13 октября 2017

Топ-5 крупнейших утечек c начала года

Бизнес

Утечки персональных данных случаются каждый день. Некоторые из них попадают в новости, некоторые остаются «за кадром». Только в США с начала года утекло не менее 163 млн записей (по данным, собранным некоммерческой организацией The Identity Theft Resource Center с начала этого года). К слову — это в 4 раза больше, чем за весь прошлый год.

Мы решили рассказать о пяти самых крупных утечках, произошедших с начала 2017 года. Для ровного счета — за три первых квартала. По-хорошему, этот список должна была бы возглавлять новость про Yahoo и 3 миллиарда утекших записей. Но, во-первых, эта утечка произошла еще в 2013 году, во-вторых, новость была опубликована уже в октябре, а в-третьих, она просто уточняла масштабы происшествия.

5. Avanti Markets — 1,6 миллиона записей

В июле поставщик решений для продажи снеков в корпоративных обеденных зонах объявил, что некоторые платежные терминалы оказались заражены зловредным приложением. Злоумышленникам удалось заразить часть автоматов достаточно сложным вредоносом, созданным специально для перехвата номеров платежных карт, сроков их действия и кода безопасности (CVV). Как именно им удалось заразить устройства, пока непонятно. В отдельных случаях атакующие могли добраться и до биометрических данных клиентов — некоторые терминалы были оборудованы сканером отпечатков пальцев. Различия в настройке киосков не позволили преступникам охватить всю сеть. По той же причине компания не смогла точно оценить нанесенный ущерб, заявив о том, что было скомпрометировано не менее 1,6 млн записей.

4. Election Systems & Software — 1,8 миллиона записей

В августе эксперты по информационной безопасности обнаружили не защищенный паролем облачный контейнер Amazon Web Services. В нем лежала резервная копия данных компании Election Systems & Software (ES&S), которая производит машины для голосования и системы управления выборами. В общей сложности там содержалось почти два миллиона записей с именами, адресами, датами рождения и партийной принадлежностью жителей штата Иллинойс. По умолчанию доступ к корзинам AWS возможен только после аутентификации, однако в этом случае по неизвестной причине настройки были неверно сконфигурированы, что сделало контейнер общедоступным. Неизвестно, находил ли кто-нибудь этот контейнер до того или эксперты были первыми. Но по сути, личные данные 1,8 млн людей находились в свободном доступе, так что этот случай вполне подходит под термин «утечка».

3. Dow Jones & Company — 2,2 миллиона записей

Случай c Dow Jones & Company мало чем отличается от предыдущего. Опять репозиторий Amazon Web Services с архивом данных. И опять проблема в настройках. Правда, на этот раз данные были доступны не всему миру, а только пользователям AWS. Под угрозой оказались персональные и финансовые данные миллионов подписчиков The Wall Street Journal, Barron’s, прочих газет и журналов одного из крупнейших финансовых информагентств в мире. Удалось ли киберпреступникам получить доступ к данным до того, как настройки облачного контейнера были скорректированы — неизвестно.

2. America’s Joblink – 5,5 миллионов записей

Уязвимость в коде веб-приложения крупного онлайн-сервиса для поиска работы позволила неизвестному хакеру узнать имена, даты рождения и номера социальных страховок (SSN) пользователей из десяти штатов. В феврале преступник создал аккаунт в системе и использовал уязвимость, чтобы получить доступ более чем к 5,5 млн записей с данными соискателей. Взлом обнаружили только через две недели, после чего брешь удалось оперативно закрыть. В официальном пресс-релизе America’s JobLink Alliance уязвимость объясняют «неверной конфигурацией приложения», которая появилась в системе после обновления в октябре 2016 года.

1. Equifax – 145,5 миллионов записей

Ну и главное событие — взлом одного из крупнейших в Америке бюро кредитных историй, Equifax. В сентябре его представители сообщили, что злоумышленники получили доступ к базам данных с именами, SSN, датами рождения и адресами клиентов. Утечка продолжалась с середины мая по конец июля. Для доступа к данным преступники использовали уязвимость в фреймворке Apache Struts 2. По первоначальной оценке, атака коснулась 143 миллионов человек, позже цифру пострадавших скорректировали до 145,5 миллионов. В числе прочего, в ходе этой атаки было скомпрометировано более 209 тысяч номеров кредитных карт, а также документы с личными данными 182 тысяч человек. На самом деле уязвимость, которая привела к утечке, была закрыта компанией Oracle (разработчиком Apache Struts) еще в начале марта, однако в патчи были установлены вовремя не везде.

Давайте внимательно приглядимся к причинам этих пяти крупнейших утечек. В первом случае причина до сих пор неизвестна. В инцидентах с Election Systems & Software и Dow Jones & Company информация была оставлена в открытом доступе из-за неправильной конфигурации. America’s JobLink пострадала из-за ранее неизвестной уязвимости в веб-приложении, а утечка в Equifax случилась даже не столько из-за уязвимости, сколько из-за того, что не были вовремя установлены патчи, ее закрывающие. То есть этих утечек могло бы и не быть, если бы своевременно был проведен аудит информационной инфраструктуры — мероприятие, которое по-хорошему стоит проводить регулярно в компаниях любого размера.