В облачном хранилище Amazon 20 мая были обнаружены в открытом доступе данные примерно 49 млн пользователей Instagram. В основном это были аккаунты известных людей, блогеров, а также брендов. База данных содержала номера телефонов и адреса электронной почты.
Логины, пароли, адреса и телефоны, списки покупок или диагнозы — все это можно найти в продаже на форумах DarkNet. Вопрос только в том, скажут ли нам эксперты название компании, допустившей утечку, и найдем ли мы себя в этих списках.
Цель — персональные данные
Рядовой пользователь может себя успокоить тем, что лично он никому не интересен. Но хакеры ломают не ваш компьютер, а государственные сервисы и информационные системы крупных компаний. Вопреки ожиданиям людей, далеких от информационной безопасности, их основная цель не корпоративные или военные секреты, а персональные данные. Например, в январе прошлого года был обнаружен взлом системы регионального управления здравоохранения Южной и Восточной Норвегии (Helse Sør-Øst RHF). Злоумышленники получили доступ к персональным данным и медицинским записям почти 3 млн норвежцев — более половины всех жителей страны. Похищенные медицинские данные содержали информацию о сотрудниках правительства, секретной службы, военных, политиках и других общественных лицах.
В марте 2018 года взлом популярного приложения для фитнеса и учета питания MyFitnessPal, принадлежащего Under Armor, стал причиной утечки данных. По заявлению компании, затронуто около 150 млн пользователей. Злоумышленникам стали известны имена пользователей, адреса электронной почты и хешированные пароли.
Почему так происходит? Первая причина в том, что секреты сложно продать, а персональные данные хотя и стоят дешево, но продаются большими объемами и всегда найдут покупателя. Их можно использовать для мошенничества, фишинга (в том числе и телефонного), а также продажи спамерам.
Например, в июне 2019 года сервис по продаже концертных билетов Ticketfly, принадлежащий компании Eventbrite, сообщил о хакерской атаке на свою базу данных. Клиентская база сервиса была похищена хакером IsHaKdZ, который требовал за ее нераспространение $7502 в биткоинах. База данных содержала имена, почтовые адреса, телефоны и адреса электронной почты клиентов Ticketfly и даже некоторых сотрудников сервиса — всего более 27 млн записей. Трудно оценить, сколько могли стоить данные сразу 92 млн аккаунтов (логины, хеши паролей) израильского генеалогического сервиса MyHeritage, которые утекли в июне 2018 года. Сервис хранит ДНК-информацию пользователей и строит их генеалогические деревья.
Потеря данных без кибератак
Данные теряются необязательно в результате взломов, то есть целенаправленных атак. Иногда происходит утечка данных. Так, в июле 2018 года были публично доступны персональные данные (имена, адреса электронной почты, почтовые адреса и т. п.) из 2 млн счетов американского сотового оператора T-Mobile. К утечке данных привела ошибка в коде взаимодействия между онлайн-магазином Apple и сервером T-Mobile, отвечающим за проверку пользовательских счетов.
Данные утекают отовсюду, поскольку часто они лежат в открытом доступе или в архивах на сетевых ресурсах, находятся в открытых базах данных, передаются между информационными системами без шифрования или авторизации. Злоумышленникам не приходится утруждаться взломами систем: они просто сканируют интернет на предмет «открытых дверей» и собирают «валяющиеся» данные. И примеров громких утечек не меньше, чем взломов.
В марте 2018 года в открытом доступе было обнаружено общедоступное хранилище Amazon S3 (AWS), содержащее резервную копию базы данных с персональной информацией 1,3 млн человек, проживающих в США и Канаде. База данных принадлежала MBM Company Inc — ювелирной компании, базирующейся в Чикаго, и содержала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, пароли, платежные данные и многое другое. В этом случае говорят о «компрометации» данных: возможно, злоумышленники и не нашли их, но нельзя быть в этом уверенным.
Пожалуй, рекорд 2018 года — маркетинговая компания Exactis из Флориды (США), которая держала в открытом доступе базу данных Elasticsearch размером около 2 терабайт, содержащую более 340 млн записей. В базе было обнаружено около 230 млн персональных данных физических лиц (почти всех совершеннолетних жителей США!) и около 110 млн контактов различных организаций.
Корпорации под ударом
Неумышленные ошибки не делают их менее дорогими. Под удар попадают не только отдельные пользователи, но и целые компании.
Ошибка в настройке программы резервного копирования и синхронизации файлов привела к утечке 157 гигабайт конфиденциальной информации таких автопроизводителей, как Toyota, Tesla, GM, Ford, VW и многих других. Данные оставила в открытом доступе канадская компания-производитель роботов Level One Robotics and Controls. Утекли схемы сборочных конвейеров, планы и компоновка цехов, конфигурация роботов, формы запроса доступа для персонала, договоры о неразглашении, персональные данные и документы (водительские удостоверения, паспорта) некоторых сотрудников самой компании, а также инвойсы, контракты и банковская информация.
Что предпринять?
Отгородиться от проблемы нельзя. Даже если вы не покупаете в интернете и вообще им не пользуетесь, ваши данные все равно могут утечь. Диджитализация бизнеса приводит к тому, что даже если вы просто показываете паспорт в турагентстве или платите картой в магазине, потом эти данные могут утекать из третьей компании, которая выполняла для этих предприятий какие-либо работы на аутсорсе.
Исследования показали, что в 2019 году половина из 2000 проверенных серверов с базами данных MongoDB и Elasticsearch давали возможность неавторизованного доступа. При этом на 10% из них содержатся персональные данные или коммерческая информация компаний. Примеры — базы данных системы для турагентств и туристов sletat.ru (паспорта, билеты, данные карт) или сервиса по продаже электронных билетов «Радарио» (ФИО, телефоны и адреса электронной почты покупателей).
Пользователь, который отдал данные сервису, уже никак не может противостоять утечкам. Следует быть к ним готовым: например, не стоит доверять «сотрудникам банка», даже если у них есть ваши паспортные данные.
Сегодня просто невозможно выбрать компанию, которая относится к персональным данным лучше, чем остальные. Системы аудита нет, критериев оценки нет, а главное, современное IT — непрозрачное нагромождение самостоятельных сервисов, каждый из которых может потерять ваши данные.
Бизнесу, безусловно, стоит заняться информационной безопасностью, хотя бы в минимальном приближении, проверив с помощью автоматизированных аудитов, не торчит ли наружу очередная копия базы с клиентскими данными. Мотивация здесь проста: помимо самой потери данных, которая может сильно навредить компании, эта потеря или обнаружение открытых данных, скорее всего, станет публичной. О ней напишут социальные сети и СМИ, и удар по репутации компании будет чувствительным.
Основная надежда в нашей стране, как всегда, на государство. Необходимо ужесточение ответственности за утечки персональных данных, причем не важно, украли их хакеры или просто забыли «запаролить» владельцы. В ЕС первый шаг к этому уже сделан — GDPR предусматривает для компаний, допустивших утечки, штраф до €20 млн, или 4% от глобального годового дохода. В России пока ситуация другая: некоторые законы как будто специально созданы для того, чтобы данными было легче торговать. И пока пробелы не ликвидированы, полностью обезопасить себя от утечек, видимо, невозможно.