Что такое утечка данных?
Утечка данных — это инцидент, который приводит к несанкционированному раскрытию конфиденциальной, частной, защищенной или чувствительной информации. Такие утечки могут произойти случайно или намеренно, и в них могут быть вовлечены как внешние злоумышленники, так и сотрудники внутри организации. Похищенная информация может быть использована для финансовой выгоды или для дальнейших атак, что делает утечки данных серьезной угрозой как для частных лиц, так и для бизнеса.
«Утечка данных является результатом кибератаки, позволяющей киберпреступникам получить несанкционированный доступ к компьютерной системе или сети и украсть личные, конфиденциальные или финансовые данные клиентов или пользователей, содержащиеся в них.»
Утечки данных в 2024 году
- Агентство по сбору долгов FBCS слило информацию о 3 миллионах граждан США
- Проникновение в систему Ticketmaster - что вам нужно знать
- База данных о судимостях миллионов американцев выложена в сеть
- Известный сайт утечки данных BreachForums захвачен правоохранительными органами
- Dell уведомляет клиентов об утечке данных
- "Значительная часть" американцев, возможно, подверглась краже медицинских и личных данных в результате взлома системы Change Healthcare
- Как проверить, были ли ваши данные раскрыты в результате утечки информации от AT&T
- AT&T подтверждает, что утечка данных затронула 73 миллиона человек
Как происходят утечки данных?
Эксплойт — это тип атаки, использующий ошибки или уязвимости в программном обеспечении, которые киберпреступники используют, чтобы получить несанкционированный доступ к системе и её данным. Эти уязвимости скрыты в коде системы, и это гонка между преступниками и исследователями в области кибербезопасности, чтобы узнать, кто их найдёт первым.
Преступники хотят злоупотребить эксплойтами, а исследователи, напротив, хотят сообщить о них производителям программного обеспечения, чтобы баги могли быть исправлены. Обычно эксплуатируемые программные продукты включают операционные системы, интернет-браузеры, приложения Adobe и приложения Microsoft Office. Группы киберпреступников иногда пакуют несколько эксплойтов в автоматизированные наборы эксплойтов, которые упрощают преступникам с небольшими или никакими техническими знаниями использование эксплойтов.
SQL-инъекция (SQLI) — это атака, которая использует уязвимости в программном обеспечении управления SQL базами данных на небезопасных сайтах, чтобы сайт выдал информацию из базы данных, которую он на самом деле не должен выдавать. Вот как это работает. Киберпреступник вводит вредоносный код в поле поиска на сайте розничной торговли, например, в котором покупатели обычно вводят запросы на такие вещи, как «топовые беспроводные наушники» или «бестселлеры кроссовок».
Вместо того чтобы вернуться с списком наушников или кроссовок, сайт предоставит хакеру список клиентов и их номера кредитных карт. SQLI — одна из самых несерьёзных атак, для выполнения которой требуется минимальное количество технических знаний. Malwarebytes Labs поставили ранг SQLI третьим в списке пяти самых глупых киберугроз, которые всё же работают. Атака может выполняться с помощью автоматизированных программ. Всё, что нужно сделать атакующим — это ввести URL целевого сайта и расслабиться, пока программа делает всё остальное.
Шпионское ПО — это вид вредоносного ПО, который заражает ваш компьютер или сеть и крадет информацию о вас, вашем использовании Интернета и любые другие ценные данные, которые оно сможет найти. Вы можете установить шпионское ПО как часть, казалось бы, безобидной загрузки (также известное как bundleware). В качестве альтернативы шпионское ПО может проникнуть на ваш компьютер в качестве вторичной инфекции через троян, такой как Emotet.
Как сообщается в блоге Malwarebytes Labs, Emotet, TrickBot и другие банковские трояны нашли новую жизнь в качестве инструментов доставки для шпионских программ и других типов вредоносного ПО. Как только ваша система заражена, шпионское ПО отправляет все ваши личные данные обратно на серверы управления и контроля (C&C), которые управляются киберпреступниками.
Фишинговые атаки работают, заставляя нас делиться конфиденциальной информацией, такой как наши имена пользователей и пароли, часто вопреки нормальной логике и здравому смыслу, используя социальную инженерию, чтобы манипулировать нашими эмоциями, такими как жадность и страх. Типичная фишинговая атака начинается с подделанного или с фальсифицированным электронного письма, которое выглядит так, будто оно пришло от компании, с которой вы ведете дела, или от вашего коллеги, которому вы доверяете. Это письмо будет содержать агрессивный или требовательный язык и требовать выполнения действия, такого как подтверждение платежей или покупок, которые вы не совершали.
Нажатие на предложенную ссылку перенаправит вас на страницу входа, созданную злоумышленниками, для получения вашего имени пользователя и пароля. Если у вас не включена многофакторная аутентификация (MFA), киберпреступники получат все, что им нужно для взлома вашего аккаунта. Хотя электронная почта является наиболее распространенной формой фишинговой атаки, СМС-сообщения и сообщения в социальных сетях также популярны среди мошенников.
Сломанные или неправильно настроенные средства управления доступом могут сделать приватные части веб-сайта доступными для общественности, когда этого не должно быть. Например, администратор сайта онлайн-магазина одежды сделает некоторые внутренние папки на сайте приватными, т.е. папки, содержащие чувствительную информацию о клиентах и их платежах. Однако администратор может забыть сделать связанную с ними поддиректорию также приватной.
Хотя эти поддиректории могут быть неочевидны для среднего пользователя, киберпреступник, используя несколько хорошо составленных поисковых запросов в Google, мог бы найти эти неправильно настроенные папки и украсть содержащиеся в них данные. Это похоже на грабителя, который просто залезает в дом через открытое окно, не требуя большого опыта для этого типа кибератаки.
Зашифрованы ли мои украденные данные?
После утечки данных пострадавшие компании пытаются успокоить своих клиентов, говоря что-то вроде: «Да, преступники получили ваши пароли, но они зашифрованы». Это не очень утешает, и вот почему. Многие компании используют самую простую форму шифрования паролей: несоленое хеширование SHA1.
Хеш и соль? Звучит, как вкусный завтрак. Но применительно к шифрованию паролей это не так уж и хорошо. Пароль, зашифрованный с помощью SHA1, всегда будет шифроваться в одну и ту же строку символов, что делает их легкими для угадывания. Например, «пароль» всегда будет хешироваться как
«5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8», а «123456» будет всегда хешироваться как «7c4a8d09ca3762af61e59520943dc26494f8941b».
Это не должно быть проблемой, так как это два самых худших пароля, и никто не должен их использовать. Но люди используют. Ежегодный список самых популярных паролей от SplashData показывает, что люди не так креативны с паролями, как должны быть. Лидеры списка пять лет подряд: «123456» и «пароль». Аплодисменты всем.
Учитывая это, киберпреступники могут сверить список украденных хешированных паролей со списком известных хешей паролей. С расшифрованными паролями и соответствующими именами пользователей или адресами электронной почты киберпреступники имеют все, что нужно для взлома вашего аккаунта.
Что происходит, когда ваши данные попадают в утечку
Украденные данные обычно попадают в Темную паутину. Как следует из названия, Темная паутина — это часть интернета, которую большинство людей никогда не видят. Темная паутина не индексируется поисковыми системами, и для ее просмотра вам понадобится специальный браузер под названием Tor Browser. Так что на самом деле скрыто?
В основном преступники используют Темную паутину для торговли различными незаконными товарами. Эти рынки на Темной паутине выглядят и ощущаются как обычные интернет-магазины, но знакомый пользовательский интерфейс скрывает нелегальную природу предлагаемого товара. Киберпреступники покупают и продают незаконные наркотики, оружие, порнографию и ваши личные данные. Рынки, специализирующиеся на крупных партиях личной информации, собранной из разных утечек данных, в криминальном жаргоне известны как дамп-шопы.
Самое крупное известное собрание украденных данных, найденное онлайн, объемом 87 ГБ, было обнаружено в январе 2019 года исследователем в области кибербезопасности Троем Хантом, создателем Have I Been Pwned (HIBP), сайта, который позволяет вам проверить, была ли ваша электронная почта скомпрометирована в утечке данных. Эти данные, известные как Collection 1, включают 773 миллиона электронных писем и 21 миллион паролей из множества известных утечек данных. Около 140 миллионов электронных писем и 10 миллионов паролей, однако, были новыми для HIBP, так как не входили в ранее раскрытые утечки данных.
Автор и следователь в области кибербезопасности Брайан Кребс обнаружил, в беседе с киберпреступником, ответственным за Collection 1, что все данные, содержащиеся в дампе, двух-трехлетней давности — как минимум.
Есть ли какая-то ценность в устаревших данных из старого взлома (кроме тех самых 0,000002 центов, за которые продавались пароли из Collection 1)? Да, и немаленькая.
Киберпреступники могут использовать ваш старый логин, чтобы убедить вас, что ваш аккаунт взломан. Этот обман может сработать как часть фишинговой атаки или, как мы сообщали в 2018 году, схемы секс-вымогательства. Злоумышленники заявляют, что взломали веб-камеру и сняли пользователя при просмотре порно. Чтобы выглядеть убедительнее, они добавляют логин и пароль из утечки данных в свои письма. Полезный совет: если бы у преступников действительно было видео, они бы вам его показали.
Если вы используете одни и те же пароли на разных сайтах, вы подвергаетесь опасности. Киберпреступники могут использовать ваш украденный логин с одного сайта, чтобы взломать ваши аккаунты на других сайтах в так называемой атаке с использованием переполнения учетных данных. Преступники будут использовать списки электронных адресов, имен пользователей и паролей, полученные из утечки данных, чтобы автоматизированно пытаться войти на другие популярные сайты, продолжая этот бесконечный круг взломов и краж.
Какие самые большие утечки данных?
Это топ-десятка, в которую никто не хочет попадать. Вот наш список из 10 самых крупных утечек данных всех времен. Вы, возможно, угадаете многие компании из этого списка, но могут быть и неожиданные сюрпризы.
10. LinkedIn | 117 миллионов
Киберпреступники похитили электронные адреса и зашифрованные пароли 117 миллионов пользователей LinkedIn в результате утечки данных 2012 года. Пароли были зашифрованы, верно? Не страшно. К сожалению, LinkedIn использовал этот проклятый SHA1-хэш, о котором мы говорили ранее. Если у вас есть какие-либо сомнения, что ваши украденные пароли не расшифрованы, Malwarebytes Labs сообщали об использовании взломанных аккаунтов LinkedIn в кампании фишинга через InMail.
Эти сообщения InMail содержали вредоносные URL-адреса, которые вели на сайт, подделанный под страницу входа Google Docs, через которую киберпреступники собирали Google имена пользователей и пароли. Все равно лучше, чем время-от-времени копать канаву, как предлагают рекрутеры.
9. eBay | 145 миллионов
В начале 2014 года киберпреступники нажали «Украсть сейчас», когда проникли в сеть популярного сайта онлайн-аукционов и похитили пароли, адреса электронной почты, даты рождения и физические адреса 145 миллионов пользователей. Один положительный момент: финансовая информация с сайта-партнера PayPal хранилась отдельно от пользовательской информации в процессе, известном как сегментация сети (подробнее об этом позже). Это ограничило атаку и предотвратило получение преступниками действительно чувствительной платежной информации.
8. Equifax | 145,5 миллиона
Кредитное агентство Equifax серьезно пострадало в глазах потребителей, когда в 2017 году компания объявила, что пережила утечку данных. Все это можно было предотвратить, если бы Equifax просто обновляла свое программное обеспечение. Вместо этого хакеры воспользовались известной ошибкой в ПО и взломали сайт Equifax.
Что делает утечку данных Equifax ужасающей, так это не её масштаб, хотя масштаб значительный; а скорее, это ценность украденной информации. Злоумышленники похитили имена, даты рождения, номера социального страхования, адреса и номера водительских удостоверений 145,5 миллионов американцев. Добавьте к этому примерно 200 000 номеров кредитных карт, и вы получите одну из худших утечек данных по чувствительности скомпрометированной информации.
7. Under Armour | 150 миллионов
Лозунг компании спортивной одежды Under Armour — «Защитите этот дом». Видимо, они не следовали своему же совету, когда их приложение для диеты и упражнений MyFitnessPal было взломано в феврале 2018 года. В результате киберпреступники украли имена пользователей, электронные письма и зашифрованные пароли 150 миллионов пользователей. Under Armour хорошо среагировала, объявив об утечке данных в течение недели после ее обнаружения. Однако компания использовала слабое шифрование SHA1 для некоторых украденных паролей, что позволило преступникам взломать пароли и использовать их на других популярных сайтах.
6. Exactis | 340 миллионов
Утечка данных Exactis немного отличается, так как нет доказательств, что данные действительно украли киберпреступники. Однако исследователь кибербезопасности, который обнаружил «утечку данных», предполагает, что это могло произойти. В интервью Wired Винни Троиа сказал: «Меня бы удивило, если бы у кого-то еще этого нет». Флоридаская маркетинговая фирма Exactis хранила данные 340 миллионов американцев (это каждый американский гражданин) на незащищенном сервере.
Любой киберпреступник мог бы найти данные, используя специальную поисковую систему Shodan, которая позволяет пользователям находить устройства, подключенные к Интернету. Хотя утечка не включала такие данные, как номера кредитных карт и номера социального страхования, она включала подробную информацию о стиле жизни, такую как религия и увлечения, которые можно было бы использовать в фишинговых атаках.
5. Myspace | 360 миллионов
Помните Myspace? Социальная сеть, которая существовала до Facebook? Если у вас был аккаунт Myspace и вы повторно используете пароли на разных сайтах, вы рискуете. Киберпреступники украли данные о 360 миллионах пользователей Myspace до 2013 года. Это может и не казаться серьезным, но украденные пароли использовали слабое шифрование SHA1, о котором мы продолжаем говорить. Как упоминалось ранее, преступники могут попытаться повторно использовать ваши старые пароли на других популярных сайтах в атаке с использованием переполнения учетных данных.
4. AdultFriendFinder | 412 миллионов
Вы бы подумали, что сайт AdultFriendFinder, известный как «Крупнейшее сообщество для взрослых и свингеров в мире», знал бы о необходимости защиты. Вместо этого киберпреступники пробили защиту сайта и похитили имена пользователей, зашифрованные пароли, электронные адреса, даты последнего визита и статусы членства для 412 миллионов аккаунтов. Предыдущая утечка данных на AdultFriendFinder, пострадавшей 4 миллиона пользователей, включала сексуальные предпочтения и то, искал ли пользователь внебрачный роман. Жуть.
3. Yahoo | 500 миллионов
Yahoo? Скорее, о нет! Yahoo впервые появляется в нашем обратном отсчете благодаря атаке 2014 года на бывшего интернет-гиганта. В период своего расцвета в годы доткомов Yahoo был одним из самых посещаемых сайтов в интернете. Огромный масштаб атак привлек внимание различных злоумышленников.
В результате атаки киберпреступники унесли личную информацию около 500 миллионов пользователей Yahoo. В 2017 году Министерство юстиции США предъявило обвинения четырем россиянам в связи с атакой на Yahoo, двое из которых были чиновниками российского правительства. До сегодняшнего дня только один из россиян оказался за решеткой.
2. Marriott International | 500 миллионов
Как и горничные, хакеры проигнорировали знак «Не беспокоить» и поймали крупнейшую в мире гостиничную компанию Marriott International в неловком положении. Атака Starwood-Marriott 2014 года была обнаружена только в сентябре 2018 года. В течение промежуточных лет киберпреступники имели неограниченный доступ к личной информации 500 миллионов клиентов Starwood-Marriott — всех, кто когда-либо бронировал номера в собственности Starwood, — включая имена, почтовые адреса, номера телефонов, электронные адреса, номера паспортов и даты рождения.
1. Yahoo—снова | 3 миллиарда
Yahoo имеет неприятную особенность быть единственной компанией, дважды попавшей в наш список крупнейших утечек данных. В довершение ко всему, Yahoo также занимает первое место. В августе 2013 года киберпреступники украли данные каждой учетной записи Yahoo в мире — всех трех миллиардов пользователей. Размер этой утечки данных трудно представить.
Более трети населения мира были затронуты. Когда атака впервые была раскрыта в 2016 году, Yahoo утверждала, что из-за утечки данных пострадал только один миллиард пользователей, позже изменив цифру на «все учетные записи пользователей Yahoo» менее чем через год. Время было крайне неудачным. Когда Yahoo объявила обновленные цифры утечки данных, компания находилась в процессе переговоров по приобретению Verizon. Новость об утечке данных позволила Verizon приобрести Yahoo по заниженной цене. Yahoo была куплена Verizon в 2017 году.
Законодательство об утечках данных
Кажется, что мы читаем о новой утечке данных с каждым новостным циклом. Увеличиваются ли утечки данных по частоте, или происходит что-то другое? Одна из возможных причин увеличения количества утечек данных (по крайней мере, видимости увеличения) — это растущая регуляция вокруг того, как мы сообщаем об утечках данных.
С начала тысячелетия правительства по всему миру ввели законы, требующие от компаний и организаций раскрывать информацию после утечки данных. В прошлом пострадавшие стороны могли скрывать информацию об утечке данных настолько долго, насколько хотели.
В Соединенных Штатах нет национального закона, регулирующего раскрытие утечек данных. Однако, начиная с 2018 года, все 50 американских штатов имеют законы об утечках данных. Эти законы различаются от штата к штату, но у них есть общие элементы. А именно, любая организация, находящаяся в центре утечки данных, должна предпринять следующие шаги:
- Оповестить пострадавших об утечке данных как можно скорее.
- Оповестить правительство как можно быстрее, обычно это означает уведомление генерального прокурора штата.
- Уплатить определенный штраф.
К примеру, Калифорния стала первым штатом, регулирующим раскрытие утечек данных в 2003 году. Лица или компании, оказавшиеся в центре утечки данных, обязаны уведомить пострадавших «без неоправданной задержки» и «немедленно после обнаружения». Жертвы могут подать в суд на сумму до 750 долларов, а генеральный прокурор штата может наложить штраф до 7500 долларов на каждую жертву.
Подобные законы были введены в Европейском Союзе и по всему региону Азии и Тихого океана. Facebook стал первой крупной технологической компанией, предположительно нарушившей Общий регламент защиты данных (GDPR) ЕС после того, как объявил о сбое, который дал разработчикам приложений несанкционированный доступ к пользовательским фотографиям 6,8 миллионов пользователей. Facebook не сообщил о нарушении в течение двух месяцев — примерно на 57 дней позже, чем требует GDPR. В результате компания может быть оштрафована на сумму до 1,6 миллиарда долларов.
Что делать, если ваши данные попали в утечку
Даже если вы никогда не использовали ни один из сайтов и служб, перечисленных в нашем списке крупнейших утечек данных, существует сотни более мелких утечек данных, о которых мы не упомянули. Прежде чем мы перейдем к нашим шагам для реагирования на утечку данных, вы можете посетить Have I Been Pwned и убедиться сами. Все, что вам нужно сделать, это ввести свой адрес электронной почты в поисковую строку “pwned?” и потрястись от ужаса, когда сайт расскажет вам о всех утечках данных, в которых вы были замечены.
Стоит отметить, что ваши данные также могут быть частью утечки, о которой широкая общественность еще не знает. Часто утечка данных обнаруживается не сразу, а только через несколько лет.
Как бы то ни было, высока вероятность, что ваши данные были скомпрометированы, и очень вероятно, что они будут скомпрометированы снова.
Теперь, когда вы знаете, что ваши данные где-то на Темной сети, мы создали пошаговый список действий, которые следует предпринять, если ваши данные украдены.
- Запустите бесплатное сканирование цифрового следа с использованием вашего электронного адреса.
- Сбросьте ваш пароль для скомпрометированного аккаунта и всех остальных аккаунтов с тем же паролем. Действительно, не стоит использовать один и тот же пароль на разных сайтах. Используйте наш бесплатный генератор паролей, чтобы создать сильные и уникальные пароли. Менеджеры паролей также могут уведомить вас, когда вы оказываете на поддельном сайте. Хотя страница входа в Google или Facebook может выглядеть настоящей, ваш менеджер паролей не распознает URL и не заполнит ваши учетные данные за вас.
- Следите за своими кредитными счетами. Ищите любые подозрительные действия. Помните, что вы можете бесплатно получить кредитный отчет, один из каждой из трех главных кредитных бюро, каждый год на annualcreditreport.com. Это единственный сайт, авторизованный Федеральной торговой комиссией США для получения бесплатных кредитных отчетов.
- Рассмотрите возможность замораживания кредита. Замораживание кредита затрудняет открытие кредитной линии на ваше имя, ограничивая доступ к вашему кредитному отчету. Вы можете отменить или прекратить замораживание в любое время. Единственная сложность заключается в том, что вам нужно будет контактировать с каждым кредитным бюро по отдельности для введения или снятия замораживания.
- Внимательно смотрите в свой почтовый ящик. Оппортунистические киберпреступники знают, что миллионы жертв любой утечки данных ожидают какой-то информации о взломанных аккаунтах. Эти мошенники воспользуются ситуацией, чтобы отправить фишинговые электронные письма, подделанные под письма от этих взломанных аккаунтов, в попытке заставить вас передать личную информацию. Прочтите наши советы о том, как распознать фишинговое письмо.
- Подумайте о службах мониторинга кредитов. Стоит ли подписываться? Часто после утечки данных пострадавшие компании и организации предлагают жертвам бесплатные услуги по мониторингу кражи личности. Стоит отметить, что такие услуги, как LifeLock и другие, уведомят вас, если кто-то откроет кредит на ваше имя, но они не могут защитить ваши данные от кражи в первую очередь. Если услуга бесплатная, обязательно подписывайтесь. В противном случае, подумайте дважды.
- Используйте многофакторную аутентификацию (MFA). Двухфакторная аутентификация — это самый простой вид MFA, что означает, что вам нужен пароль и ещё один способ аутентификации, чтобы доказать, что вы это вы, а не киберпреступник, пытающийся взломать вашу учетную запись. Например, сайт может запросить ввести ваши данные для входа и ввести отдельный код аутентификации, отправленный по текстовому сообщению на ваш телефон.
Как я могу предотвратить утечки данных?
Штрафы, затраты на устранение последствий, юридические расходы, иски и даже выплаты по вымогательскому ПО, связанные с утечкой данных, складываются в значительную сумму денег. Исследование Ponemon Cost of Data Breach 2018 года показало, что средняя стоимость утечки данных составляет около 3,9 миллиона долларов, что на 6,4 процента больше, чем в предыдущем году. Цена за каждую украденную запись составила 148 долларов, что на 4,8 процента больше, чем годом ранее. Согласно тому же исследованию, вероятность того, что вы испытаете утечку данных, составляет один шанс на четыре.
Не разумно ли проявлять проактивность в вопросах безопасности данных и избегать утечки в первую очередь? Если вы ответили «да», и мы надеемся, что это так, вот несколько лучших практик, которые помогут обезопасить ваш бизнес и данные.
Практикуйте сегментацию данных. На плоской сети данных киберпреступники могут свободно перемещаться по вашей сети и красть каждый байт ценных данных. Применяя сегментацию данных, вы замедляете преступников, давая дополнительное время во время атаки и ограничивая скомпрометированные данные. Сегментация данных также помогает с нашим следующим советом.
Применяйте принцип наименьших привилегий (PolP). PolP означает, что каждая учетная запись пользователя имеет доступ только настолько, насколько необходимо для выполнения своей работы, и ничего больше. Если одна учетная запись будет скомпрометирована, киберпреступники не получат доступа ко всей вашей сети.
Инвестируйте в программное обеспечение для защиты от кражи личных данных. Мы будем отслеживать, где могут быть открыты ваши личные данные, и уведомим вас о рисках.
Установите надежное решение для кибербезопасности, такое как Malwarebytes Premium. Если вам не повезло и вы перешли по вредоносной ссылке или открыли плохое вложение, хорошая программа кибербезопасности сможет обнаружить угрозу, остановить загрузку и предотвратить попадание вредоносного ПО в вашу сеть.
Связанные статьи: Что такое RCS-сообщения?