2019 близится к концу, личные данные продолжают утекать
Если потребуется охарактеризовать отношение человечества к сохранности и безопасности данных несколькими словами, то, скорее всего, они будут такими: беспечность, халатность, безрассудство, некомпетентность. Причина, по которой можно говорить в общем обо всем человечестве сразу, — подход к использованию информации интернационален.
Повсеместно на земном шаре массивы данных собираются, накапливаются и хранятся такими способами и в таких формах, которые удобны тем, кто ими пользуется, а угрозы потери и неправомерного использования затмеваются гонкой за прибылью и узкими интересами государственных и корпоративных структур.
С другой стороны, тревожные звоночки раздаются давно: глобальные утечки персональных данных, например, случаются все чаще; объемы информации, утекающие к злоумышленникам или просто оказывающиеся доступными любому желающему, растут.
DoorDash: третья сторона с доступом к базе
4,9 миллиона клиентов, работников и продавцов — данные этих людей стали доступны посторонним в результате действий «неавторизованной третьей стороны». Информация, которая утекла, включает имена, номера телефонов, адреса доставки, четыре последних цифры банковских карт, четыре последних цифры банковских счетов, истории заказов, номера водительских удостоверений и хешированные записи логинов и паролей.
Обнаружена утечка была 4 мая 2019 года, пострадали пользователи и продавцы, зарегистрированные в сервисе до 5 апреля 2018 года. Компания приняла меры для того, чтобы перекрыть доступ к данным своих клиентов для неавторизованных третьих лиц, проконсультировалась с экспертами в области безопасности и усилила меры по контролю информации.
Сбербанк: 60 миллионов — 200 — 5 тысяч
Эксперты по компьютерной безопасности обнаружили в продаже на черном рынке данные 60 миллионов кредитных карт Сбербанка. По крайней мере, о таком количестве утверждал продавец. Расследование, проведенное силовыми органами совместно со службой безопасности организации, выявило виновника утечки — руководителя одного из филиалов банка, который был арестован.
Реальное количество данных клиентов, ставших доступными посторонним, неизвестно. По противоречивым заявлениям самого банка составить картину сложно: первая версия «окончательного» расследования говорила всего о двухстах утекших записях, позже стало известно, что злоумышленник продал данные уже пяти тысяч карт.
Dunkin' Donuts: удар из прошлого
В сентябре в суд Нью-Йорка поступил иск к этой компании, в котором утверждается, что в Dunkin' Donuts с 2015 года знали, но не принимали мер и не предупреждали клиентов об уязвимости своих систем хранения пользовательских данных к атакам хакеров. Сообщается, что компанией были выпущены специальные карты лояльности, которые их клиенты могли использовать для покупок. Для того чтобы применять эти карты, их необходимо было зарегистрировать в личных кабинетах и соединить с банковскими счетами или картами.
В 2015 году начались хакерские атаки на личные кабинеты пользователей, в результате которых злоумышленникам стали известны данные, привязанные к аккаунтам. В результате этих действий пострадали около 20 тысяч человек.
Спецсвязь: секретные, но неиспользуемые номера
Утечка в этом случае не может соперничать с другими по количеству данных, но иллюстрирует другой вид беспечного отношения к распространению информации. Издание Meduza обнаружило в открытом доступе номера телефонов спецсвязи высших чиновников. Государственный портал госзакупок содержал эти номера в описаниях контрактов.
Проверка, устроенная журналистами, выявила, что все обнаруженные номера, кроме одного, недоступны для звонка. Судя по всему, сами чиновники не очень доверяют уровню секретности, предоставляемому этой системой, и просто не используют ее.
Canva: 139 миллионов пользователей
Графический веб-сервис, который предоставляет австралийская компания, в мае этого года подвергся хакерской атаке. Злоумышленники получили доступ к базе данных пользователей сервиса. Личная информация клиентов, попавшая в руки хакеров, — это имена пользователей, логины, адреса электронной почты, страны проживания, адреса личных вебсайтов и хешированные пароли.
Количество пользователей в базе данных — 139 миллионов. Сообщается также, что злоумышленники могли просматривать информацию о банковских картах клиентов сервиса, зарегистрировавшихся до 28 сентября 2016 года, где можно было увидеть историю платежей, последние четыре цифры номера, имя владельца, дату окончания действия и название компании, выпустившей карту. Сказано, что все эти данные не были скачаны хакерами, они просто могли их просматривать.
Налоговое агентство: все взрослые жители страны
Многоплановая и сложная по организации хакерская атака на серверы налоговой службы Болгарии стоила утечки персональных данных более пяти миллионов жителей страны в июне этого года. Сообщается, что были взломаны несколько серверов, а объем похищенных данных из множества баз позволяет судить о том, что пострадали все взрослые жители Болгарии.
Со стороны налоговой службы был подан иск в размере почти трех миллионов долларов к агентству, обеспечивающему кибербезопасность информационных систем. Эксперты считают, что справедливость претензий обоснована: анализ утечки данных показал, что хакеры использовали довольно примитивные техники взлома.
Выводы
Нельзя сказать, что важность проблемы не замечена никем. Европейский GDPR, российский Закон о защите персональных данных, американский CCPA — это примеры того, как государства пытаются навести порядок в круговороте личной информации своих граждан.
Что должно произойти, чтобы необходимость их внедрения стала очевидна на уровне государств? Возможно, будущие гораздо более масштабные и разрушительные утечки станут таким стимулом.