Top 10 datalækager i 2011: Hvordan kunne det gå SÅ galt?

LONDON. Når fortrolige data havner i de forkerte hænder, er det sjældent på grund af en teknisk fejl. Langt oftere er det dårlige sikkerhedsprocedurer og menneskelig svaghed, der fører til datalækager.

Det står klart, hvis man ser på de indtil videre 10 største sager om datalækager i 2011, som blev præsenteret på sikkerhedskonferencen RSA Conference Europe 2011.

»En del af datalækagerne sker på grund af hackere, men der er også en del, der sker på grund af folk indefra,« siger chef for sikkerhedsstrategi Rob Rachwald fra Imperva.

Det er nummer 10 på årets liste et eksempel på:

10. Bank of America

En kundeservicemedarbejder kopierede oplysninger fra kundedatabasen og solgte dem videre til svindlere. Oplysningerne kunne bruges til at bestille nye checkhæfter fra banken, som blev leveret til et UPS-kontor i stedet for kundernes bopæle.

»Det er et eksempel på, at en bruger har misbrugt sine alt for omfattende adgangsbeføjelser. Brugere får ofte tildelt rettigheder, som overskrider de behov, de har i deres jobfunktion,« siger Rob Rachwald.

Sagen endte med at koste Bank of America 10 millioner dollars, og cirka 300 kunder blev ramt.

9. UCLA Medical Center

Mens Bank of America blev ramt, fordi en medarbejder havde adgang til data, han reelt ikke skulle bruge i sit arbejde, så var sagen en anden for universitetshospitalet UCLA Medical Center i Los Angeles, som blandt andet har flere berømtheder som patienter.

Her havde hospitalspersonalet helt legitim adgang til patientjournaler, men det var også let for personalet at downloade oplysningerne fra systemet, og i flere tilfælde solgte personalet oplysninger videre om blandt andet George Clooney.

»Sladderpressen vidste, at UCLA Medical Center var det helt rigtige sted at gå til,« siger Rob Rachwald.

8. Oak Ridge National Laboratory

Oak Ridge National Laboratory hører under det amerikanske energiministerium, men har også været involveret i forskning inden for atomvåben. I april kom det frem, at ukendte personer havde fået fat i fortrolige data.

Det skete efter et spear-phishing-angreb, hvor 573 medarbejdere modtog en e-mail, der så ud til at være sendt fra personalekontoret med et link til information om nogle ændringer i deres ansættelsesforhold.

Det fik et større antal medarbejdere til at klikke på linket, som førte til et stykke malware, som da den først var inde på en medarbejders pc, forsøgte at arbejde sig op i systemet og få adgang til fortrolige data. Samtidig måtte forskningscenterets to store supercomputere lukkes ned i flere dage.

Ifølge Rob Rachwald er det derfor værd at bide mærke i, at noget, der kan virke trivielt, som en medarbejder, der har fået virus på sin pc, kan risikere at føre til et større tab end blot tabt arbejdstid.

7. Patientdata for 300.000 personer

300.000 patientjournaler i den amerikanske delstat Illinois blev angiveligt stjålet i forbindelse med et datatyveri i september.

»Det vigtige er, at de tror, dataene er stjålet. Det vil sige, de ved det ikke,« siger Rob Rachwald.

Udetaljeret logning og overvågning kan føre til, at man havner i en situation, hvor man ikke kan følge sine data og dermed ikke fastslå, om eksempelvis en ekstern konsulent har stjålet data.

Det kan eksempelvis være, fordi man slår databasens logningsfunktioner fra, fordi man vil have mere ydelse ud af databasen.

6. Groupon i Indien

Den indiske afdeling af Groupon offentliggjorde e-mailadresser, brugernavne og kodeord på 300.000 brugere på selskabets hjemmeside. For at føje spot til skade blev hele databasen også indekseret af Google.

Offentliggørelsen skete sandsynligvis ved et uheld, men den slags sker typisk, hvis ikke alle medarbejdere, som har adgang til at ændre i systemet, er klar over, at en ændring kan føre til eksponering af følsomme data.

5. Suncoast Community Health Centers

Sundhedssektorfirmaet Suncoast fyrede en it-medarbejder, men fik ikke slettet hans adgang til alle it-systemerne. Den utilfredse medarbejder kunne derfor logge ind og ændre kodeordet til blandt andet den centrale database.

Det betød, at medarbejderne ikke kunne få adgang til systemerne og dermed ikke kunne udføre deres arbejde.

4. Det britiske sundhedsvæsen NHS

Det britiske offentlige sundhedsvæsen NHS mistede i september en cd-rom med en backup af cirka 1,6 millioner patientjournaler. Et mistet backup-medie burde ikke være et problem, men NHS havde ikke krypteret backuppen.

»Det er et eksempel på, at nogen har en kæmpe bunke data, som de ikke sørger for at opmagasinere sikkert,« siger Rob Rachwald.

3. Bay House School i Hampshire i Storbritannien

En elev på en skole i Hampshire i Storbritannien fandt ud af, at det var let at få adgang til hele skolens administrationssystem, efter han havde fået adgang til skolens hjemmeside.

Det var let, fordi it-systemerne brugte et kodeord, der var let at gætte sig til, og samtidig blev det samme kodeord genbrugt flere steder.

Delt førsteplads: Sony og det amerikanske militær

Rob Rachwalds førsteplads deles af Sony og det amerikanske militær. For det amerikanske militær skyldes placeringen en kuwaitisk hacker, som på sin hjemmeside sælger fuld root-adgang til blandt andet hjemmesiden for den amerikanske hærs centralkommando for 499 dollars.

For Sonys vedkommende var det skandalen med mere end 100 millioner brugere af Sonys onlinetjenester, som fik stjålet deres personlige oplysninger. En del af oplysningerne var krypterede, men der var også oplysninger om 12 millioner brugere, som ikke var krypteret.

I begge tilfælde lå skylden i SQL-injektion mod hjemmesider, som stadig kan føre til store datalækager, selvom problemet har været kendt i årevis.

»Det kan koges ned til inputvalidering,« lyder rådet fra Rob Rachwald.

RSA har betalt Version2’s rejse- og opholdsudgifter i forbindelse med dækningen af RSA Conference Europe 2011.