Крупнейшие утечки данных 2017 года и что мы можем из них извлечь
Каким бы плохим ни был 2016 год для кибербезопасности, утечка данных в 2017 году может стать рекордом для онлайн-преступлений. Технологии — это меч, который режет в обе стороны, и по мере развития методов безопасности развиваются и угрозы, от которых они созданы, чтобы защитить нас. Это постоянный бесконечный цикл, о чем свидетельствует постоянно обновляемый счетчик нарушений от охранной фирмы Gemalto. В этом году в списке жертв у нас уже немало известных имен, включая Gmail, Verizon, Three, Hipchat и Wonga. И, конечно же, была почти непостижимая катастрофа Equifax, возможно, самая ужасная утечка за всю историю. Вероятно, никогда не будет 100-процентно надежной системы безопасности, поскольку, по сути, одни и те же виды разрабатывают угрозы и исправления. Это битва, которая будет бушевать до тех пор, пока не придет Царство.
Хотя это хорошая привычка учиться на своих ошибках, учиться на ошибках других еще лучше. В этом кратком обзоре наиболее значительных на сегодняшний день утечек данных в 2017 году мы рассмотрим, что пошло не так, и поищем один или два урока в этом хаосе.
Свобода воровать
Freedom Host II содержит около 10 000 веб-страниц Tor, что составляет около 20 процентов даркнета. Из-за взлома все посетители любого из веб-сайтов, размещенных на Freedom Host 2, встречались с сообщением «Здравствуйте, Freedom Hosting II, вас взломали». В заявлении также отмечается, что взлом был направлен на размещение детской порнографии и мошеннических сайтов.
Злоумышленник в интервью Motherboard объяснил, что это был их первый взлом, а также поделился простым процессом из 21 шага, как это сделать.
Этот 21-этапный процесс включает в себя создание нового сайта Freedom Hosting II или вход в существующий сайт, изменение настроек в файле конфигурации, а затем повторный вход с вашими новыми системными привилегиями, среди прочего. Ребята из Freedom II, очевидно, прошли этот процесс из 21 шага, как если бы кто-то просматривал некролог близкого человека, и мы уверены, что они внесли необходимые изменения в свою систему безопасности.
Тот факт, что хакеры ясно упомянули, что это был их первый взлом, и он использовал петли в системе безопасности, вероятно, означает, что этого можно было избежать, просто активно ища слабые места. Последнее, что хочет услышать служба безопасности, это то, что их взломал новичок.
Индийская еда на вынос
Zomato — популярный индийский веб-сайт и приложение, которое предоставляет пользователям путеводитель по ресторанам, кафе и клубам по всему миру. Причина, по которой он попал в наш список, заключается в том, что в результате взлома были украдены данные примерно 17 миллионов пользователей, включая адреса электронной почты и хешированные пароли. Затем компании пришлось разослать персонализированные сообщения всем затронутым пользователям, информируя их о взломе и рекомендуя выйти из своих учетных записей и сменить пароли.
В сообщении в блоге индийская фирма заявила, что нарушение безопасности было вызвано человеческой ошибкой, когда была скомпрометирована учетная запись разработки сотрудника! Это хороший пример того, как быть открытым и честным со своими клиентами в чрезвычайной ситуации, и мы также вскоре рассмотрим несколько плохих примеров.
Хотя компания, как сообщается, работает над устранением любых таких проблем в будущем, из этого нарушения мы узнаем, что всегда должен быть дополнительный уровень авторизации для внутренних команд с доступом к таким конфиденциальным данным, как сведения о клиентах. Дополнительные меры безопасности не так уж и дороги по сравнению с потерей лица перед 17 миллионами клиентов.
Золотая жила
Wonga — это кредитная компания Payday, которая недавно стала жертвой довольно крупной утечки данных, и в целом мы имеем в виду, что утечка затронула около 245 000 клиентов. На этот раз просочившиеся данные представляли собой, по меньшей мере, конфиденциальную финансовую информацию — почти четверть миллиона счетов и кодов сортировки для кредитной компании — это не шутки. Хотя компания утверждает, что «пароли безопасны», последние четыре цифры номеров дебетовых карт таковыми не являются. Они также посоветовали всем клиентам просить свои соответствующие банки быть бдительными в отношении подозрительной деятельности.
Согласно сообщениям, Wonga опоздала на несколько дней с предупреждением своих клиентов и сделала это в едва заметном углу веб-сайта. Это пример того, как не следует обращаться с вашими клиентами, и тот факт, что не было плана реагирования на инциденты, довольно очевиден. Быть взломанным — это одно, а реагировать на это вяло — совсем другое. Официальная программа реагирования на инциденты должна быть частью арсенала любой службы безопасности, особенно тех, которые охраняют информацию финансового характера.
Что мы узнаём из взлома Wonga, так это то, как не справляться с нарушением; открытое, честное и своевременное общение с пользователями так же важно, как и устранение самого нарушения. Это часто может предотвратить дальнейший ущерб и сохранить те немногие клочки достоинства, которые остались у взломанной компании.
Дешевый чат
Hipchat — еще одна компания, которая должна была разослать своим пользователям уведомление о безопасности, предупреждающее, что сторонняя библиотека была успешно атакована хакерами. Уведомление гласило: «Хотя сервер HipChat использует одну и ту же стороннюю библиотеку, обычно она развертывается таким образом, чтобы свести к минимуму риск такого типа атак». Кроме того, в результате атаки могли быть раскрыты имена пользователей, адреса электронной почты, информация о хэшированных паролях и, в некоторых случаях, сообщения и контент из чатов!
Хранение данных клиентов в сторонних библиотеках определенно не способ сократить расходы, и клиентам все равно, где хранятся их данные, лишь бы они были в безопасности. Hipchat в основном используется для официальных целей, и у клиентов, очевидно, были разумные ожидания, что их конфиденциальность будет охраняться лично, а не оставлена на попечение стороннего поставщика.
Урок здесь заключается в том, что, хотя хранение в облаке дешево и практически безгранично, предполагать, что оно безопасно, может быть фатальной ошибкой. Однако, если вам необходимо хранить конфиденциальную информацию о пользователях за пределами предприятия, тщательное исследование настроек безопасности вашего хоста — это меньшее, что вы можете сделать.
Ушел на рыбалку
В мае пользователи Gmail стали жертвами фишинга, который получает доступ к учетным записям через внешнее приложение. Хотя Google разобрался примерно за час, пострадало около миллиона пользователей. Это действительно показывает уровень инноваций. Придумать какую-нибудь фишинговую аферу, а затем обойти Google — это, наверное, перо в шляпе хакера. Это также показывает, что за всеми серверами и коммутаторами стоит человеческий интеллект против человеческого интеллекта, и команда, которая работает больше всех, выиграет. Фишинг, фарминг и более целенаправленные и коварные целевые фишинговые аферы — все эти атаки должны быть хорошо известны и практиковаться службами безопасности, обрабатывающими электронные письма.
Equifax: компания по кредитным рейтингам — самая крупная добыча хакеров
В сентябре кредитная компания Equifax заявила, что в результате взлома ее компьютерных систем с середины мая по июль преступники получили доступ к более чем 143 миллионам номеров социального страхования и датам рождения. Неумелое обращение Equifax с нарушением — как до, так и после того, как оно произошло — является главным примером того, как компания не должна действовать.
До сих пор неясно, как был взломан Equifax, но, похоже, это связано с неправильным использованием Apache Struts, инструмента, который многие компании используют для создания своих веб-сайтов.
Из этого фиаско есть важные уроки для всех компаний, самый главный из которых — «не становитесь следующим Equifax».
Нарушения данных в 2017 году: будет еще хуже
Это только октябрь, а количество пользователей, у которых была украдена, куплена и продана их информация в результате утечек данных 2017 года, уже исчисляется миллионами. Когда крупным корпоративным компаниям приходится склонять головы и предупреждать своих клиентов, угроза вполне реальна. Один момент, который не может быть повторен в достаточной степени, заключается в том, что безопасность должна быть активной, а не пассивной, и дни потягивания кофе и выполнения запланированных сканирований прошли. Безопасность нового века должна заключаться в том, чтобы тратить все свое время на активные попытки найти способы проникнуть в вашу собственную систему, потому что это то, что делают плохие парни.
Джеймс Томпсон, региональный директор SecureAuth, довольно хорошо выразился, заявив, что компаниям необходимо «постоянно внедрять инновации в области безопасности и аутентификации, чтобы опережать злоумышленников».