- 13,858
- 20
- 8 Ноя 2022
История клиники, которая забыла, что в ее веб-сайте скрывается маленький шпион.
Одна из крупнейших европейских клиник едва избежала многомиллионного штрафа из-за одного маленького пикселя и невнимательности IT-специалистов.
Несколько лет назад крупная международная сеть медицинских клиник проводила рекламную кампанию и для отслеживания ее эффективности установила на сайт специальный трекинговый пиксель. Это довольно распространенная практика среди маркетологов и рекламщиков. Пиксель фиксирует активность потенциальных клиентов на сайте и передает данные специалистам по продвижению для анализа и разработки новых стратегий.
После завершения кампании о пикселе забыли и не удалили его. А он продолжал незаметно перехватывать личную информацию посетителей сайта: имена, номера телефонов, даже конфиденциальные данные о состоянии здоровья из записей на прием к врачам.
Это было грубейшим нарушением GDPR (Общий регламент по защите данных — постановление Европейского Союза) и других норм конфиденциальности. Согласно европейским законам, организации грозил штраф до 4% годовой выручки. А по законам некоторых американских штатов, например Калифорнии, до $7500 за каждую утекшую медицинскую карту
Учитывая тот факт, что организация очень крупная, речь могла идти о десятках миллионов долларов. К тому же репутация клиники пострадала бы непоправимо.
Благодаря случайности, финансовой катастрофы удалось избежать. Компания Reflectiz, разработчик решений для защиты веб-ресурсов, обнаружил ошибку во время плановой проверки сайта клиники.
Инструмент Reflectiz, ScannAR сканирует веб-ресурсы на предмет аномалий. В этом случае он сработал как надо — распознал угрозу и отправил оповещение администраторам. Пиксель вовремя удалили.
Недавно специалисты Reflectiz Для просмотра ссылки Войдиили Зарегистрируйся с описанием проблемы. Одно из основных явлений, которые затрагивает работа — это «дрейф конфигурации».
Дрейф конфигурации возникает, когда текущее состояние сайта со временем все сильнее отклоняется от изначального. Это происходит по многим причинам: из-за ручных изменений кода, обновлений ПО, человеческого фактора.
Дрейф вносит несоответствия и уязвимости в работу веб-ресурсов. Обеспечивать надежную защиту данных в таких условиях довольно трудно.
Чтобы бороться с этой проблемой, компании внедряют специальные инструменты для мониторинга систем, которые помогают своевременно находить ошибки и отклонения от безопасных настроек.
В исследовании упоминаются еще два важных момента.
Первый — это несоблюдение требований PCI DSS v4.0 (Payment Card Industry Data Security Standard), регулирующих защиту платежных данных на сайтах интернет-магазинов.
Второй — нарушения нормативов HIPAA в сфере здравоохранения, защищающих конфиденциальные медицинские сведения. Здесь еще раз подчеркивается серьезность ошибки сотрудников вышеупомянутой клиники, которые игнорировали проблему целых 4 года.
Ошибки конфигурации влекут за собой не только утечки, но и серьезные финансовые риски для всех компаний из-за несоблюдения отраслевых норм.
Одна из крупнейших европейских клиник едва избежала многомиллионного штрафа из-за одного маленького пикселя и невнимательности IT-специалистов.
Несколько лет назад крупная международная сеть медицинских клиник проводила рекламную кампанию и для отслеживания ее эффективности установила на сайт специальный трекинговый пиксель. Это довольно распространенная практика среди маркетологов и рекламщиков. Пиксель фиксирует активность потенциальных клиентов на сайте и передает данные специалистам по продвижению для анализа и разработки новых стратегий.
После завершения кампании о пикселе забыли и не удалили его. А он продолжал незаметно перехватывать личную информацию посетителей сайта: имена, номера телефонов, даже конфиденциальные данные о состоянии здоровья из записей на прием к врачам.
Это было грубейшим нарушением GDPR (Общий регламент по защите данных — постановление Европейского Союза) и других норм конфиденциальности. Согласно европейским законам, организации грозил штраф до 4% годовой выручки. А по законам некоторых американских штатов, например Калифорнии, до $7500 за каждую утекшую медицинскую карту
Учитывая тот факт, что организация очень крупная, речь могла идти о десятках миллионов долларов. К тому же репутация клиники пострадала бы непоправимо.
Благодаря случайности, финансовой катастрофы удалось избежать. Компания Reflectiz, разработчик решений для защиты веб-ресурсов, обнаружил ошибку во время плановой проверки сайта клиники.
Инструмент Reflectiz, ScannAR сканирует веб-ресурсы на предмет аномалий. В этом случае он сработал как надо — распознал угрозу и отправил оповещение администраторам. Пиксель вовремя удалили.
Недавно специалисты Reflectiz Для просмотра ссылки Войди
Дрейф конфигурации возникает, когда текущее состояние сайта со временем все сильнее отклоняется от изначального. Это происходит по многим причинам: из-за ручных изменений кода, обновлений ПО, человеческого фактора.
Дрейф вносит несоответствия и уязвимости в работу веб-ресурсов. Обеспечивать надежную защиту данных в таких условиях довольно трудно.
Чтобы бороться с этой проблемой, компании внедряют специальные инструменты для мониторинга систем, которые помогают своевременно находить ошибки и отклонения от безопасных настроек.
В исследовании упоминаются еще два важных момента.
Первый — это несоблюдение требований PCI DSS v4.0 (Payment Card Industry Data Security Standard), регулирующих защиту платежных данных на сайтах интернет-магазинов.
Второй — нарушения нормативов HIPAA в сфере здравоохранения, защищающих конфиденциальные медицинские сведения. Здесь еще раз подчеркивается серьезность ошибки сотрудников вышеупомянутой клиники, которые игнорировали проблему целых 4 года.
Ошибки конфигурации влекут за собой не только утечки, но и серьезные финансовые риски для всех компаний из-за несоблюдения отраслевых норм.
- Источник новости
- www.securitylab.ru
