Скомпрометировать всех жителей страны и слить данные миллиарда пользователей – самые масштабные утечки 2017

В течение года эксперты «СёрчИнформ» следили за новостями утечек и, подводя итоги, собрали самые громкие инциденты.

С инцидентами безопасности приходится сталкиваться даже IT-мастодонтам вроде IBM и корпорациям-гигантам вроде Yahoo!. Среди причин – старый человеческий фактор и новые инсайдерские трюки, непреходящая угроза уязвимости. В 2018 году едва ли станет лучше, поэтому работайте с персоналом, контролируйте активы компаний, просчитывайте риски и совершенствуйте системы безопасности.

ПО ОБЪЕМУ СКОМПРОМЕТИРОВАННЫХ ДАННЫХ

• «Матерь всех утечек»: в открытом доступе оказались 560 млн адресов электронной почты и паролей

О находке в мае 2017 года сообщил Центр изучения безопасности MacKeeper. Упорядоченную и удобную для чтения базу весом 75 гигабайт назвали «матерью всех утечек» из-за данных, которые уже были скомпрометированы ранее. Эксперты установили, что речь идет как минимум о десяти известных утечках данных пользователей MySpace, LinkedIn, Last.fm, Dropbox, Tumblr и других популярных ресурсов.

• Персданные 198 миллионов избирателей США хранились на «облаке» Amazon в открытом доступе

База размером 1,1 терабайт включала обширные сведения об избирателях для предвыборного штаба Дональда Трампа: их имена и даты рождения, телефоны и домашние адреса, данные о регистрации избирателя и даже религиозные и этнические взгляды. Информация о 198 миллионах граждан – 62% населения США – не была защищена даже паролем. Федеральные власти узнали об уязвимости 12 июня 2017 года, утечку устранили в течение двух суток. Ответственность за инцидент понес один из подрядчиков предвыборного штаба Республиканской партии.

• В Индии из государственной системы биометрической идентификации Aadhaar «утекли» уникальные ID-номера 135 млн граждан

По кодам из 12 цифр можно было установить имена и фамилии, номера телефонов и адреса проживания, а также реквизиты банковских счетов жертв. Анкеты из крупнейшей в мире базы с биометрической информацией также включали снимки радужной оболочки глаза и отпечатки пальцев. Такой ID-номер используется как удостоверение личности в разных ситуациях, от покупки SIM-карты до оформления госдотаций, поэтому утечка могла обернуться волной создания поддельных личностей. По данным Центра изучения интернета и общества (The Centre for Internet and Society, CIS) причиной утечки не могли стать уязвимость системы или внешняя атака. Ответственность за майский инцидент 2017 года несут чиновники, организующие сбор и обработку персональных данных.

ПО НАЦИОНАЛЬНОМУ МАСШТАБУ

• Данные медстраховки всех жителей Австралии выставили на продажу

В июле 2017 года на одном из популярных форумов в даркнете появилось объявление о продаже данных Medicare Australia – системы государственного медицинского страхования. Автор сообщал, что готов передать персданные любого австралийца всего за 0,0089 биткоина (порядка $22). По данным Guardian Australia, за 10 месяцев автор объявления продал не меньше 75 файлов, информации в которых было достаточно для создания поддельных карт Medicare с реальными данными.

Пользователь сообщил журналистам, что пропуском в государственную систему стала ее уязвимость. Однако расследование продолжается.

• Базу с персданными «почти каждого» жителя Малайзии предложили за один биткоин

В ноябре 2017 года была зафиксирована одна из крупнейших утечек клиентских данных в Азии. База, размещенная в «темном интернете», включала 46,2 млн мобильных телефонов и данных SIM-карт, а также домашние адреса и номера ID-карт клиентов минимум 12 местных операторов связи. Для сравнения: население Малайзии едва превышает 31 млн человек. Министерство связи страны рассматривает несколько возможных источников утечки. В частности, инсайдером мог быть работник подрядчика, который обеспечивал обработку этих данных для Малазийской комиссии по коммуникациям и мультимедиа (МСМС).

• Персональные данные миллионов граждан Швеции утекли по вине IT-подрядчика

Государственное транспортное агентство Швеции поручило обслуживание IT-инфраструктуры, включая обработку персданных, корпорации IBM. А те делегировали задачу подрядчикам в Румынии и Чехии. Фотографии, имена и адреса миллионов граждан Швеции утекли уже оттуда. В частности, рассекретились данные о владельцах транспортных средств, принадлежащих полиции и армии, о сотрудниках спецслужб и пилотах ВВС, подозреваемых в преступлениях и участниках программы защиты свидетелей. Утечку данных обнаружили в 2016 году. По итогам расследования глава агентства получил штраф в 70 тыс. шведских крон (примерно 7,5 тыс. евро) и был уволен. 27 июля 2017 года из-за скандала вокруг утечки постов также лишились министр внутренних дел и министр инфраструктуры.

ПО ВЕЛИЧИНЕ ПОТЕРЬ

• Американская розничная сеть Target выплатила $75 млн за утечку четырехлетней давности

Шестой по величине ритейлер США оплошал в декабре 2013: уязвимость платежных терминалов стала причиной утечки платежных данных 40 млн банковских карт. Через месяц количество пострадавших достигло 70 млн. $39 млн Target возместила банкам, $10 млн – жертвам инцидента, $6,75 млн – юристам. А в мае 2017 года ритейлер выплатил еще $18,5 млн штрафа. Правление компании согласилось на сделку с генеральными прокурорами 47 штатов и округа Колумбия. Сумму штрафных санкций распределили пропорционально между штатами. Итоговая «стоимость» одного инцидента с учетом штрафа достигла $74,75 млн. Соглашение Target с властями стало крупнейшей сделкой в новейшей истории США.

• Расходы, связанные с утечкой данных кредитного бюро Equifax, превысят $100 млн

Мошенники проникли в сеть компании в мае 2017 года и в течение трех месяцев могли беспрепятственно обращаться к личной информации минимум 143 млн клиентов. Среди данных фигурировали имена и даты рождения, адреса, номера соцстрахования, а в некоторых случаях и реквизиты банковских карт. Известно, что утечка произошла в результате внешней атаки, однако злоумышленники использовали уязвимость платформы Apache Struts для создания веб-приложений. Причем об ошибке было известно за месяц до инцидента. А после него команда Hold Security начала изучать другие домены Equifax и в том числе подразделения в Аргентине. Сократили URL-адрес местной службы по работе с претензиями – и попали на внутренний портал Veraz. Использовали в качестве логина и пароля «admin» и «admin» – и вошли в систему. Так под угрозой находились номера удостоверений личности минимум 14 тыс. аргентинцев, и потенциально утечка могла коснуться десятков тысяч клиентов. Адвокаты оценили «небрежность КБИ в 70 млрд долларов компенсации. Расследование ведется при участии госорганов на федеральном уровне. Акции компании продолжают дешеветь, чистая прибыль сократилась на 28%. По оценкам компании, расходы с учетом исков и штрафов могут превысить $100 млн.

• В результате утечек бизнес Yahoo! потерял 87% от своей рыночной стоимости

Решение было принято 30 августа 2017 года в окружном суде Сан-Хосе, штат Калифорния: компания ответит за три масштабные утечки и более трех лет их сокрытия. Первый инцидент произошел в 2013 году – утекло более миллиарда учетных записей. В 2014-м были скомпрометированы данные более 500 млн аккаунтов. Третье нарушение произошло в 2015-2016 гг. Вскоре после того, как инциденты получили огласку, Verizon Communications Inc. выкупила интернет-бизнес Yahoo!, сбив цену с $37 млрд. до $4,76 млрд. Но теперь предстоящие судебные тяжбы обещают компании немалые расходы.

Адвокат истцов и глава исполнительного комитета, курирующего дело, заявил, что это самое большое нарушение конфиденциальности в истории. В 93-страничном обосновании судебного решения отмечается, что данные некоторых пострадавших уже использовались мошенниками и могут быть использованы в будущем. Из заявлений истцов также следует, что некоторым из них пришлось потратить деньги на защиту личной информации.

Тематики: Безопасность

Ключевые слова: информационная безопасность, СёрчИнформ