برنامه کاربردی P2P، اطلاعات شخصی کارکنان را در دسترس عموم قرار داد
فایزر بزرگترین کمپانی داروسازی جهان مورد حمله یک نرم افزار P2P قرار گرفت.
یکی از کارمندان کمپانی فایزر (Pfizer بزرگترین کمپانی داروسازی جهان) با نصب یک نرم افزار غیر مجاز اشتراک فایل (file-sharing) بر روی کامپیوتر دستی متعلق به کمپانی که برای استفاده او در منزل در اختیارش قرار گرفته بود، موجب شد که شماره تامین اجتماعی و دیگر اطلاعات خصوصی 17 هزار تن از کارمندان فعلی و قدیمی این کمپانی در معرض دید عموم قرار گیرد.
کمپانی در طی نامه هایی که برای این کارکنان و گزارشی که به منظور اطلاع رسانی از این رخنه غیرقانونی به مسئولان فرستاده بود چنین اعلام کرده است که از میان این عده، اطلاعات مربوط به 15.700 تن از این افراد واقعا مورد استفاده قرار گرفته و توسط اشخاصی ناشناس در یک شبکه peer-to-peer کپی شده است.
هرچند در حال حاضر مقامات رسمی کمپانی فایزر برای توضیح این مسئله در دسترس نیستند، اما کپی نامه های مذکور در چند وب سایت از جمله Pharmalot که وبلاگی درباره صنعت داروسازی است، درج شده است.
با توجه به اینکه 305 تن از کارکنان کمپانی فایزر در ایالت کانکتیکات از قربانیان این رخنه هستند، این حادثه واکنش فوری ریچارد بلومنتال (Richard Blumenthal) دادستان کل این ایالت را برای بررسی ماجرا برانگیخته است. بلومنتال در نامه ای از فایزر خواسته است تا جزئیات اقدامات امنیتی خود را برای محافظت از خطر کشف اطلاعات، قبل از واقعه اخیر، توضیح دهد و همچنین درباره زمان کشف و چگونگی واکنش خود هنگام وقوع این رخنه به سیستم، اطلاعات کافی در اختیار وی بگذارد.
بلومنتال همچنین در نامه خود از فایزر خواسته بود درباره چگونگی تشخیص اطلاعاتی که واقعا مورد بهره برداری غیر قرار گرفته و اطلاعاتی که تنها احتمال دسترسی به آنها وجود دارد، توضیح دهد. او برای دریافت پاسخ تا 22 ژوئن به فایزر مهلت داده است.
بنابر توضیحات فایزر در نامه فرستاده شده به کارکنان، این اتفاق در اثر استفاده از نرم افزار غیر مجاز اشتراک فایل نصب شده بر روی کامپیوتر دستی یکی از کارکنان رخ داده است. در نامه متعلق به 1 ژوئن که توسط مشاور کل فیزر خانم لیزا گولدمن امضا شده است، اشاره ای به چگونگی کشف این رخنه نفوذی نشده است.
اما او گفته است که کمپانی به محض اطلاع از این واقعه، کامپیوتر ستی مذکور را از کارمند گرفت و نرم افزار اشراک فایل را از کار انداخت. از آنجایی که سیستم خارج از شبکه فایزربه اینترنت وصل شده است، اطلاعات دیگری مورد سوء استفاده قرار نگرفته اند. گولدمن در این نامه از افرادی که به خاطر این واقعه در شرایط ناگواری قرار گرفته اند عذرخواهی کرد.
گولدمن بر این نکته تاکید کرده است که فایزر با داشتن قراردادی برای پشتیبانی و حفاظت با آژانس حسابداری و درجه بندی اعتبار Experian برای تمام اشخاصی که تحت تاثیر این واقعه قرار گرفته اند، میتواند مخارج و ضررهای این افراد را پوشش دهد.
به گفته دوین ردموند (Devin Redmond)، رئیس بخش محصولات امنیتی کمپانی Websense Inc. چنین اتفاقاتی بر اهمیت اجرای موارد امنیتی برای جلوگیری از خروج اتفاقی یا عمدی اطلاعات توسط ابزارهای اشتراک فایل یا برنامه های کاربردی مانند سیستمهای پیام فوری تاکید میکند. این موارد باید شامل پیشگیریهایی از قبیل ***** کردن محتوا در محل اتصال دو شبکه، کنترل شدید بر دسترس افراد به اطلاعات حساس و جلوگیری از دسترسی به برنامه های اشتراک فایل، باشد.
اخبار نفوذ به اطلاعات فایزر با انتشار تحقیقی از دانشکده بازرگانی دانشگاه دارتموث همزمان شد. این تحقیق درباره خطرات موجود در برنامه های کاربردی اشتراک فایل بود و به بررسی اطلاعاتی پرداخته است که هنگام اجرای چنین برنامه هایی و جستجو در آنها بدون اطلاع و تمایل اشخاص جابجا میشود.
تعداد قابل ملاحظه ای از افرادی که توسط سیستمهای peer-to-peer به اشتراک گذاشتن موسیقی و فایلهای دیگر میپردازند، سهوا تمام اطلاعات مربوط به حسابهای بانکی و اطلاعات خصوصی مشابه موجود در کامپیوترهای خود را در اختیار تبهکارانی که در شبکه به دنبال کشف و جمعاوری اطلاعات هستند، میگذارند