14 февраля 2014

Наиболее массивные утечки данных 2013 года: без случайных жертв

Бизнес

2013 год сегодня в СМИ называют «годом утечек персональных данных», и совершенно обоснованно: за прошлый год в руки злоумышленников попали данные нескольких сотен миллионов (!) человек. В этой публикации мы перечислим крупнейшие инциденты, связанные с утечками личных данных, прошлого года и попытаемся выяснить, есть ли между ними что-либо общее.

Год начался со скандала, связанного с длительными атаками китайских хакеров из группировки APT1 на серверы изданий New York Times и Washington Post. Злоумышленникам достались как минимум захэшированные пароли всех сотрудников New York Times.

Атакованному (в феврале) Twitter повезло ещё меньше: злоумышленникам, по оценкам администраторов самого сервиса, могли достаться пользовательские имена, почтовые адреса и зашифрованные пароли примерно 250 тысяч пользователей. Пароли хранились в «засоленном» виде, так что расшифровать их не так просто.

В феврале же Служба Федерального резерва США объявила, что печально известные «хактивисты» Anonymous смогли проникнуть на несколько серверов, принадлежащих правительственным структурам, и уволочь оттуда (и сразу же опубликовать) личные данные 4600 высокопоставленных банковских служащих: логины, IP-адреса, контактную информацию.

В марте популярнейший сервис Evernote разослал всем своим 50 млн пользователей сообщение о необходимости смены паролей. Связано это было с несанкционированным проникновением во внутреннюю инфраструктуру компании: злоумышленники смогли получить доступ к логинам, привязанным к ним почтовым адресам и хэшам паролей, которые Evernote, по счастью, хранил в «засоленном» виде.

Также в марте произошла массированная утечка пользовательских данных из американской продуктовой сети Schnucks Market: как выяснилось, злоумышленники насажали в 79 магазинах торговой сети вредоносное ПО, которое перехватывало данные кредитных карт с платёжных аппаратов до того, как они шифровались системой процессинга компании. В результате кредитные карты двух миллионов человек оказались под угрозой.

В апреле хакеры смогли получить доступ к личным данным 50 или 70 млн пользователей сервиса LivingSocial, таким как имена, почтовые адреса, дни рождения и зашифрованные пароли. До кредитных карт и банковской информации добраться злоумышленники не смогли. К сожалению, и та личная информация, которая им досталась, вполне может использоваться для совершения противозаконных действий, например, она очень полезна при спиэр-фишинге.

midpic1

О случившемся в мае инциденте с популярной CMS Drupal, в результате которого под угрозой оказался миллион пользовательских паролей, мы уже писали в прошлом году. Drupal разослал всем своим пользователям уведомление о необходимости сменить пароль.  Против сайтов на WordPress работал крупный ботнет, пытавшийся с помощью брут-форса выбить логины и пароли; насколько успешной была эта кампания, сказать сложно.

В мае Административное управление судов штата Вашингтон объявило, что неизвестным взломщикам могли достаться до 160 тысяч номеров свидетельств социального страхования, а также один миллион водительских прав. Серьёзность утечки усугублялась ещё и тем, что эти данные относились к людям, арестованным в 2011-2012 годах или получившим взыскание за нетрезвое вождение — в период с 1989 по 2012 годы. Каким образом злоумышленники могут воспользоваться столь компрометирующими данными, долго думать не нужно.

В мае японское подразделение Yahoo! Japan претерпело несанкционированное вторжение в административную панель. Под угрозой оказались идентификаторы 22 млн пользователей. Пароли злоумышленникам, впрочем, не достались.

Зато в июне-июле японский сервис Club Nintendo, связанный со знаменитой игровой компанией, оказался взломан; скомпрометированные данные включали полные имена пользователей, телефонные номера и домашние и почтовые адреса. Кредитная информация хранилась отдельно, злоумышленники до неё не добрались. Интересно, что в сервис пытались вломиться очень долго: между 9 июня и 4 июля были предприняты 15 миллионов попыток. 24 тысячи (!) оказались успешными. Количество потенциальных пострадавших не уточняется.

В августе случилась колоссальная утечка данных из Adobe: украдены личные и платёжные данные 38 млн. пользователей (по окончательным оценкам), и, что того печальнее, исходные коды множества программных продуктов компании, в том числе Adobe Acrobat, ColdFusion, ColdFusion Builder и других.

Эксперты по безопасности из компании Hold Security объявили об обнаружении свыше 40 Гб зашифрованных архивов, в которых содержатся исходные коды продуктов Adobe, на серверах, принадлежащих хакерам, ранее взломавшим LexisNexis, Kroll, NW3C и другие ресурсы. Об атаке стало известно только в октябре.

В ноябре взлому подвергся форум поклонников продукции компании Apple MacRumors: вероятно (хотя и не точно) злоумышленникам достались имена, пароли и почтовые адреса 860 тысяч пользователей ресурса. Пароли, к счастью, были захэшированы, однако администраторы MacRumors заявили, что если пароли не слишком сложные, они вполне могут поддаваться брут-форсу. Получить доступ к данным хакерам удалось путём взлома модераторского аккаунта.

Своеобразным финальным аккордом года оказалась утечка 70 млн данных посетителей розничной сети Target, одной из крупнейших сетей в США. Как и в случае со Schnucks Market, предположительно использовалось вредоносное ПО, которое перехватывало данные кредитных карт с платёжных аппаратов. По первоначальным сообщениям, злоумышленникам достались номера и информация о сроках действия кредитных и дебетовых карт, CVV-коды и даже PIN-номера 40 млн покупателей. Затем стало известно, что дополнительно утекли имена, почтовые адреса и телефонные номера ещё более значительного числа людей. Для Target это оказалось сущей катастрофой, как финансовой, так и репутационной.

midpic2

Исходя из всего вышесказанного усматривается, в общем-то, только одна, но ключевая закономерность: жертвы не были случайными. Утечки произошли вследствие целенаправленных действий, иногда занимавших довольно продолжительное время. Закономерность вторая: миллионные утечки стали обычным делом, хотя до «рекордов», таких как взлом Heartland Payment Systems 2009 года, когда разом утекли 130 млн номеров карт пользователей, в данном случае не дошло.

013 год сегодня в СМИ называют «годом утечек персональных данных», и совершенно обоснованно: за прошлый год в руки злоумышленников попали данные нескольких сотен миллионов (!) человек.

Из хороших новостей: прогресс в обеспечении защиты пользовательских данных какой-никакой всё-таки есть. Как видим, в большинстве случаев, по крайней мере, пароли и платёжная информация хранились в зашифрованном/захэшированном/засоленном виде. Можно ли считать эти меры достаточными? Сегодня пользователи выкладывают колоссальной количество данных о себе (достаточно взглянуть на социальные сети). Тщательному зломышленнику не так сложно набрать достаточное количество данных – из открытых и закрытых источников — для того, чтобы осуществить успешную спиэр-фишинговую атаку. Так что хакеры сегодня заинтересованы в любых личных данных — их все можно использовать для того, чтобы тем или иным образом причинить кому-то вред. А следовательно, в бережном хранении нуждаются любые пользовательские данные.

Обеспечение безопасности тут должно включать все возможные опции: шифрование и данных на всех этапах (как видим на примере Target и Schnucks, злоумышленники умеют перехватывать сведения прямо с платёжных терминалов), скрупулёзный аудит стороннего ПО, если таковое используется, применение автоматических защитных средств, например, технологий автоматической блокировки эксплойтов, которые позволяют предохраняться и от использования уязвимостей нулевого дня.

И опять-таки, необходимо обучение персонала — и пользователей тоже — азам сетевой безопасности: пароли должны быть уникальными, длинными и не поддающимися перебору по словарю. Со стороны пользователей для этого требуются минимальные усилия (хотя самим юзерам они подчас кажутся непосильными), но с их помощью можно уберечься от очень крупных неприятностей.