Microsoft, Alibaba… Где эти гиганты — и где люди, которые живут свои обычные жизни, интересные только им самим! Но все не так просто.

Взять для примера любую соцсеть: утечка данных коснется вас тоже, даже если вы уже пару лет туда не пишете. Вы входили туда с помощью почты и пароля (на минуточку, такого же для еще нескольких сайтов!), поэтому почта и другие персональные данные скомпрометированы, а собранная злоумышленниками информация будет работать против вас.

Если вам не все равно, что должны о вас знать посторонние, начните с простого: регистрируясь на сайте или в сервисе, обращайте внимание на то, как компании защищают свои данные. Выбирайте надежных и ответственных операторов.

Эксперты «Ростелеком-Солар», национального провайдера кибербезопасности, рассказывают о компаниях и ведомствах, в которых произошли крупные утечки данных, и дают советы о том, как пользователям популярных сервисов правильно реагировать на новости об утечках.

Сервис видеоконференций Zoom

Когда стало известно об утечке: в апреле 2020 года.

Что утекло: 15 000 записей видеозвонков, содержавших частные разговоры пользователей сервиса. На видео люди обменивались новостями, болтали на личные темы, рассказывали психотерапевтам о проблемах, обсуждали на рабочих планерках финансовые отчеты. Учителя проводили уроки для детей начальной школы; руководители малого бизнеса инструктировали подчиненных. Преподаватели по шугарингу показывали на обнаженных моделях, как делать бразильскую эпиляцию.

Куда утекло: злоумышленники (или шутники?) разместили записи на хостингах YouTube и Vimeo; часть записей эксперты по кибербезопасности нашли на незащищенных участках дискового пространства Amazon.

Почему произошла утечка: издание Washington Post, которое первым сообщило о записях в открытом доступе, предположило, что Zoom присваивал звонкам открытые идентификаторы и не шифровал подключение к серверам. Издание Techcrunch утверждало, что сервис называл каждую запись звонка одинаково, и любой желающий с продвинутыми навыками работы в сети мог эти записи обнаружить.

Как отреагировало руководство Zoom:
«Мы признаем, что не оправдали ожиданий общества — и наших собственных — в отношении конфиденциальности и безопасности. Компания была не готова к резкому росту числа пользователей из-за перехода на удаленную работу предприятий по всему миру из-за коронавируса».

Основатель и генеральный директор компании Эрик Юань в блоге компании перечислил, что будет сделано для предотвращения дальнейших утечек: компания на три месяца заморозила работу над новыми функциями: все инженеры и программисты занимались устранением недостатков в системе безопасности. Кроме того, Zoom выпустил подробные гайды для пользователей о том, как минимизировать риски, связанные с возможными утечками в будущем.

Кто виноват: любая компания рассчитывает на рост популярности своих продуктов и услуг, но едва ли Zoom мог предвидеть, что количество пользователей в считанные дни вырастет в десятки раз. Чем крупнее компания, тем больше злоумышленников начинают интересоваться ее прибылями и клиентами. Предвидеть утечку Zoom не мог, но можно было:

  • активнее обучать пользователей азам сетевой безопасности в процессе конференц-звонков и подчеркивать, что записи хранятся на общедоступных серверах компании, поэтому стоит дважды подумать, прежде чем сохранять что-то действительно личное;

  • добавить обязательное требование использовать уникальное имя файла перед сохранением записей.

Онлайн-маркетплейс Alibaba

Когда стало известно об утечке: в июне 2021 года.

Что утекло: 1,1 млрд записей пользователей — ID в системе, номера мобильных телефонов и комментарии в адрес техподдержки.

Куда утекло: представители Alibaba утверждают, что злоумышленник собирал сведения для личных целей — чтобы в дальнейшем их могла использовать консалтинговая компания, которая его наняла. Выходит, что в открытом доступе информация не была опубликована, и пользователи сервиса не понесли финансовых и каких-либо иных потерь.

Почему произошла утечка: в течение нескольких месяцев сотрудник компании-подрядчика, которая консультировала Alibaba по маркетинговым вопросам, собирал данные пользователей с помощью специальной программы для сканирования веб-страниц. Строго говоря, автоматический сбор информации из открытых источников — это не утечка. Утечка — это ситуация, когда информация, предназначенная для определенного круга лиц, случайно или по злому умыслу нарушителя становится доступной более широкому кругу лиц. Но едва ли пользователям соцсетей и онлайн-сервисов интересны подобные тонкости, ведь итог один: вся общедоступная информация о них может быть собрана и использована в мошеннических целях. Именно это произошло с клиентами Alibaba.

Как отреагировало руководство Alibaba:
«Компания выделяет значительные ресурсы на борьбу с несанкционированным сбором информации на нашей платформе, поскольку конфиденциальность и безопасность данных имеют для нас первостепенное значение. Мы проактивно обнаружили и устранили это нарушение».

Представители Alibaba обратились в суд, и тот приговорил злоумышленника к тюремному сроку более 3 лет и штрафу в размере 100 000 юаней. Его наниматель тоже заплатил штраф. Ситуацию освещало издание Bloomberg.

Кто виноват: полностью предотвратить злонамеренные действия сотрудников вряд ли под силам даже самой успешной, ответственной и технически подкованной компании. Но существуют способы, которые усложнят злоумышленнику задачу. Приведем ниже рекомендации от экспертов «Ростелеком-Солар».

«Для предотвращения утечки данных из-за злонамеренных действий сотрудников, компаниям стоит:

— тщательно отбирать сотрудников, работающих с данными, регулярно обучать их, проверять знания и достойно оплачивать их труд;
— организовывать разный уровень доступа к информации, проверять действия сотрудников с помощью специальных программ;
— внедрять в работу DLP-системы, которые в режиме реального времени обнаруживают и предотвращают передачу конфиденциальной информации по различным каналам;
— использовать платформы маркирования документов, которые проставляют визуальные или скрытые метки конфиденциальности на документы, а затем регистрируют все действия пользователей с ними, — благодаря чему проще найти нарушителя конфиденциальности и сократить нанесенный ущерб».

Материал создан в рамках проекта «Твой гид по киберграмотности» при поддержке команды «Ростелеком-Солар» — национального провайдера кибербезопасности. Компания занимает активную позицию в повышении уровня киберграмотности населения и формировании цифровой культуры для бизнеса.

Букмекерская компания Pin-Up.bet

Когда стало известно об утечке: в октябре 2021 года.

Что утекло: 10 млн учетных записей клиентов, которые пользовались услугами букмекера и онлайн-казино, — из них 7,8 млн клиентов из России. В записях содержатся адреса электронной почты и почтовые адреса, даты рождения, номера телефонов, финансовые сведения и даже статистика, из которой можно узнать любимую игру пользователя, в которой он сделал наибольшее количество ставок.

Куда утекло: база выставлена на форуме в Darknet за 10 тыс. долларов в криптовалюте.

Почему произошла утечка: по мнению экспертов по кибербезопасности, злоумышленники взломали сервер букмекерской платформы, воспользовавшись уязвимостью в базе данных.

Как отреагировало руководство Pin-Up.bet:
никак. Деятельность онлайн-казино в России запрещена, сама компания зарегистрирована на Кипре, руководство не светится.

Кто виноват: по мнению экспертов «Ростелеком-Солар», атака была адресной и спланированной, потому что данные букмекерских контор утекают редко. При этом интерес злоумышленников можно понять: во-первых, деньги в этой сфере есть; во-вторых, сами пользователи без раздумий раскрывают много персональной информации, которую можно использовать в мошеннических или рекламных целях.

Логично ожидать, что Pin-Up.bet как оператор персональных данных будет заинтересован в том, чтобы любыми способами защищать пользователей, но в одном из пунктов пользовательского соглашения указано, что компания не несет ответственности за любой ущерб, включая потерю данных. Выходит, виноватых нет — за исключением самих пользователей, которые согласились с такими условиями.

ГИБДД

Когда стало известно об утечке: в октябре 2021 года.

Что утекло: сведения о 50 млн автовладельцев, которые зарегистрированы в Москве и Подмосковье — ФИО, номера телефонов, даты рождения, VIN-коды, номера, марки, модели машин, мощность двигателей, годы постановки на учет.

Куда утекло: база выставлена на форуме в Darknet за 800 долларов.

Как произошла утечка: продавец утверждает, что получил сведения от инсайдера в ГИБДД, но есть и другие версии. Так, утечка могла произойти из менее защищенных региональных баз данных, которые интегрируются с федеральной для выставления штрафов. Или же сведения утекли из баз данных страховых компаний и их подрядчиков.

Как отреагировало руководство ГИБДД:
официального комментария на информацию об утечке, опубликованную в издании «Коммерсантъ», не было.

Кто виноват: эксперты по кибербезопасности признают, что требования, выдвигаемые к государственным ведомствам и связанные с защитой персональных данных, строгие — и такие структуры, как ГИБДД, защищают информацию всеми доступными современными способами. Вот только достичь такого же уровня защиты в региональных и муниципальных ведомствах, которые интегрированы с центральными, сложнее. А от злоумышленника-инсайдера и вовсе не застрахован ни один оператор персональных данных.

Программное обеспечение Microsoft

Когда стало известно об утечке: в январе 2020 года.

Что утекло: 250 млн записей с данными клиентов Microsoft — адреса электронной почты, IP-адреса и сведения об оказанной пользователям технической поддержке.

Куда утекло: сведения были доступны на серверах Elasticsearch до тех пор, пока независимые эксперты по кибербезопасности не предупредили Microsoft об уязвимости.

Как произошла (или могла произойти) утечка: по мнению специалиста по информационной безопасности из компании Security Discovery Боба Дьяченко, была выставлена неправильная настройка в базе данных Elasticsearch — информацию из каталога мог просматривать любой желающий. Дьяченко сообщил о проблеме представителям Microsoft, те сменили настройки и вышли с официальным заявлением.

Как отреагировало руководство Microsoft:
«Неправильная конфигурация, к сожалению, является распространенной проблемой в отрасли. У нас есть решения, помогающие предотвратить такого рода ошибки, но, к сожалению, они не были включены для этой базы данных».

Кто виноват: так называемый человеческий фактор.

Компьютерная игра Nintendo

Когда стало известно об утечке: в мае 2021 года.

Что утекло: сведения с 300 000 аккаунтов — логины пользователей, даты рождения, электронные адреса и платежная информация.

Куда утекло: злоумышленники не выкладывали информацию в сеть, а использовали ее для совершения покупок.

Как произошла утечка: компания стала мишенью хакерской атаки. Подробности публично не обсуждались (вполне вероятно, что для избежания повторений со стороны других «умельцев»), но уязвимостью признали устаревший метод входа в систему Nintendo. Злоумышленники создали точную копию страницы входа с идентификатором Nintendo Network ID. Пострадавшие пользователи потеряли из-за взлома суммы в пределах 300 долларов.

Как отреагировало руководство Nintendo:
«Мы приносим глубокие извинения за неудобства и беспокойство, причиненные нашим клиентам. В будущем мы будем стремиться к укреплению безопасности, чтобы подобные события не происходили».

После взлома компания закрыла возможность входить в систему с помощью NNID.

Кто виноват: от хакерской атаки никто не застрахован, и чем успешнее компания, тем больше желающих «отъять» у нее сверхдоходы или обокрасть ее пользователей.

Чем грозит утечка пользователям сервиса или услуги

Подумаешь, имя, фамилия и адрес электронной почты! Это и так известно большинству ваших знакомых. Значит, опасаться нечего?

Перечислим риски, которые возникают после утечки:

  • нежелательная публичность, потеря репутации, троллинг — если в Сеть утекли разговоры конфиденциального или даже скандального характера;

  • продажа или публикация корпоративных секретов и ноу-хау — если в открытый доступ попали видеозаписи онлайн-звонков;

  • почтовый спам, спам с помощью sms и push-уведомлений;

  • рекламный спам — с использованием таргетинга;

  • огромное разнообразие мошеннических схем и действий, для которых у злоумышленников появляются инструменты и «козыри», — так называемая «социальная инженерия», когда задействуются личные сведения для того, чтобы заслужить доверие жертвы;

  • захват личных страниц, цель которого — шантаж, требование о выкупе или попытка выманить деньги у ваших друзей и подписчиков;

  • проведение фишинговых атак, например, манипуляций, когда с помощью поддельных сайтов злоумышленники выясняют реквизиты банковских карт (разновидностей фишинговых атак очень много).

И, конечно, цель многих злоумышленников — кража денег, а также заработок на продаже вашей персональной информации третьим сторонам.

Что делать, если вы пострадали от утечки

Во-первых, стоит прояснить серьезность ситуации и узнать подробности об утечке: поищите в почте официальные сообщения от провайдеров сервисов и услуг или позвоните на горячую линию. Компании, заинтересованные в том, чтобы сохранить вас своим клиентом, могут дать экспертные советы о том, как свести потенциальный ущерб к минимуму.

Затем выполните действия, перечисленные ниже, — все или в любой комбинации, в зависимости от серьезности утечки и объема информации, доступной злоумышленникам.

  • Выясните, что именно утекло в открытый доступ.

  • Если в результате утечки был скомпрометирован ваш пароль и вы использовали его для других сервисов, смените пароли и там.

  • Настройте двухфакторную идентификацию в скомпрометированных, а также часто используемых сервисах.

  • Если злоумышленники получили ваши данные из соцсетей с использованием специальных программ, это повод задуматься: может, стоит пересмотреть настройки конфиденциальности ваших страниц? Всегда помните, что вся общедоступная информация о вас может быть собрана и использована в мошеннических целях.

  • Будьте бдительнее с любыми звонками с незнакомых номеров и в любых разговорах, в которых вас просят раскрыть какую-либо личную или банковскую информацию. Мошеннических схем сегодня существует огромное множество, но объединяет их одно: в ходе неожиданного звонка из официального учреждения (банка, МВД, службы приставов и т. д.) человека просят срочно совершить какие-либо действия или сообщить какие-то данные. Главный совет — класть трубку и перезванивать в организацию самостоятельно по номеру, указанному на ее официальном сайте.

  • Заблокируйте карту, которую использовали для оплаты сервиса, или платежные данные которой были скомпрометированы.