Насколько опасны утечки данных? Несет ли среднестатистический пользователь реальный риск, если хакер украл пароль от одного из его аккаунтов?
Оказывается, люди не осознают всей серьезности проблемы утечек информации. Мошенники могут легко найти и использовать слитые данные, которые касаются не только виртуальной, но и реальной личности жертвы.
К такому выводу пришли студенты-исследователи школы инженерных и прикладных наук им. Джона А. Полсона Даша Метрополитански и Киан Аттари.
«Моментальной реакцией на взлом компании является страх и возмущение, но общественное волнение быстро рассеивается, и люди начинают жить своей обычной жизнью», - рассуждает Даша Метрополитански.
«Какой хакер захочет анализировать сотни тысяч вариантов учетных данных и взламывать каждый из них? Большинство из нас считает себя обычными людьми - зачем мошеннику выбирать в качестве цели меня или вас, если мы не отличаемся влиятельностью?»
Исследователи нашли несколько форумов, где хакеры выкладывали скомпрометированные данные в открытый доступ. Они провели анализ тысяч наборов информации, в том числе, включающих «анонимизированные» данные. По их словам, вычисление реальных пользователей по этим сведениям не составляет большого труда.
В даркнете есть сайты, на которых каждый желающий может, к примеру, по скомпрометированной электронной почте пользователя найти все совпадения с ней в других слитых базах.
«Отдельная утечка данных похожа на кусочек пазла. Сама по себе она не представляет опасности, но когда несколько утечек объединены, они образуют удивительно четкую картину личности пользователя», — сообщил исследователь.
Отдельно взятая организация может собирать и хранить только связки «логин-пароль», e-mail и другие сведения аккаунтов, вторая – информацию о геолокации, третья – историю web-браузинга. Если все эти данные не собраны в одном месте, то для пострадавших пользователей нет серьезной опасности. Совсем другая история – единая база, которая включает все перечисленные подробности – по ней можно достаточно четко вычислить личность каждого человека.
По словам Метрополитански, киберпреступнику необязательно держать в голове портрет потенциальной жертвы. Теперь он может искать пользователей для взлома по заданным критериям.
Так, исследователи смогли за несколько секунд собрать информацию более чем о тысяче людей с высоким доходом, состоящих в браке, с детьми, а также имеющих профили на сайтах знакомств.
Можно ли защититься от мошенников?
Как минимум, устанавливать надежные пароли. Также Даша Метрополитански и Киан Аттари советуют не использовать одинаковые связки «логин-пароль» на разных сайтах.
***
Эксперты составили топ-10 самых эксплуатируемых в атаках уязвимостей, подробнее по ссылке.