2017 год оказался богатым на самые разные утечки информации. Иногда они случались из-за хакерской атаки, иногда по недосмотру персонала. Для вас мы подобрали топ-10 сливов 2017, которые по самым разным показателям показались нам наиболее интересными.
Не нашли в списке утечку, которая особенно вас зацепила? Не стесняйтесь рассказать о ней в комментариях! Итак, поехали.
10. На полном контакте.
В марте 2017 года пользователи Вконтакте смогли получить доступ к разделам сайта, которые доступны только администрации. Произошло это в результате сбоя, длящегося по разным оценкам от пяти минут до получаса.
Взглянув на социальную сеть глазами администратора, пользователи удивились: у модерации, оказывается, есть доступ не только к безобидному баг-трекингу и статистике страницы, но и возможность просматривать приватные фото. В ту мартовскую ночь Рунет тонул в пруфах-скриншотах, доказывающих возможность админов ВК по своему желанию читать личную переписку.
Однако, на следующий день Вконтакте дали ответ на все претензии и свою версию случившегося. Сбой в работе системы — да, был. И в результате ненадолго пользователи получили доступ к некоторым служебным разделам. Но все скриншоты с перепиской — это фейки, ни один модератор не имеет доступа к диалогам. Пресс-секретарь компании раскрыл также подробности работы модерации: у отдельных сотрудников действительно есть возможность просматривать приватные фото. Но все действия этих модераторов тщательно логируются и начинают они проверку только при подозрении, что пользователь распространяет запрещённый контент.
Итак, пользователи смогли взглянуть на ВК глазами администратора. Смогли ли при этом вынести ценную информацию — это мы вряд ли узнаем.
9. Equifax и корпоративная ответственность.
Есть такая компания — Equifax. Занимается она кредитными историями. Совершенно очевидно, что клиентов в мире победившего капитализма у них не просто много, а очень много.
И в сентябре 2017 года Equifax подверглась хакерской атаке, скомпрометированы персональные данные более 145 млн. человек. Чем это обернулось для компании? Корпоративная этика в Equifax сильна! В первую очередь, ИТ-директор и главный офицер безопасности сразу же отправились на пенсию. Как вы понимаете, вовсе не за тем, чтобы дать дорогу молодым. Главный исполнительный директор, видимо по возрасту не дотягивая до пенсии, поспешил уйти в отставку. Правда, захватив неплохой бонус в виде 90 млн. долларов.
Но кадровые перестановки — это не всё, что свалилось на голову Equifax. В результате утечки прямые издержки компании составили 55,5 млн. долларов, а устранение последствий и поддержка клиентов стоили ей ещё 32 млн. И всё это — только на момент ноября! В будущем Equifax пришлось потратиться, по прогнозам руководства, ещё на 56-110 млн. долларов.
Кстати, несмотря на признание вины и взятие на себя финансовой ответственности, компания не избежала бурлений клиентов. Спустя два месяца после утечки, члены американского Союза потребителей принесли к дверям офиса в Атланте петицию. 180 тысяч человек подписалось под требованием оказать максимальную поддержку тем, кто пострадал от утечки.
8. Лица подтянули, а информационную безопасность — забыли.
London Bridge Plastic Surgery — один из ведущих центров пластической хирургии в Британии. В октябре центр подвергся атаке знаменитой группы хакеров, The Dark Overlord. А в результате скандал. И ещё какой! Но обо всём по порядку.
Каким-то образом, хакеры получили доступ к одному из почтовых ящиков LBPS. Что именно они получали? Тут затрудняются ответить даже сами пострадавшие. Зато The Dark Overlord не скрывают: если им верить, то в распоряжение хакеров попали терабайты баз данных, включая имена и фотографии. Хакеры также утверждают, что среди целого вороха знаменитостей были обнаружены данные и королевской семьи. Так что, если вам покажется, что у Елизаветы II кожа как-то неожиданно разгладилась, не сомневайтесь — кругом обман и хирургия.
LBPS оказались не первыми жертвами The Dark Overlord из медицинской индустрии. Эта группа хакеров получила широкую известность после того, как атаковали ряд центров США. Но, конечно, куда больше славы они получили после взлома Netflix.
Однако, на чёрном рынке данных больше всего ценятся именно медицинские записи. Порой цена за одну может достигать 10 долларов. И это неудивительно — мало какая знаменитость захочет, чтобы её болячки стали достоянием общественности.
7. Новый удар по социальным сетям. В этот раз — Instagram.
Социальные сети — излюбленная мишень любого хакера. И в сентябре взломали хорошо всем нам известную “инсту”. Поначалу масштаб бедствия выглядел незначительно, но вскоре владельцы сервиса изменили своё мнение. Всё, на что хватило технического директора: “Пароли не были украдены”.
И в самом деле не были! Для взлома в этот раз была использован баг API социальной сети. Всего жертвами стал примерно 1% пользователей. Цифра выглядит неубедительно? В пересчете, это более 6 млн. аккаунтов.
Пострадали, в первую очередь, знаменитости: Эмма Уотсон, Ди Каприо, Эмилия Кларк, а также другие актёры, музыканты и даже футболисты.
Если злоумышленники не получили паролей от аккаунтов, то в чем по сути заключалась опасность их хакерской атаки? Из-за API с дырками в сеть утекли номера телефонов и электронной почты. В умелых руках с этими данными можно сделать много неприятного — от банального спама до финансовых махинаций и кражи личности. Достойное седьмое место в нашем топе.
6. Шпион в смартфоне.
Когда случается утечка из-за хакерской атаки или по недосмотру безопасников — все относятся с более-менее пониманием. Мол, ну, бывает. Куда обиднее, когда пользовательские данные утекают из-за сознательного желания производителей софта. Вдвойне обидно, если эти данные передаются третьей стороне.
В августе выяснилось, что любимое многими приложение AccuWeather собирает данные, без согласия, о вашем местонахождении: GPS-координаты, BSSID Wi-Fi, к которому подключено устройство, и даже статус Bluetooth. Все эти данные приложение передавало Reveal Mobile. Знаете, чем занимается эта компания? Монетизацией данных о местоположении!
Вину, конечно, никто признавать не хотел. Несмотря на противоположные сведения, в совместном заявлении AccuWeather и Reveal Mobile заявили, что без согласия пользователя данные не собираются. В итоге из приложения что-то там удалили, где-то там переделали, но доверия пользователя уже не вернуть. Особенно после того, как он стал замечать, что таргетированная реклама становится пугающе актуальной.
5. Внезапные хакеры атакуют прошлое!
На пятой строчке нашего персонального топа интересный случай, который доказывает, что в поисках ценных данных виртуальные бандиты готовы залезть в самые неожиданные места наших виртуальных прерий.
Сервис RootsWeb занимается крайне безобидным делом — помогает составлять генеалогические древа. Занятие приятное и где-то даже милое. Но и здесь хакеры смогли увести около 300 тыс. записей! Что забавно, RootsWeb об этом и не подозревали, пока история не получила огласку. Данные были перепроверены и сервис поспешил утешить недовольных клиентов: в сеть утекли в основном старые, давно уже неактивные аккаунты или пробные. Но, думаю, вы согласитесь со мной — отдать свои персональные данные из-за использования триальной версии не менее грустно, чем если их утащат с проплаченного аккаунта.
Однако, простые американские Джоны всё же смогли выдохнуть. По прикидкам, хакеры увели примерно 7 тыс. “живых” аккаунтов. Не такой уж большой улов, но тем не менее — утечка есть утечка, вне зависимости от количества пострадавших.
4. Виртуальный грабёж виртуальных фермеров.
Если вы увлекаетесь криптовалютами, то знаете, что произошло в июле: была взлома Bithumb, крупнейшая платформа по обмену биткоинами в Южной Корее. Но пользуются ею не только корейцы, она входит в список пяти крупнейших бирж. Так что же произошло?
Как сообщили представители Bithumb, хакеры получили доступ к одному конкретному персональному компьютеру сотрудника, а не сети в целом. Иначе говоря, товарищи, “битки” ваши в порядке и лежат нетронутыми. Вот только многие пользователи отметили, что после этого события их кошельки опустели. И неудивительно: по подсчётам, хакеры завладели данными 31.8 тыс. пользователей. Ущерб оказался впечатляющим — миллиарды южнокорейских вон. Есть версия, что атака была нацелена на кошельки сотни инвесторов. Один из пострадавших, кстати, заявил, что лишился 1.2 млрд вон. А если в долларах — примерно 1.1 млн. держатели криптовалют часто становятся жертвами хакеров и многие не знают, как обезопасить свои виртуальные кровные. Обязательно расскажем вам в ближайших материалах.
3. Uber “прокатил” пользователей.
Эдакая квантовая утечка: широко известно о ней стало в ноябре 2017, а произошла она в 2016 году. За всё время работы Uber не раз оказывались в центре скандалов, но в этот раз урон оказался слишком серьёзным.
Вкратце: у Uber увели базу данных, включающую в себя персональные данные 50 млн. клиентов и 7 млн. таксистов по всему миру. Цифры впечатляющие, но в этот раз удивляет не нанесенный ущерб, а поведение руководства в этой ситуации. Почему об утечке стало известно только спустя год? Вместо того, чтобы сразу обратиться к регуляторам и разработать стратегию компенсации пострадавшим пользователям, Uber вступили в переговоры с хакерами. Сообщается, что в общей сложности за неразглашение информации им было выплачено 100 тыс. долларов.
Немного о том, как хакеры вообще добрались до данных. В этот раз они зашли с интересного боку — получили доступ к GitHub разработчиков. После этого они смогли получить учётные данные для входа в аккаунт Uber на облачной платформе Amazon Web Services. А вот уже там, где и обрабатываются все данные компании, они смогли увести базу.
Удивительная халатность Uber — как считаете, заслуживает третьего места?
2. Насколько даркнет действительно дарк?
Здесь речь пойдёт не о конкретной утечке, а скорее об общем уровне нашей информационной не-безопасности в интернете. Знаете какой объём был у самой большой украденной БД на момент 29 ноября 2017 года?
Текстовый файл, размером 41 гб. 252 источника утечек, включая MySpace, LinkedIn и Yahoo. 1.4 млрд персональных данных.
Насколько это много? Это примерно как два Instagram на тот момент. Почти шесть Вконтактов. Один полноценный Facebook. Объём данных настолько огромен, что даже злоумышленникам пришлось бы как следует поломать голову, прежде чем решить, как лучше всего его реализовать. Кто создал эту базу? Как она монетизируется, кроме как донатом? На эти вопросы ответов пока нет. Но этот случай показательный и позволяет примерно оценить урон утечек, которым регулярно подвергаются веб-сервисы.
1. И трон лучшей утечки достается …
Игре Престолов! По разному можно относиться к этому сериалу. нам, например, нравится. В июле HBO потеряли в общей сложности 1.5 тб данных. телефоны, домашние адреса звёзд, электронная переписка вице-президента компании — полный набор.
Но интереснее всего оказалось то, что помимо личных данных, хакеры сумели откусить солидный кусок виртуальной собственности HBO. В него вошли как ещё не вышедшие эпизоды транслируемых шоу, так и сценарии, технические документы, сопутствующий видеоконтент. Как сообщают хакеры, в украденных данных были и те, обнародование которых может нанести существенный ущерб компании.
Надо сказать, HBO повели себя в этой ситуации правильно. Отказавшись платить сумму, равную в переводе из биткоинов в доллары 6 млн., они тут же подключили к расследованию полицию и своих партнеров по информационной безопасности. Но несмотря на отказ заплатить выкуп, HBO не отказались от заигрываний с хакерами: The Hollywood Reporter сообщили, что получили скриншот из переписки вице-президента с похитителями. Он хотел предложить хакерам премию в 250 тыс. долларов за “обнаружение уязвимости”. Манёвр интересный, но, как утверждает издание, стиль письма предполагал не взятку, а именно премию за обнаружение уязвимости.
Бонусный уровень или ещё немного о халатности.
Новость забавная и незначительная, зато отлично демонстрирующая человеческий фактор. В октябре 2017 года перед судом профессионального сообщества предстал помощник руководителя одной юридической фирмы. А всё потому что отправлял любовнице конфиденциальные данные через WhatsApp. Что неудивительно, был признан виновным.
Какой вывод из всего этого можно сделать? Данные любого пользователя нашей всемирной паутины в опасности. В любой момент может случиться утечка, в результате которой ваши личные данные без вашего согласия будут выставлены на торги. Что делать? Паниковать? Крушить роутеры? Съесть смартфон? На самом деле, все куда проще.
В первую очередь — соблюдать правила виртуальной гигиены. Вполне может так оказаться, что вы сами станете виновником потери данных, биткоинов, фото любимой собаки. А во вторую очередь — правильно себя повести в ситуации, когда данные все же были украдены. Методы есть и мы вам обязательно о них расскажем.
В следующих материалах мы расскажем вам о том, как защититься от утечек, что делать при утечке и какие схемы могут быть использованы, чтобы добраться до ваших персональных данных.
Всем хорошего дня! Не фотографируйтесь голеньким, не ставьте подозрительное ПО и следите за своими аккаунтами в соц. сетях.