9 сентября 2014

Утечка фотографий звезд: что бизнесу до этого?

Бизнес

Все, по крайней мере, слышали о недавней утечке очень интимных данных ряда голливудских звезд. Некто каким-то образом сумел выкрасть подборку частных фотографий звезд, которые не предназначались для публики. Как это было сделано, и кто за этим стоит, пока неясно. Наверняка известно лишь то, что они были опубликованы на 4chan, пресловутом имиджборде, признанном «святилище» субкультуры анонимного интернета. Анонимы, в свою очередь, возглавляют движение против слежки, активно защищают конфиденциальность (в интернете, в основном). Очевидно, их представление о неприкосновенности частной жизни людей не распространяется на личные селфи привлекательных знаменитостей. Но хватит об этом. Здесь есть, о чем поговорить с точки зрения бизнеса.

Прежде всего, дыма без огня не бывает. Если кто-то украл личные данные, значит, была уязвимость в месте их хранения. Первое подозрение пало на iCloud: в нем совсем недавно, в начале этой недели, обнаружили изъян и довольно быстро выпустили патч. Согласно The Next Web, в понедельник на GitHub появился скрипт на Python, позволявший злоумышленникам взламывать пароль жертвы в Apple iCloud методом «грубой силы». Под «грубой силой» в данном случае подразумевается неограниченное количество попыток подбора пароля  при «полном попустительстве» самой системы (что является колоссальной дырой в безопасности). В действительности уязвимость в сервисе Find My iPhone сделала это возможным. По счастью, Apple оперативно отреагировала и решила проблему.

640

Изъяны в Find My iPhone использовались и прежде, для того чтобы блокировать телефон и потребовать выкуп. Однако на этот раз Apple заявила, что в случае с утечкой фото знаменитостей iCloud не взламывали, а были скомпрометированы аккаунты конкретных людей:

«За более чем 40 часов расследования мы обнаружили, что некоторые аккаунты знаменитостей были скомпрометированы четко направленной атакой на имена пользователей, их пароли и проверочные вопросы. Данная практика стала весьма распространенной в интернете. Ни один из расследованных нами случаев не является результатом какого-либо взлома любой из систем Apple, в том числе iCloud или Find My iPhone. Мы продолжаем работать в тесном контакте с правоохранительными органами, чтобы помочь выявить виновных в этом преступлении», — заявила Apple. Компания также рекомендовала использовать надежный пароль и включить двухступенчатую верификацию. Вполне логично предположить, что в случае с пострадавшими знаменитостями надежными паролями там и не пахло. Да и двухэтапной верификации не было, по всей видимости.

В этой связи следует подчеркнуть три вещи.

1. Устройства и услуги Apple могут быть чуть безопаснее остальных (или, по крайней мере, их считают таковыми), но они, безусловно, не застрахованы от направленной атаки, и у них тоже есть изъяны. Кроме того, слабый пароль и отсутствие двухступенчатой ​​проверки делают все прочие защитные усилия бесполезными. Это напоминание предприятиям, использующим BYOD в своих сетях, и людям, хранящим рабочие файлы в личных айфонах.

wide

2. И для частных пользователей, и для предприятий верно утверждение, что всякая конфиденциальная информация останется таковой, пока не возникнет более чем гипотетическая возможность несанкционированного доступа к ней. Или, выражаясь простым языком, данные бывают личными, пока вы контролируете к ним доступ. Будь то частные фотографии или секретные деловые документы, если они есть на ваших личных мобильных устройствах, кто-нибудь может взломать слабый пароль или просто украсть ваше устройство и т.д. Затем уже данные переходят к другому владельцу или даже становятся достоянием общественности. Однако если информация хранится в зашифрованном виде, с хакеров семь потов сойдет, пока они доберутся до ваших данных.

3. Фишеры очень склонны использовать украденные или добытые личные данные в качестве основы для направленных атак, главным образом, для того чтобы повысить достоверность своих сообщений и, таким образом, заманить людей на вредоносные сайты или подсадить вредоносную программу на их компьютеры. Мы описывали эти сценарии раньше. Проблема усугубляется еще и тем, что люди часто размещают много своих персональных данных в онлайне. И их тоже используют со злым умыслом.

Предоставим нашим читателям самим делать выводы.