Вечером пятницы российская поисковая система Яндекс, штаб-квартира которой находится в Нидерландах, сообщила что неназванный сотрудник компании был уличен в предоставлении доступа к содержимому почтовых ящиков пользователей почтовой службы Яндекса. Всего было скомпрометировано 4887 учетных записей электронной почты пользователей Яндекс.
Сообщается, что факт утечки и компрометации личных данных был обнаружен в ходе планового аудита программных систем Яндекса, которые проводила команда безопасности. «Этот сотрудник был одним из трех системных администраторов с необходимыми правами доступа для оказания технической поддержки сервиса», – говорится в заявлении Яндекса, опубликованном в его корпоративном блоге.
Компания уже оповестила всех клиентов, в отношении личных данных которых была нарушена безопасность. Сообщается, что обвиненный в инциденте неназванный сотрудник предоставил несанкционированный доступ к почтовым ящикам пользователей третьим лицам в личных целях. Однако Яндекс не раскрыл, было ли это связано с корыстной продажей, или причины предоставления доступа имели иной характер. Также не сообщается о задержании обвиненного в инциденте сотрудника, а только говорится, что Яндекс обратился в правоохранительные органы и передал им соответствующую информацию.
В то же время эксперты рынка отмечают, что нет никаких доказательств того, что во время инцидента были скомпрометированы платежные реквизиты пользователей. Яндекс уведомил затронутых владельцев почтовых ящиков о необходимости изменить свои пароли.
Нет также ясности, когда произошло нарушение, и когда сотрудник начал предлагать несанкционированный доступ третьим лицам. Яндекс только сообщил: «По выявленному инциденту проводится внутреннее расследование и будут пересмотрены процессы работы сотрудников, обладающих административными правами такого уровня доступа. Это поможет минимизировать влияние человеческого фактора на безопасность данных пользователей».
Отмечается, что это уже не первый за последнее время случай эскалации внутренних угроз в технологических компаниях, которые приводят к финансовому и репутационному ущербу.
Например, в декабре 2020 года был потерян контроль над персональными данными жителей Москвы, переболевших COVID-19. В результате инцидента в интернет попали данные о более 100 тыс. человек. Тогда сообщалось, что данные передали третьим лицам сотрудники, обрабатывавшие информацию. Была ли цель передачи связана с продажей данных, не сообщалось.
Другой инцидент был связан с несанкционированными действиями бывшего инженера Cisco. В декабре 2020 года Судхиш Касаба Рамеш был приговорен к 24 месяцам тюремного заключения за удаление 16 000 учетных записей приложения для веб-конференций Cisco Webex. Это было сделано без получения предварительного разрешения, что нанесло компании Cisco ущерб в размере более 2,4 млн долларов, включая 1,4 млн долларов рабочего времени сотрудников Cisco, которым пришлось заниматься восстановлением данных, и выплату 1 млн долларов клиентам за нанесенный им ущерб.
Ранее редакция THG.ru опубликовала статью об искусственном интеллекте. Искусственный интеллект уже давно занял важное место в научно-фантастической литературе и голливудских блокбастерах. Именно они формируют мнение большинства людей о том, что из себя представляет ИИ, и чего от него следует ожидать. Но насколько это мнение соответствует реальному положению вещей? Давайте разбираться. Подробнее об этом читайте в статье “Искусственный интеллект: правда и вымысел”.