ru
Назад к списку

2019 близится к концу, личные данные продолжают утекать

21 Октябрь 2019 09:38, UTC
Александр БВ

Если потребуется охарактеризовать отношение человечества к сохранности и безопасности данных несколькими словами, то, скорее всего, они будут такими: беспечность, халатность, безрассудство, некомпетентность. Причина, по которой можно говорить в общем обо всем человечестве сразу, — подход к использованию информации интернационален.

Повсеместно на земном шаре массивы данных собираются, накапливаются и хранятся такими способами и в таких формах, которые удобны тем, кто ими пользуется, а угрозы потери и неправомерного использования затмеваются гонкой за прибылью и узкими интересами государственных и корпоративных структур.

Чтобы осознать важность осторожности и предусмотрительности в отношении лавинообразного потока данных, нужно хоть на секунду остановиться и задуматься, но конкуренция подстегивает к бесконечному движению, поглощению и потреблению: пока ты будешь размышлять, другие отнимут твой кусок пирога. Вероятнее всего, это следствие слишком быстрого развития информационных технологий: всего несколько десятков лет назад возможности современной техники в области генерации и обработки данных казались фантастическими. Этот подарок прогресса свалился на голову людям, которые видят его плюсы, предвкушают выгоды и не замечают угроз.

С другой стороны, тревожные звоночки раздаются давно: глобальные утечки персональных данных, например, случаются все чаще; объемы информации, утекающие к злоумышленникам или просто оказывающиеся доступными любому желающему, растут.

Ниже — несколько иллюстраций этого утверждения: взломы, кражи и факты обнаружения персональных данных в открытом доступе последнего времени.

DoorDash: третья сторона с доступом к базе

4,9 миллиона клиентов, работников и продавцов — данные этих людей стали доступны посторонним в результате действий «неавторизованной третьей стороны». Информация, которая утекла, включает имена, номера телефонов, адреса доставки, четыре последних цифры банковских карт, четыре последних цифры банковских счетов, истории заказов, номера водительских удостоверений и хешированные записи логинов и паролей.

Обнаружена утечка была 4 мая 2019 года, пострадали пользователи и продавцы, зарегистрированные в сервисе до 5 апреля 2018 года. Компания приняла меры для того, чтобы перекрыть доступ к данным своих клиентов для неавторизованных третьих лиц, проконсультировалась с экспертами в области безопасности и усилила меры по контролю информации.

Сбербанк: 60 миллионов — 200 — 5 тысяч

Эксперты по компьютерной безопасности обнаружили в продаже на черном рынке данные 60 миллионов кредитных карт Сбербанка. По крайней мере, о таком количестве утверждал продавец. Расследование, проведенное силовыми органами совместно со службой безопасности организации, выявило виновника утечки — руководителя одного из филиалов банка, который был арестован.

Реальное количество данных клиентов, ставших доступными посторонним, неизвестно. По противоречивым заявлениям самого банка составить картину сложно: первая версия «окончательного» расследования говорила всего о двухстах утекших записях, позже стало известно, что злоумышленник продал данные уже пяти тысяч карт.

Принятые организацией меры: перевыпущены активные кредитные карты. Общее количество активных карт Сбербанка, находящихся в обращении, — около 18 миллионов. Однако есть сомнения в том, что простой перевыпуск карт устранит проблемы для клиентов, данные которых скомпрометированы, ведь среди них были в том числе имя и фамилия, номер паспорта, адрес и место работы, дата рождения, домашний адрес, кредитный лимит. Простой перевыпуск карты не лишит преступников этой информации.

Dunkin' Donuts: удар из прошлого

В сентябре в суд Нью-Йорка поступил иск к этой компании, в котором утверждается, что в Dunkin' Donuts с 2015 года знали, но не принимали мер и не предупреждали клиентов об уязвимости своих систем хранения пользовательских данных к атакам хакеров. Сообщается, что компанией были выпущены специальные карты лояльности, которые их клиенты могли использовать для покупок. Для того чтобы применять эти карты, их необходимо было зарегистрировать в личных кабинетах и соединить с банковскими счетами или картами.

В 2015 году начались хакерские атаки на личные кабинеты пользователей, в результате которых злоумышленникам стали известны данные, привязанные к аккаунтам. В результате этих действий пострадали около 20 тысяч человек.

Спецсвязь: секретные, но неиспользуемые номера

Утечка в этом случае не может соперничать с другими по количеству данных, но иллюстрирует другой вид беспечного отношения к распространению информации. Издание Meduza обнаружило в открытом доступе номера телефонов спецсвязи высших чиновников. Государственный портал госзакупок содержал эти номера в описаниях контрактов.

Проверка, устроенная журналистами, выявила, что все обнаруженные номера, кроме одного, недоступны для звонка. Судя по всему, сами чиновники не очень доверяют уровню секретности, предоставляемому этой системой, и просто не используют ее.

Canva: 139 миллионов пользователей

Графический веб-сервис, который предоставляет австралийская компания, в мае этого года подвергся хакерской атаке. Злоумышленники получили доступ к базе данных пользователей сервиса. Личная информация клиентов, попавшая в руки хакеров, — это имена пользователей, логины, адреса электронной почты, страны проживания, адреса личных вебсайтов и хешированные пароли.

Количество пользователей в базе данных — 139 миллионов. Сообщается также, что злоумышленники могли просматривать информацию о банковских картах клиентов сервиса, зарегистрировавшихся до 28 сентября 2016 года, где можно было увидеть историю платежей, последние четыре цифры номера, имя владельца, дату окончания действия и название компании, выпустившей карту. Сказано, что все эти данные не были скачаны хакерами, они просто могли их просматривать.

Налоговое агентство: все взрослые жители страны

Многоплановая и сложная по организации хакерская атака на серверы налоговой службы Болгарии стоила утечки персональных данных более пяти миллионов жителей страны в июне этого года. Сообщается, что были взломаны несколько серверов, а объем похищенных данных из множества баз позволяет судить о том, что пострадали все взрослые жители Болгарии.

Со стороны налоговой службы был подан иск в размере почти трех миллионов долларов к агентству, обеспечивающему кибербезопасность информационных систем. Эксперты считают, что справедливость претензий обоснована: анализ утечки данных показал, что хакеры использовали довольно примитивные техники взлома.

Достаточно курьезными можно считать прозвучавшие в прессе обвинения в адрес вездесущих российских хакеров: вывод об этом был сделан на том основании, что письмо злоумышленника, предложившего на продажу украденные данные, было отправлено с российского почтового сервиса.

Выводы

Нельзя сказать, что важность проблемы не замечена никем. Европейский GDPR, российский Закон о защите персональных данных, американский CCPA — это примеры того, как государства пытаются навести порядок в круговороте личной информации своих граждан.

Однако, как показывают приведенные выше примеры (которые не являются исчерпывающим списком утечек — их намного больше), этих мер явно недостаточно. Назрела необходимость в комплексном подходе, сочетающем криптографические технологии, блокчейн и прозрачность принципов работы, а Bitnewstoday уже рассказывал о проектах цифровой идентичности, работающих над реализацией такого подхода.

Что должно произойти, чтобы необходимость их внедрения стала очевидна на уровне государств? Возможно, будущие гораздо более масштабные и разрушительные утечки станут таким стимулом.