История Yahoo
Больше 10 лет назад сервисы компании Yahoo были взломаны. В России этот «гигант» не так известен, но за океаном она – важная часть ИТ-ландшафта. Причиной стало простое фишинговое письмо.
Сначала речь шла о компрометации 500 миллионов аккаунтов, но к моменту продажи Yahoo американской телекоммуникационной компании Verizon выяснилось, что атакованы были все 3 миллиарда учетных записей. На протяжении трех лет, пока шло разбирательство, хакеры имели доступ к данным пользователей, которые и не думали сменить пароли.
В этой конкретной ситуации я бы разделил вину и ответственность. Безусловно, безопасники Yahoo плохо вели работу со своими пользователями и скорее всего не имели надежного плана по устранению угрозы – это их вина и некомпетентность. Но часть ответственности есть и на самих юзерах, потому что менять собственные пароли или даже удалять неиспользуемые профили – зона ответственности клиентов компании.
Сегодня фишинг – это решаемая задача. Фильтры ссылок в почте, всевозможные EDR и XDR, изоляция критических ИТ ресурсов – современные инструменты защиты не дали бы довести ситуацию до катастрофы.
Опыт UIDA
Еще один интересный пример – взлом системы идентификации граждан и резидентов Unique Identification Authority of India (UIDA). Если в России внедрение биометрии и хранение всех биометрических данных на государственном уровне только обсуждается, то в Индии уже создали самую крупную в мире систему биоидентификации.
Сейчас эта база взломана, а утекшие данные продают за 5 долларов США. Атака произошла в момент установки хакерами патча, который отключал определенные функции безопасности. Ситуация до сих пор остается настолько критической, что местные аналоги МВД и банки не рекомендуют биометрию как основной способ аутентификации при проведении операций. При этом и те, и другие понимают, что пароль мы можем сменить, сертификат отозвать, а вот новых пальцев и глаз у нас нет и не будет.
Всей этой ситуации не было бы при грамотно выстроенной работе с обновлениями и правильным управлением уязвимостями. Это серьезная инженерная задача, которая решается с помощью современных сканеров и систем контроля за программным обеспечением. Технические решения, грамотные инженеры и регулярный аудит дают самые благоприятные результаты.
О том, какие ошибки администраторы сайтов допускают чаще всего, и как правильно собирать персональные данные, писала «Сфера».
Еще одна страшилка – утечка из Facebook* в 2019 году личных данных 419 миллионов пользователей. Это не первая и не последняя утечка из соцсетей, и рядовые пользователи уже как-то даже привыкли к подобному, но на тот момент она считалась одной из самых масштабных. Резонанс был обусловлен, прежде всего, бешенной популярностью платформы во всем мире.
Кроме обычных пользователей пострадали публичные персоны. Meta** тогда получила штраф, а люди вспомнили о том, что оставлять такой большой пласт информации о себе в социальных сетях совершенно не обязательно. Есть множество правил, которые позволяют существовать в них с минимальными потерями.
Для пользователей, кроме самодисциплины, существует огромное количество инструментов – от проверки используемых паролей, до всевозможных расширений для браузера, регистрирующих подозрительную активность.
Меньше знаешь...
Российские компании тоже не отстают, хотя в нашем случае есть особенность – мы практически никогда не знаем, как именно был произведен взлом. Строго говоря, мы и об утечках узнаем, лишь когда слитые данные всплывают на продажу в даркнете.
Так, утечки из того же «Бургер Кинга» или «Детского мира» произошли достаточно давно, они содержат огромное количество верифицированных персональных данных, однако если бы не объявление об их продаже, мы бы вообще ничего не узнали про инцидент.
И это еще один аспект – правовой. По-хорошему операторы персональных данных должны оповещать своих клиентов о том, что случилось что-то нехорошее или даже есть подозрение. Так юзеры смогут сменить пароли или предпринять другие действия для защиты своих личных данных. О том, как операторы по обработке данных и их клиенты могут обезопасить себя от взлома, читайте в материале «Сферы».
В СМИ мы еще не раз увидим новости про утечки баз данных компаний, на которые потом будут наложены штрафные санкции. Но это не значит, что мы не должны минимизировать потери. Нам нужно научиться делать такие случаи единичными, тем более, что все инструменты для этого есть.
О тенденциях в сфере защиты персональных данных можно ознакомиться, перейдя по ссылке.
*Facebook принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ
**Признана экстремистской организацией и запрещена в РФ
