Семь больших утечек: у кого угоняли пользовательские пароли, часть вторая

Бизнес

Продолжение. Начало смотрите здесь.

Горячее лето 2012

Помимо вышеприведённых примеров, июль-август прошлого года ознаменовались сразу двумя крупномасштабными и весьма скандальными взломами. Жертвами стали пользователи популярного файлообменного сервиса Dropbox и игрового сервиса Battle.net компании Blizzard.

Утечка любых данных для бизнеса, работающего с пользовательскими данными, это ЧП с точки зрения как потенциальных финансовых, так и репутационных потерь. Соответственно, обеспечение безопасности должно включать все возможные опции.

Dropbox признал факт утечки личных данных в последние дни июля, правда, поспешил заверить, что адреса и пароли были украдены с нескольких «сторонних сайтов», и, в конечном счёте, были взломаны лишь потому, что пользователи использовали слишком слабые пароли.

Увы, не всё так просто: как оказалось, взлому подвергся один из работников Dropbox, который, похоже, также пренебрегал азами сетевой безопасности и использовал один и тот же пароль для разных ресурсов. В итоге злоумышленники добрались до его собственного файлохранилища и вытащили оттуда документ со списком почтовых адресов пользователей — как оказалось, незашифрованный.

Проблема заключалась ещё и в том, что Dropbox уже пытались ломать и кому-то удалось добыть несколько комбинаций логинов и паролей. Одна из этих комбинаций принадлежала работнику Dropbox.

И на пользователей посыпался спам — в том числе совсем нехороший, с фишингом и прочими радостями бытия.

После этого инцидента Dropbox пообещал ввести — и ввёл — двухфакторную авторизацию. Правда, для пользователей — это отдельно активируемая опция, по умолчанию она не задействована.

У Blizzard двухфакторная защита (с использованием мобильных устройств) действует с давних пор, что в принципе предохраняет пользователей от кражи их игровых аккаунтов. Однако в этом случае произошло вторжение во внутреннюю инфраструктуру компании. Злоумышленникам удалось завладеть некоторым количеством почтовых адресов пользователей Battle.net по всему миру. Кроме того, хакеры получили доступ к ответам на секретные вопросы и авторизации с помощью мобильных устройств, а также хэши паролей. В сообщении Blizzard, однако, утверждается, что расшифровать пароли злоумышленникам будет очень сложно, поскольку используется протокол Secure Remote Password (SRP).

battlenet

И тем не менее, пользователям было рекомендовано пароли сменить.

Twitter (февраль 2013)

В феврале 2013 года злоумышленники вторглись в базы Twitter и угнали логины, почтовые адреса и зашифрованные и засоленные версии паролей 250 тысяч пользователей.

Вторжение в базы пользовательских данных Twitter осуществляли, по утверждению администрации сервиса, отнюдь не любители и не новички. Более того, директор информационной безопасности Twitter Bob Lord вполне красноречивонамекнул на то, что за этой атакой стояли те же профессионалы, которые ранее атаковали New York Times и Wall Street Journal (Winnti?).

Лорд также загадочным образом упоминает о рекомендации Министерства внутренней безопасности США отключить Java в браузерах — в связи с известной уязвимостьюCVE-2013-0422, для которой был обнаружен эксплойт нулевого дня. Как это связано со взломом Twitter, Лорд, впрочем, не уточнил.

Evernote (март 2013)

В марте популярнейший сервис Evernote разослал всем своим 50 млн пользователей сообщение о необходимости смены паролей. Связано это было с несанкционированным проникновением во внутреннюю инфраструктуру компании. Злоумышленники смогли получить доступ к логинам, привязанным к ним почтовым адресам и зашифрованным паролям — точнее, их хэш-значениям, которые Evernote, по счастью, хранил в «засоленном» виде. До контента, созданного пользователями, враги не добрались. Тем не менее, Evernote раскритиковали за отсутствие двухфакторной авторизации. Немало было разговоров и о том, что взлом Evernote — это очень плохой пиар для облачных сервисов в целом, поскольку ситуация здорово сыграла на руку противникам SaaS.

evernote

В сухом остатке

Итак, вот несколько примеров «высокопрофильных» утечек. Что между ними общего? — Одновременно почти всё и почти ничего. Под «почти всё» подразумевается несанкционированное вторжение на серверы крупных публичных сервис-провайдеров и кража солидных объёмов данных. «Почти ничего» означает, что каждый раз использовались разные способы проникновения, разные уязвимости;  пострадавшие компании публиковали разные объёмы данных об этих инцидентах и в большинстве случаев утверждали, что практическое использование украденных данных затруднено, ибо, дескать, пароли зашифрованы. Но всё-таки каждый раз пользователей побуждали (или просто заставляли) сменить пароли. От греха подальше.

Проблема в том, что пользователи, во-первых, часто пользуются одними и теми же паролями для разных ресурсов, а во-вторых, для собственного удобства задают откровенно слабые пароли, которые элементарно перебираются по словарю брутфорсом, особенно, если их хэш-значения не «засолены».

Утечка любых данных для бизнеса, работающего с пользовательскими данными, это ЧП с точки зрения как потенциальных финансовых, так и репутационных потерь. Соответственно, обеспечение безопасности тут должно включать все возможные опции: надёжное шифрование передаваемых и хранящихся данных (помимо хэширования обязательна и соль), максимально скрупулёзный аудит стороннего ПО, если таковое используется, применение автоматических защитных средств, например, технологий автоматической блокировки эксплойтов, которые позволяют предохраняться и от использования уязвимостей нулевого дня. Ну, а самое главное, это, конечно, обучение персонала и пользователей азам сетевой безопасности: никаких коротких и легко подбираемых паролей, никакого многократного использования одних и тех же паролей в разных местах. Со стороны пользователей для этого требуются минимальные усилия, но с их помощью можно уберечься от очень крупных неприятностей.