyecto de investigación pretende documentar incidentes de pérdida de datos conocidos y divulgados por todo el mundo.
  • "Más recientes violaciones de datos", TeamSHATTER.com, actualizado regularmente
  • "Una cronología de las violaciones de datos", Privacy Rights Clearinghouse, actualizado dos veces por semana
  • "Infracciones que afectan a 500 o más individuos", Informaron de las violaciones a la Departamento de salud y servicios humanos de Estados Unidos por)Cubiertas de HIPAA) entidades

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Data_breach&oldid=634116768"