По мнению Джона Чемберса, ex-CEO Cisco, есть два вида компаний — те, что были взломаны, и те, которые еще не взломали. Уже в первой половине 2021 года было зарегистрировано 1 767 публичных жалоб об утечке данных по всему миру. Общее количество слитых записей достигло 18,8 млрд. По прогнозу Comparitech, к 2025 году киберпреступность нанесет бизнесам ущерба на $10,5 трлн.
Рассказываем, как из-за масштабных утечек данных мировые компании теряли доверие своих клиентов. По материалам McKinsey, Comparitech, CSO и Security Magazine.
#1. Facebook (2021)
Масштабы утечки: 533 млн записей
В этом году пользователи Facebook получили 533 млн причин не доверять соцсети свои личные данные. В январе Motherboard Media сообщили, что компания Цукерберга была атакована участником киберпреступного форума с низким уровнем угрозы. Злоумышленник использовал телеграм-бот и продавал базы данных с телефонными номерами юзеров Facebook.
Motherboard протестировал бота. После загрузки сообщалось, что он «помогает узнать мобильные номера пользователей Facebook». Также бот позволял ввести телефон и получить соответствующий Facebook ID — и наоборот.
Чтобы завладеть данными, требовалось заплатить. За $20 можно было раскрыть полный номер. Сумма доходила до $5 тыс. для одного желающего получить информацию. Украденная база содержала в себе сведения о пользователях Facebook из США, Канады, Великобритании, Австралии и 15 других стран.
Это не первая утечка данных в Facebook. В сентябре 2019 в сети появилась информация о 420 млн пользователях. Такого рода ущерб приватности может быть результатом монополии самого Facebook и попыток удержать своего клиента. Даже если человек уйдет из соцсети, то останется в дочерних компаниях — Instagram или WhatsApp.
Пользователи теряют доверие к Facebook, но не удаляют свои профили. У них остается вера в «старый Facebook», где можно найти друзей и пообщаться с родными, почувствовать уют и преимущества глобального онлайн-сообщества.
#2. Microsoft (2020)
Масштабы утечки: 250 млн записей
Paul Bischoff, эксперт по безопасности и редактор в Comparitech, заявил, что команда его исследователей обнаружила базу 250 млн учетных записей пользователей Microsoft в открытом доступе. Оказалось, что она оставалась незащищенной на протяжении 14 лет.
Это были журналы обслуживания клиентов поддержкой Microsoft, в которых подробно описывались разговоры между агентами саппорта и пользователями со всего мира. База находилась на сервере Elasticsearch и охватывала записи с 2005 по 2019 год. «Когда я говорю, что данные были незащищенными, я имею в виду, что для входа не требовалась никакая аутентификация», — говорит эксперт. — «Они были доступны для всех, кто наткнулся на них в интернете».
Что содержали записи?
- Адреса электронной почты клиентов
- Журналы службы поддержки
- IP-адреса
- Данные геолокации
- Электронные письма агентов саппорта
- Номера с карточками обращений и решения
- Внутренние заметки, которые были отмечены, как «конфиденциальные»
Microsoft отреагировал на сообщение исследователей по безопасности оперативно. Через 24 часа после поступления информации все серверы были защищены.
Хотите получать дайджест статей?
#3. Estee Lauder (2020)
Масштабы утечки: 440+ млн записей
В 2020 году огромная база данных «косметического гиганта» Estee Lauder оказалась в открытом доступе. Она была размещена на облачной платформе Microsoft Azure. Джереми Фаулер, исследователь по безопасности из консалтингового агентства Security Discovery, обнаружил эти данные. Он отмечает, что сейчас база защищена паролем, но на тот момент безопасность обеспечена не была — и все записи хакеры выгрузили на публичные интернет-ресурсы.
В своем отчете Фаулер зафиксировал урон, нанесенный бренду и его клиентам:
- Похищено 440 336 852 записей и «пользовательские» электронные письма (включая корпоративные почтовые аккаунты домена @estee.com)
- Были обнародованы журналы производства, аудита, CMS, ошибок и промежуточного ПО
- Открыты отчеты и другие внутренние документы
- Вычислены IP-адреса, порты, пути и информация о хранилище, которые хакеры используют, чтобы получить более глубокий доступ в сеть
Представители Estee Lauder заявили, что в этой базе не было потребительских данных. Фаулер утверждает обратное: ему удалось установить личности владельцев электронных адресов, и все они связаны с клиентами или сотрудниками. Расследование кражи данных продолжается.
#4. Пакистанские сотовые операторы (2020)
Масштабы утечки: 115 млн записей
Все данные пользователей пакистанских мобильных операторов «вышли в онлайн» в мае 2020, когда хакер попытался продать 115-миллионную пользовательскую базу за 300 биткоинов (на то время — эквивалент $2,1 млн). Это нарушение произошло сразу же после утечки данных в апреле того же года — тогда злоумышленник выставил на продажу 55 млн пользовательских учетных записей.
Что входило в базу?
- Полные имена клиентов
- Домашние адреса (город, регион, улица)
- CNIC — национальные идентификационные номера
- Номера мобильных и стационарных телефонов
- Даты подписки
В 2020 году следствие по делу об утечке данных вели Управление связи Пакистана (PTA) и Федеральное агентство расследований (FIA). Никаких обновлений по этому делу мы не нашли.
#5. OxyData.io и PDL (2019)
Масштабы утечки: 1,2 млрд записей
В 2019 году 4 терабайта пользовательских данных было обнаружено на поисковом сервере Elasticsearch двумя исследователями безопасности — Bob Diachenko и Vinny Troia. Данные находились в открытом доступе, не защищенные паролем. Исследователи утверждали, что базы принадлежали компаниям People Data Labs (PDL) и OxyData.io.
PDL и OXY — это агрегаторы пользовательских данных. Они легально предлагают бизнесам и агентствам сведения, которые можно применять в продажах, маркетинге или исследованиях.
Согласно Worksighted, база PDL насчитывала около 1,2 млрд уникальных профилей и 650 млн имейлов. Данные OXY относились к 380 млн людей и содержали их LinkedIn-профили. В открытый доступ попали:
- Имена и фамилии
- Электронные адреса (рабочие и личные)
- Телефоны
- Ссылки на персональные профили в соцсетях
Исследователи вышли на контакт с компаниями — и обе отклонили возможность того, что в открытом доступе именно их базы.
#6. River City Media (2017)
Масштабы утечки: 1,4 млрд электронных адресов
В 2017 году исследователь Крис Викери обнаружил крупную утечку информации компании River City Media (RCM). 1,4 млрд электронных адресов оказались в публичном доступе. Также было слито 340 млн пользовательских данных (IP-адреса и сведения о местах фактического проживания). RCM — компания, официально занимающаяся сетевым маркетингом.
Выяснилось, что кто-то из сотрудников RCM забыл установить пароль на репозиторий. Так, Викери нашел в сети масштабную и незащищенную базу данных с электронными адресами, которые компания использовала для спама. Также эксперт, просмотрев логи чатов и внутреннюю документацию организации, выяснил, что сотрудники RCM обсуждали внедрение агрессивной спамерской методики, похожей на утилиту Slowloris. Она смогла бы создать огромную нагрузку на почтовые серверы и заставить принять миллионы «мусорных» писем во входящие.
Невзирая на это, в том же году представители RCM опровергли все обвинения Викери. В марте 2017 компания подала на исследователя в суд, утверждая, что своими заявлениями он намеренно дискредитирует RCM и ее руководителей.
#7. IoT-устройства
Интерес потребителей к интернету вещей вызван тем, что подключенными устройствами удобно пользоваться на расстоянии, и их высокой технологичностью. Как отказаться от преимуществ «умного дома», если можно смотреть смарт-телевизор, транслировать эфиры Netflix или приготовить себе капучино, не вставая с постели?
Колледж компьютерных наук Хури, Массачусетс, провел исследование популярных потребительских IoT товаров от Google, Amazon и Roku. Среди них — смарт-телевизоры, потоковые ключи, интеллектуальные аудиоколонки и беспроводные видеодомофоны.
Исследователи провели 34 586 экспериментов, выясняя, сколько пользовательских данных эти гаджеты собирают, как хранят и куда передают. В результате было обнаружено, что в 72 из 81 случая IoT-устройства обменивались информацией с третьими сторонами, которые никак не были связаны с компанией-производителем. И эти данные включали IP-адреса, спецификации и конфигурации девайсов, а также геолокацию.
Так, в 2019 году, семья из Де-Сото, Миссисипи, заявила, что хакер получил доступ к их домашней камере наблюдения Amazon Ring.
Each time I've watched this video it's given me chills.
— Jessica Holley (@Jessica_Holley) December 10, 2019
A Desoto County mother shared this Ring video with me. Four days after the camera was installed in her daughters' room she says someone hacked the camera & began talking to her 8-year-old daughter.
More at 6 on #WMC5 pic.twitter.com/77xCekCnB0
Сообщалось, что злоумышленник говорил через камеру с 8-летней девочкой, которая находилась в детской. Кроме этого случая, больше 30 человек подали иск на Amazon Ring, жалуясь, что их систему безопасности взломали — и через камеру угрожают убийством, оскорбляют на расовой почве и шантажируют.
#8. Шпионский cкандал вокруг АНБ США (2013)
Метаданные охватывают всю жизнь современного человека — снятие отпечатков при использовании смартфона, сканирование радужки, фотографии, аудио. И кто даст гарантию, что все это не будет использоваться в будущем для подавления личности и нарушения конституционных прав граждан?
В 2013 году с американской журналисткой Лорой Пойтрас связался аноним, который утверждал, что миллиарды коммуникационных соединений в США перехватываются. Анонимом оказался Эдвард Сноуден, инфраструктурный аналитик компании Booz Allen Hamilton, подрядчика АНБ США (Агентства национальной безопасности).
Сноуден согласился дать инсайдерское интервью журналисту Guardian — Гленну Гринвальду. Он заявил, что АНБ предписало телекоммуникационной компании Verizon Communications сдать все записи о звонках 98,9 млн пользователей. Также, согласно внутренним документам АНБ, была запущена сверхсекретная государственная программа PRISM. Она собирала электронные письма, чаты и другие данные непосредственно с серверов 9 мировых интернет-компаний. Среди них — Microsoft, Yahoo, Google, Facebook, Skype, YouTube и Apple.
Сноуден был уверен в том, что АНБ будет оправдывать себя терактом 11 сентября, ведь после трагедии граждане США сами дали разрешение на отслеживание своих персональных данных. Директор АНБ Кит Александр стал защищать концепцию программ слежки за населением, утверждая, что агентство прежде всего заботится о безопасности граждан. Но в декабре 2013 года федеральный окружной суд США признал сбор метаданных неконституционным. Тем не менее уже в 2015 Апелляционный суд США счел действия АНБ законными.
Весь бизнес-контент в удобном формате. Интервью, кейсы, лайфхаки корп. мира — в нашем телеграм-канале. Присоединяйтесь!
Материалы журналистского расследования Guardian по делу «Сноуден — АНБ» можно посмотреть здесь.
Защита пользовательских данных должна быть императивом для компаний. Именно информация о клиентах позволяет бизнесу развиваться. Глобальная диджитализация и появление IoT ускорили процесс сбора сведений о пользователях и улучшили взаимодействие между потребителями и брендами.
Однако диджитализация облегчает хакерам работу — им проще получить доступ к виртуальной информации, которая, например, хранится на облачном диске, чем вручную «вызванивать» жертву. Поэтому хищение данных клиентов компаний, их публичное размещение в интернете и продажа — сейчас самый распространенный вид киберпреступности.
Однако бренды чаще всего не берут на себя ответственность: исследователи безопасности находят эти сведения, а компании отрицают, что базы принадлежат им. В то же время хакер чаще всего остается непойманным — в диджитал-пространстве легко скрывать следы.
Хотите получать дайджест статей?
