В этой статье мы рассмотрим пять из шести самых крупных хищений данных, случившихся за последние шесть лет. Они должны напомнить ИТ-службам, что кто-то всегда стучится в дверь.
Специализирующаяся на обеспечении конфиденциальности в Интернете компания vpnMentor недавно опубликовала одну из тех информационных диаграмм, которые так нравятся маркетологам, под интригующим названием «Самые шокирующие кражи личных данных всех времен» (https://www.vpnmentor.com/personal-data-hacks/). На ней перечислено 11 наиболее крупных краж данных, произошедших за последние пять лет и затронувших более 5 млрд учетных записей (см. рисунок).
Рисунок. Крупные кражи данных за последние пять лет |
Первоочередное внимание на диаграмме уделяется влиянию взломов на потребителей, но между строк читается напоминание о подходах к обеспечению безопасности, рекомендуемых ИТ-специалистам, отвечающим за защиту данных клиентов.
С учетом этих обстоятельств мы рассмотрим пять из шести крупнейших краж в списке и выясним, что они означают для ИТ-специалистов.
Yahoo
Взлом Yahoo не должен никого удивлять. Для компании привычно легкомысленное отношение к приобретенным ею ресурсам, и, как выяснилось, подход к безопасности такой же. Однако взлом Yahoo сопровождался некоторыми любопытными обстоятельствами, начиная с его масштабов. В целом хакеры овладели данными 3 млрд учетных записей, то есть всех до единой учетных записей на серверах Yahoo.
На самом деле взломов было два. Первым был обнаружен взлом, затронувший 500 млн пользователей, который произошел в 2014 году и оставался незамеченным до сентября 2016 года. Но основная атака случилась годом ранее, в 2013 году, и это не было обнаружено до февраля 2017 года. Поначалу считали, что взлом затронул около миллиарда учетных записей, но после того, как контроль над компанией перешел к Verizon, в октябре стало известно, что пострадали 3 млрд учетных записей.
Были украдены: имена, адреса электронной почты и пароли, но не финансовая информация.
Виновники: в марте 2017 года министерство юстиции обвинило во взломе трех россиян, двое из которых считались сотрудниками ФСБ, а один постоянно проживал в Канаде. Был арестован только житель Канады. В ноябре он признал свою роль в правонарушении.
Подробности атаки: хакеры используют подложные файлы cookie, чтобы получить доступ к учетным записям пользователей без пароля.
Урок для ИТ-специалистов: в данном случае основная проблема не в уязвимости, которой воспользовались взломщики, а в том, что Yahoo потребовалось четыре года для обнаружения атаки. Это показывает, как важно группам, ответственным за безопасность, действовать на опережение в поисках следов атаки, а не просто пассивно ждать сигнала тревоги от программы обнаружения атак.
River City Media
Компания River City Media позиционировала себя как добросовестную маркетинговую фирму и ежедневно рассылала миллиард сообщений по электронной почте. Другими словами, занималась спамом.
Были украдены: компания собрала базу данных, содержащую 1,4 млрд учетных записей электронной почты с настоящими именами, IP-адресами пользователей и физическими адресами; вся эта информация предположительно попала в руки других злоумышленников.
Виновники: в данном случае виновата сама River City Media, разместившая базу данных в сети без защиты паролем или иными средствами и предоставившая открытый доступ всем пользователям Интернета.
Подробности атаки: исследователь из MacKeeper Security Research Center случайно обнаружил незащищенную базу данных в январе 2017 года и обратился за помощью в организацию Spamhaus и на сайт новостей кибербезопасности CSO Online. Электронные сообщения от River City внесены в черный список, то есть они не пройдут через такие интернет-службы электронной почты, как Gmail, или корпоративные почтовые серверы благодаря отслеживанию входящих сообщений.
Урок для ИТ-специалистов: к сожалению, нередко приходится сталкиваться с ситуацией, когда ценные данные не защищены даже паролем. Несколько крупных хищений данных произошли из-за того, что к незащищенным данным был открыт всеобщий доступ. Каждый раз, когда вы создаете, перемещаете или копируете в новое место файлы данных, полезно по меньшей мере выполнить выход из системы, а затем попытаться обратиться к данным, чтобы убедиться в действенности мер защиты.
Friendfinder
Вероятно, вы предполагали, что ресурс для взрослых развлечений и романтических свиданий будет защищен всеми средствами, известными человечеству, а по следу взломщика будут немедленно пущены тренированные ищейки — просто для того, чтобы «случившееся в Вегасе оставалось в Вегасе». Однако это не так. Когда в конце 2016 года произошел взлом сайта «только для взрослых», многие неверные супруги с неудовольствием узнали, что их пароли хранились незашифрованными или были зашифрованы с использованием устаревшего и легко взламываемого кода SHA-1. Сколько в результате состоялось разводов, неизвестно.
Были украдены: имена пользователей, адреса электронной почты и пароли из более чем 142 млн учетных записей, в том числе из учетных записей, удаленных пользователями. В частности, пострадали данные из шести баз данных и сайтов Adult FriendFinder, Cams.com и Penthouse. Последнее было особенно неприятно для компании, поскольку она уже не владела сайтом Penthouse, продав его организации Penthouse Global Media.
Виновники: до сих пор не обнаружены.
Подробности атаки: как сообщается, взломщики воспользовались методом включения локального файла, чтобы получить доступ ко всем сайтам сети.
Урок для ИТ-специалистов: как и в случае с кражей данных Yahoo, здесь главная проблема не в том, что хакеры нашли уязвимое место для проникновения в систему. Дело в отсутствующем и очень слабом шифровании, использованном для защиты данных. Кроме того, по очевидным причинам компания не должна была хранить данные Penthouse.
Equifax
Взлом Equifax в 2017 году был одним из двух потенциально самых результативных в истории кибербезопасности (другой — недавнее фиаско Experian). И он же один из самых нелепых. Кредитное агентство, которое хранит подробные сведения почти о каждом жителе США, было взломано, поскольку его специалисты не применили критически важное исправление, опубликованное несколькими месяцами ранее.
Мы не слышали этого от представителей Equifax, но, похоже, украденные данные не были зашифрованы вовсе. Как заявил в интервью Denver Post Эндрю Льюман из компании Owl Cybersecurity (https://www.denverpost.com/2017/09/08/equifax-data-breach-what-happened/), если бы данные были зашифрованы, то, скорее всего, Equifax заявила бы об этом.
Были украдены: записи 143 млн домовладений, в том числе 44 млн жителей Великобритании. Среди украденных данных — номера карт социального обеспечения, даты рождения, адреса, сведения о водительских правах и кредитной карте, то есть почти все необходимые идентификационные данные.
Виновники: об этом остается только гадать, хотя высказываются мнения, что в атаке могли участвовать государственные структуры Китая.
Подробности атаки: сотрудники Equifax не применили исправление для уязвимости Apache Struts, выпущенное в марте прошлого года, за два месяца до взлома.
Урок для ИТ-специалистов: применяйте исправления! К тому времени, когда выпускается исправление для уязвимости, злоумышленникам уже известно о ней (http://www.ioti.com/security/siemens-joins-tenable-critical-infrastructure-protection) и способах ее использования.
Daily Motion
Взлом этого видеосайта поставлен на шестое место на информационной диаграмме vpnMentor, но мы переместили его на пятое, поскольку в данном случае был принят ряд правильных мер безопасности, хотя в них и был маленький изъян.
Большинство паролей, открывающих доступ к учетным записям пользователей, были не только зашифрованы, но и защищены с помощью Bcrypt, что замедляет процесс хеширования, и потребовались бы годы или десятилетия, чтобы восстановить пароли методом подбора. К сожалению, около 20% паролей не были защищены и хранились в виде обычного текста.
Были украдены: данные о 85,2 млн пользователей, в том числе адреса электронной почты, имена пользователей и хешированные пароли.
Виновники: неизвестны.
Подробности атаки: очевидно, похитители данных смогли проникнуть через уязвимое приложение на сайте.
Урок для ИТ-специалистов: независимо от того, насколько надежна защита серверов, в конце концов кто-нибудь найдет лазейку и проникнет в вашу систему. Дополнительные меры необходимы, чтобы, попав внутрь, взломщикам все же было трудно получить доступ к ценным данным. На первый взгляд это очевидно, но, как мы видим, некоторым приходится хорошенько объяснить.
Из этого списка можно сделать вывод, что неуязвимых программных продуктов не существует, то есть любая система может быть взломана. Поэтому невозможно переоценить важность второй и третьей линий защиты, чтобы смягчить любой ущерб, который может быть нанесен целеустремленным взломщиком, проникнувшим в систему.