Блог

Утечка данных – цифровая «чума» 21 века

Еще пару десятилетий назад любая новость об утечке данных или хакерской атаке была бы очень резонансной новостью, достойной заголовков СМИ. Сегодня мы к этому, практически, «привыкли»: нарушения, которые затрагивают миллионы людей, стали распространенными, а утверждение о том, что безопасность не может быть 100%-ной – банальным.

Несмотря на то, что вариации хакерских атак, ведущих к утечке данных, растут как грибы, анализ того, что происходит, так или иначе, может, если не предотвратить очередную ситуацию, то, по крайней мере, подумать о профилактических мерах с технической, юридической и социальной точек зрения.

Случаи утечки данных можно (условно) разделить на две группы:
  • инциденты, когда данные были украдены со злым умыслом,
  • инциденты, когда организация непреднамеренно оставила данные незащищенными и открытыми

И в той, и в другой ситуации, мы задаем вопросы:
  • Что предшествовало?
  • Какие риски можно было предусмотреть?
  • Кто пострадал?
  • Кто несет ответственность?
  • Какова реакция компании на инцидент?

В этой статье мы будем говорить о самых нашумевших случаях утечки данных за последние годы. Известность и масштаб компаний, которые попали в этот список, впечатляет!
Итак,

Adobe
Дата: октябрь 2013 г.
Воздействие: 153 миллиона пользовательских записей.
Подробности: как сообщил в начале октября 2013 года блогер по безопасности Брайан Кребс, Adobe первоначально сообщила, что хакеры украли почти 3 миллиона зашифрованных записей кредитных карт клиентов, а также данные для входа в неопределенное количество учетных записей пользователей.
Позже в том же месяце Adobe повысила эту оценку, включив в нее идентификаторы и зашифрованные пароли для 38 миллионов «активных пользователей». В соглашении, подписанном в августе 2015 года, Adobe должна выплатить 1,1 миллиона долларов в качестве судебных издержек и нераскрытую сумму пользователям для урегулирования исков. В ноябре 2016 года сумма, выплаченная клиентам, составила 1 миллион долларов.

Canva
Дата: май 2019 г.
Воздействие: 137 миллионов учетных записей пользователей.
Подробности: в мае 2019 года австралийский веб-сайт инструментов графического дизайна Canva подвергся атаке, в результате которой были обнаружены адреса электронной почты, имена пользователей, имена, города проживания, а также были обработаны и хешированы пароли для пользователей, не использующих социальные сети, - всего 137 миллионов пользователей. Canva сообщает, что хакерам удалось просмотреть, но не украсть файлы с частичными данными кредитной карты и платежными данными.
 Однако, согласно более позднему сообщению Canva, список из примерно 4 миллионов учетных записей Canva, содержащих украденные пароли пользователей, был позже расшифрован и опубликован в Интернете, что привело к тому, что компания аннулировала неизмененные пароли и уведомила пользователей с незашифрованными паролями.

eBay
Дата: май 2014 г.
Воздействие: 145 миллионов пользователей.
Подробности: eBay сообщил, что в мае 2014 года в результате атаки был раскрыт весь список учетных записей 145 миллионов пользователей, включая имена, адреса, даты рождения и зашифрованные пароли. Гигант онлайн-аукционов заявил, что хакеры использовали учетные данные трех корпоративных сотрудников для доступа к его сети и имели полный доступ в течение 229 дней - более чем достаточно времени, чтобы взломать базу данных пользователей.
Компания попросила клиентов сменить пароли. Финансовая информация, такая как номера кредитных карт, хранилась отдельно и не была скомпрометирована. В то время компанию критиковали за отсутствие связи со своими пользователями и плохую реализацию процесса обновления пароля.

LinkedIn
Дата: 2012 (и 2016)
Воздействие: 165 миллионов учетных записей пользователей.
Подробности: как основная социальная сеть для бизнес-профессионалов, LinkedIn стала привлекательным предложением для злоумышленников, стремящихся провести атаки социальной инженерии. Однако в прошлом он также стал жертвой утечки пользовательских данных.
В 2012 году компания объявила, что 6,5 миллионов несвязанных паролей были украдены злоумышленниками и размещены на хакерском форуме. Тем не менее, только в 2016 году был раскрыт полный масштаб инцидента. Было обнаружено, что адреса электронной почты и пароли около 165 миллионов пользователей LinkedIn предлагались «на рынке» всего за 5 биткойнов (около 2000 долларов в то время). LinkedIn признал, что ему стало известно о взломе, и заявил, что сбросил пароли затронутых учетных записей.

Marriott International
Дата: 2014-18
Влияние: 500 миллионов клиентов.
Подробности: в ноябре 2018 года Marriott International объявила, что злоумышленники украли данные примерно о 500 миллионах клиентов. Изначально взлом произошел в системах, поддерживающих гостиничные бренды Starwood, начиная с 2014 года. Злоумышленники остались в системе после того, как Marriott приобрела Starwood в 2016 году, и не были обнаружены до сентября 2018 года.
Злоумышленники смогли получить некоторую комбинацию контактной информации, номера паспорта, номеров Starwood Preferred Guest, информации о поездках и другой личной информации. Считалось, что номера кредитных карт и даты истечения срока действия более 100 миллионов клиентов были украдены, но Marriott не уверен, смогли ли злоумышленники расшифровать номера кредитных карт. Согласно статье New York Times, взлом в конечном итоге был приписан группе китайской разведки, которая пыталась собрать данные о гражданах США.

Yahoo
Дата: 2013-14
Воздействие: 3 миллиарда учетных записей пользователей.
Подробности: в сентябре 2016 года Yahoo объявила, что в 2014 году стала жертвой крупнейшей утечки данных в истории. Злоумышленники, которых компания считала «спонсируемыми государством участниками», взломали настоящие имена, адреса электронной почты, даты рождения и номера телефонов 500 миллионов пользователей. Yahoo заявила, что большинство взломанных паролей были хешированы.
Затем, в декабре 2016 года, Yahoo раскрыла еще одно нарушение, совершенное в 2013 году другим злоумышленником, которое скомпрометировало имена, даты рождения, адреса электронной почты и пароли, а также вопросы безопасности и ответы 1 миллиарда учетных записей пользователей. Yahoo пересмотрела эту оценку в октябре 2017 года, включив в нее все 3 миллиарда учетных записей пользователей.
Первоначальное объявление о взломе было выбрано неудачно, так как Yahoo находилась в процессе поглощения Verizon, которая в конечном итоге заплатила 4,48 миллиарда долларов за основной интернет-бизнес Yahoo. По оценкам, эти нарушения снизили стоимость компании на 350 миллионов долларов.

Zynga
Дата: сентябрь 2019 г.
Воздействие: 218 миллионов учетных записей пользователей.
Подробности: когда-то гигант игровой сцены Facebook, создатель Farmville Zynga до сих пор остается одним из крупнейших игроков в области мобильных игр с миллионами игроков по всему миру.
В сентябре 2019 года пакистанский хакер заявил, что взломал базу данных Zynga об игроках Draw Something и Words with Friends и получил доступ к 218 миллионам зарегистрированных там учетных записей. Позже Zynga подтвердила, что адреса электронной почты, хэшированные пароли SHA-1, номера телефонов и идентификаторы пользователей для учетных записей Facebook и Zynga были украдены.

Совсем недавно (в сентябре 2020 года) интернет-мир облетела очередная печальная новость: компания SoftServe подверглась хакерской атаке, в результате которой были похищены клиентские данные, исходный код ряда разработок, персональные данные сотрудников, включая скан-копии гражданских и заграничных паспортов.

В официальном заявлении SoftServe сказано: «Это была сложная, многошаговая и таргетированная атака против нашей компании. В результате атаки были повреждены почтовый сервер компании, выведены из строя ряд корпоративных сервисов, скомпрометировано внутренний файловый сервер…»

Несмотря на резонанс новости и самые невероятные гипотезы причин инцидента (от спланированной масштабной атаки до мести обиженных сотрудников), зададим себе вопрос:

Могла ли компания заранее «постелить юридическую солому» и смягчить удар?

Об этом – следующая статья «Data breach или что делать если грянул гром?»


Статьи по теме:
Risk Management и утечка данных
Утечка данных – «чума» 21 века
Data breach или что делать если грянул гром?
Классификация хакеров

Made on
Tilda