28 января 2015

Персональные данные: самые громкие утечки 2014 года

Новости

Ежегодно данные миллионов пользователей похищают, сливают в Интернет, продают на черном рынке и используют для собственного обогащения. Получить доступ к информации злоумышленники могут самыми разными способами: взломать сервера компании или использовать фишинговые сайты и другие сторонние сервисы для сбора данных. Нередко хакерам помогают изнутри: например, сотрудники могут осознанно открыть доступ к данным или выбросить в мусорную корзину распечатки с персональными данными клиентов. Сами пользователи также частенько облегчают работу хакерам.

Data Privacy Day: 2014's Top P

Редакция Kaspersky Daily подготовила к Международному дню защиты персональных данных обзор самых громких утечек персональных данных за 2014 год.

Магазины под угрозой

За 2014 год немало пострадали клиенты крупных онлайн и офлайн розничных сетей. Атакам хакеров подверглись три крупные розничные сети за рубежом. В январе компания Target сообщила о краже номеров банковских карт и PIN-кодов, а также номеров телефонов, адресов электронной и обычной почты 70 млн клиентов.

Следом в марте 2014 года пострадал известный международный поставщик профессиональных косметических товаров Sally Beauty. Официально злоумышленники похитили 25 тыс. записей (по альтернативным оценкам — в десять раз больше), содержащих банковскую информацию клиентов. В мае еще более масштабная неприятность случилась с eBay: были похищены 145 млн логинов и хэшей паролей пользователей интернет-аукциона.

Наконец, в сентябре отгремел скандал вокруг утечки в американской сети Home Depot, продающей товары для ремонта и строительства: были украдены данные 56 млн платежных карт и 53 млн адресов электронной почты клиентов.

Инцидент с Sally Beauty получил забавное продолжение. Все похищенные данные были выложены на продажу на нескольких подпольных сайтах. Вскоре после происшествия один из них был взломан неизвестным лицом. На главную страницу ресурса повесили видео из кинофильма «Люди в черном» и открытое письмо к пользователям:

Sally Beauty Leak Aftermatn

Краткий перевод: «Привет всем недочеловекам и подлецам, с вашим сайтом покончено. Идите прочь»

Страдают все

Следует уточнить, что в других отраслях ситуация также не радует. Уверены, что о таких громких инцидентах, как взлом Sony Pictures или утечка интимных фото звезд из Apple iCloud, вы уже наслышаны, поэтому остановимся на более специфических происшествиях.

По-прежнему страдают банки и финансовые организации. В первый же месяц года Корейский кредитный банк допустил утечку данных 20 млн клиентов (что составляет примерно треть всего населения страны). Следующими пострадали британцы: в феврале были украдены данные 27 тыс. клиентов британского банка Barclays, что привело к потере репутации и необходимости выплачивать компенсацию пострадавшим.

В июне хакеры похитили информацию более чем о 80 млн клиентов крупнейшего американского банка JP Morgan. В попытке сохранить репутацию руководство банка несколько месяцев скрывало факт взлома и сообщило о происшествии только в октябре 2014-го.

Государственные организации также не остались без внимания злоумышленников. Правительство Южной Кореи приняло решение перезапустить национальную систему выдачи идентификационных номеров после того, как в Интернет выложили номера 80% населения. Следует уточнить, что идентификационные номера играют в стране важную роль и их нельзя поменять — они выдаются один раз.

У телеком-операторов также выдался неспокойный год. В начале года дважды за три месяца от атак неизвестных хакеров пострадал французский оператор Orange, и в Сеть утекли данные 1,3 млн человек. Также стоит упомянуть случай в AT&T: в октябре 2014 года телекоммуникационная компания со скандалом уволила любопытного системного администратора, получившего незаконный доступ к записям о 1600 клиентах.

В октябре не повезло и облачному хостингу Dropbox: хакеры похитили учетные данные 7 млн пользователей из посторонних источников. И таким масштабам утечек сложно удивляться: до тех пор пока самым популярным паролем года будут оставаться комбинации вроде «123456», количество утечек будет только расти.

Цена ваших данных

Хотя и принято считать, что данные в наше время — ценный товар, стоимость каждой конкретной записи относительно невелика.

Хотя и принято считать, что данные в наше время — ценный товар, стоимость каждой конкретной записи невелика

На черном рынке данные клиентов интернет-сервисов для бронирования парковочных мест в аэропортах Park ‘N Fly и OneStopParking уходили по цене от $6 до $9 за запись (в нее входили имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV). Данные клиентов британского банка Barclays оценили несколько выше — по $76 (50 фунтов) за досье.

Не особенно велики и те суммы, которые выплачивают компании своим клиентам в качестве компенсации после утечки. Так, банк Barclays обязался выплатить пострадавшим по 250 фунтов (около $380). Многие клиенты посчитали, что эта сумма слишком мала. Некоторым из них угрозы и жалобы помогли увеличить размер компенсации в два или даже в четыре раза.

У компаний помимо возмещения ущерба своим клиентам еще множество трат. К примеру, только за 2014 год компания Home Depot потратила $43 млн на устранение последствий утечки: расследование инцидента, усиление защиты клиентов, набор дополнительных сотрудников в call-центр и так далее.

В заключение хотелось бы напомнить, что 28 января — Международный день защиты персональных данных. Предлагаем провести этот день с пользой для безопасности собственных данных: например, придумать себе более надежные пароли, уникальные для каждого из используемых вами сервисов.