Google проиндексировал FTP-сервер Йеля
23.08.11, Вт, 12:32, Мск,
Утечка более 40 тыс. записей персональных данных произошла в университете Йеля. Поисковая система Google не впервые создает такие прецеденты.
Йельский университет сообщил о масштабной утечки данных из корпоративной сети: в течение 10 месяцев имена, номера карт социального страхования 43 тыс. преподавателей, сотрудников, студентов и выпускников этого вуза были доступны для просмотра посредством поисковой системы Google.
Все потерпевшие, чьи данные скомпрометированы, связывались с Йельском университетом в 1999 году и пользовались бесплатными сервисами мониторинга идентификации и страхования в течение двух лет, сообщил университет в своем заявлении на прошлой неделе.
Несанкционированный доступ к данным установился, когда FTP-сервер, на котором хранятся данные, стал доступен поисковой системе Google. Это стало возможным после того, как софтверный гигант изменил настройки своей поисковой системы в сентябре прошлого года, сообщила Yale Daily News.
Интернет-издания со ссылкой на заявление CIO Йеля Лена Петерса (Len Peters) сообщили, что FTP-сервер, содержащий скомпрометированную информацию, использовался в основном для материалов открытого типа. В сентябре 2010 года Google внесла изменения, которые позволили поисковой системе производить поиск и индексировать FTP-серверы. Но тогда университетские ИТ-руководители об этом не знали, сказал Петерс. По его словам, когда в июне 2011 года в Йеле обнаружили нарушение системы безопасности, серверы были выведены в автономный режим, важные данные удалены. Была проведена проверка наличия файлов, содержащих данные, аналогичные тем, что были на FTP-сервере.
В заявлении для издания Computerworld, администрация вуза не упоминает о том, каким образом данные были скомпрометированы. Однако, как заявляет руководство университета, была обеспечена защита файлов, а Google подтвердила, что поисковая система более не хранит никакой информации Университет Йеля (Yale University)|Йеля]].
Вуз не сообщает, как удалось обнаружить эти нарушения, получил ли кто-либо доступ к данным вуза через систему поиска Google. Питерс отметил, что в текстах кампуса, которые хранятся в файлах и каталоге, подвергшемся компрометации, хранилась невинная информация с именами, которые вряд ли будут иметь значение без знания контекста.
Это уже второй случай непреднамеренного раскрытия конфиденциальных данных в Интернете, ставший известным общественности, в течение последних двух месяцев. В июне Southern California Medical-Legal Consultants Inc (SCMLC) сообщила, что имена и номера карт социального страхования около 300 тыс. человек, подавших сведения с запросом на компенсацию, потенциально подвергались компрометации. Это также произошло, когда внутренний сервер компании, на котором хранятся данные, начал обрабатываться поисковой системой.
SCMLC узнала о нарушении безопасности от компании Identity Finder, действующей в сфере безопасности. В своем заявлении Identity Finder сообщила, что ее аналитики обнаружили на сервере компании SCMLC, доступном из интернета, около 4 тыс. несжатых файлов, содержащих несколько гигабайт персональных данных.
Согласно заявлению Identity Finder, файлы были не шифрованы, не защищены паролем, а некоторые были кэшированы, по меньшей мере, одной крупной поисковой системой. Впоследствии компания поработала с Google для очистки кэша поисковой системы. На сегодняшний день кэш Google не содержит личной информации из информационной системы SCLMC.
