В настоящее время постоянно растёт поток сообщений об инцидентах, связанных с нарушением должностных инструкций авторизованными пользователями, которые намеренно передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая всё больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная для бизнеса информация становится доступной всё большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, так как нарушитель уже находится внутри.
- Введение
- Утечки данных в России, причинившие наибольший ущерб
- 2.1. Утечка данных с сервера ОФД «Дримкас», 14 млн записей
- 2.2. Утечка данных клиентов Сбербанка, 60 млн записей
- 2.3. Утечка данных учеников и сотрудников языковой школы SkyEng, 5 млн записей
- 2.4. Утечка базы данных клиентов «Билайн», 2 млн записей
- 2.5. Утечка данных участников программы «РЖД Бонус», 1,36 млн записей
- 2.6. Паспортные данные проголосовавших за поправки в Конституцию, 1,1 млн записей
- 2.7. Утечка базы данных московских автомобилистов, 1 млн записей
- 2.8. Утечка данных клиентов «Альфа-банка», ОТП и ХКФ, 900 тыс. записей
- 2.9. Утечка данных сотрудников ОАО «РЖД», 700 тыс. записей
- 2.10. Утечка данных о пациентах, переболевших коронавирусом, 100 тыс. записей
- Выводы
Введение
С каждым годом в интернет переходит всё больше и больше сфер нашей жизни, таких как здравоохранение, финансы, досуг и т. д. Всё это неразрывно связано и порой основано на личной, конфиденциальной информации пользователя услуги. В связи с этим ежегодно возрастают и важность защиты отправляемых в сеть данных, и их ценность для злоумышленников.
Мировая практика показывает ежегодный рост количества утечек разного рода информации, причём Россия среди остальных стран вот уже более шести лет подряд уверенно держится в тройке лидеров. Большая часть отечественных инцидентов этого рода — около 87% — приходится на платёжную информацию, а также персональные данные.
Около 50 % случаев утечек данных были выявлены в государственных и муниципальных органах, а также компаниях, связанных с информационными технологиями и массовыми коммуникациями. Приблизительно 20 % утечек конфиденциальной информации в России связаны с мошенническими действиями.
Вопреки ряду особенностей, характерных для России, таких как ограничения в использовании «цифровой личности» для получения различного рода услуг и всё ещё минимальная ответственность за утечку данных, наблюдаются тенденции к развитию сферы безопасности информации. Тем не менее, учитывая принятые весной 2020 года поправки к нормативным правовым актам, связанные с дистанционным предоставлением услуг, а также скачкообразный рост количества работающих удалённо людей, следует ожидать роста утечек через электронные каналы за счёт снижения доли бумажного документооборота.
Утечки данных в России, причинившие наибольший ущерб
Утечка данных с сервера ОФД «Дримкас», 14 млн записей
] Крупнейшей в 2019 году оказалась утечка данных с серверов оператора фискальных данных «Дримкас». В общей сложности более 90 млн записей с данными различного рода о юридических и физических лицах оказались в Сети. Начиная с 8 августа на протяжении семи дней в открытом доступе находилось 76 млн строчек с сервера оператора; записи содержали полные фискальные сведения с указанием порядкового номера и Ф. И. О. продавца, которые являются персональными данными, а также даты и времени операции, количества товара, его названия и стоимости. Спустя месяц, 9 сентября, из-за уязвимости в сервере ОФД стали доступны ещё 14 млн записей физических и юридических лиц, содержавшие также данные о покупателях и уплаченных налогах.
Как правило, утечки такого рода связаны с некорректной политикой безопасности, ошибками в конфигурациях систем, а также отсутствием мониторинга. Всё чаще в открытый доступ попадают серверы организаций. Вероятной причиной утечки стал человеческий фактор, так как часто результаты работы технических средств проходят через ручной анализ.
По данной утечке ФНС проводит проверку компании «Дримкас». Вдобавок ОФД грозит административный штраф в размере 75 тыс. рублей за утечку персональных данных в Сеть. По таким правонарушениям предусмотрена и уголовная ответственность с лишением свободы на срок до пяти лет.
Утечка данных клиентов Сбербанка, 60 млн записей
На данный момент эта утечка считается крупнейшей в российском банковском секторе. База, содержащая информацию о десятках миллионов держателей кредитных карт, оказалась в продаже в сети «Интернет». Ориентировочно утечка произошла во второй половине августа 2019 г., а в продажу база поступила в конце сентября того же года.
Содержание базы включает уникальные идентификаторы держателей карт, такие как паспортные данные и Ф. И. О., а также сведения о лимитах карт и операциях по ним.
По утверждениям продавца, база состоит из нескольких частей, каждая из которых соответствует территориальным отделениям Сбербанка. В качестве «пробника» злоумышленник распространяет фрагмент с информацией о 200 клиентах банка из различных городов. Стоимость же базы он оценивает исходя из расчёта в 5 рублей за строку.
По словам главы DeviceLock Ашота Оганесяна, после анализа 240 записей БД специалисты пришли к выводу об их подлинности, а также отметили, что данный объём информации, вероятно, является полной или частичной копией БД Way 4 — платформы, используемой «Сбером» почти 10 лет.
По словам финансового ведомства, кража стала результатом преступления, совершённого сотрудниками Сбербанка. Представители банка утверждают, что попасть в БД «снаружи» по причине её «изолированности» попросту невозможно. Также в «Сбере» уточнили, что из-за отсутствия в базе кодов CVV средства клиентов находятся в безопасности. К тому же для исполнения транзакции при отсутствии самой карты в Сбербанке необходимо подтверждение в виде SMS-пароля, отправляемого на смартфон владельца.
Ашот Оганесян отметил, что утечка такого масштаба серьёзно отразится на банковской отрасли. Расследованием инцидента должны будут заняться Банк России и Роскомнадзор, а также правоохранительные органы.
Утечка данных учеников и сотрудников языковой школы SkyEng, 5 млн записей
С возросшей на фоне пандемии популярностью «удалёнки» увеличилось и количество «сливов» различного рода информации. Крупнейшей из таких стала утечка данных 5 млн учащихся школы английского языка SkyEng. База содержит данные клиентов сервиса, включая телефоны, электронную почту и логин в Skype, а также 270 тыс. записей о пользователях из России — учителях, учениках и сотрудниках компании. Стоимость данных оценивается злоумышленниками в 40 тыс. рублей. Совершив обзвон людей, указанных в «пробнике» базы, журналистам удалось подтвердить её подлинность.
Исходя из структуры предоставленных продавцом данных, БД утекла вследствие доступа к серверу MongoDB весной текущего года. В наше время весьма часто возникают подобные ситуации, когда размещённые в открытом доступе базы выставляются на продажу либо бесплатно распространяются хакерами на различных форумах.
Одним из сценариев утечки является атака извне на сервер, который хранит данные пользователей. Возможен и сбор сведений средствами социальной инженерии. Также используются различного рода фишинговые сайты, копирующие сервис-жертву.
Варианты использования «слитых» данных варьируются от безобидно-надоедливых, таких как контекстная или таргетированная реклама, до серьёзных, когда пострадавшим пользователям от имени сервиса SkyEng могут предложить оплатить фейковые услуги.
Утечка базы данных клиентов «Билайн», 2 млн записей
4 октября 2019 г. известный Telegram-канал с количеством пользователей более 387 тыс. разместил новость, содержавшую саму БД и приложение для работы с ней.
Оператор «Вымпелком» не стал отрицать факт утечки БД своих клиентов с информацией о миллионах абонентов проводного интернета.
Как утверждают злоумышленники, база включает в себя около 8 млн записей, связанных с абонентами, использующих интернет от «Билайна». БД содержит информацию о клиентах: номера договоров, Ф. И. О., домашние и рабочие адреса, контактные телефоны. Иные сведения — например, паспортные или необходимые для авторизации данные — отсутствуют, однако телефонный номер либо номер договора пользователи часто применяют в качестве логина.
Представители «Билайна» сообщили о начале расследования данного инцидента службой безопасности. Для эффективности поисков оператор обратился за помощью не только к своим партнёрам, но и даже к конкурентам.
На текущем этапе расследования подключены компетентные органы и различного рода ведомства. Действия оператора направлены на недопущение раскрытия информации личного характера как клиентов «Билайна», так и абонентов других операторов.
Утечка данных участников программы «РЖД Бонус», 1,36 млн записей
6 ноября 2020 г. стало известно об утечке резервной копии дампа базы данных MySQL с сайта «РЖД Бонус». Также, кроме самой БД размером 2,4 ГБ, доступны оказались приватный ключ RSA и скрипт с указанным в нём путём к дампу и данными для авторизации пользователя. В день появления файлов в свободном доступе они были загружены неоднократно.
В базе находится информация о более чем 1,36 млн учётных записей программы «РЖД Бонус», включая даты регистрации, параметры авторизации, электронные адреса и даже логины и хешированные пароли. Также присутствуют Ф. И. О. клиентов, IP-адреса и иные сведения об их устройствах, полученные в период с начала августа по октябрь текущего года.
Вероятнее всего, утечке поспособствовал человеческий фактор: администратор сервиса по неизвестной причине выложил БД непосредственно в корневую папку сайта.
Попытку взлома сервиса зафиксировали 6 ноября, злоумышленник смог получить доступ лишь к некоторым файлам, содержащим в зашифрованном виде электронные адреса клиентов. Персональные данные оказались под защитой системы безопасности. Счета клиентов при взломе не пострадали, накопленные баллы и личные данные остались в сохранности.
На всякий случай 8 ноября сервис сбросил пароли и разослал пользователям письма с просьбой сменить их.
Также в РЖД, по словам представителей компании, были проведены «защитные мероприятия», после которых компания приступила к расследованию. Полученные в процессе документы было решено передать в правоохранительные органы.
Паспортные данные проголосовавших за поправки в Конституцию, 1,1 млн записей
Публикация о базе, содержащей паспортные данные около 1,1 млн избирателей, появилась на одном из хакерских форумов. Продавец оценил информацию в 1 доллар США за строку оптом и 1,5 доллара — в розницу. Злоумышленник, используя номера и серии паспортов, предлагает покупателям собрать базы под их нужды, добавив данные о кредитной истории или, например, СНИЛС и ИНН. Он также сообщает о большом спросе на данную информацию из-за актуальности базы и утверждает, что ему уже удалось реализовать несколько десятков тысяч строк.
Департамент информационных технологий Москвы получил запрос по данному инциденту. Руководитель Общественного штаба по наблюдению за общероссийским голосованием отметил, что база содержит недействительные данные паспортов. Было проверено несколько предоставленных продавцом «пробников», после чего сделаны выводы о том, что указанные данные не совпадают с участвовавшими в электронном голосовании людьми.
О данной утечке в начале июля сообщило интернет-издание Meduza. К сотрудникам издания попала специальная программа в виде исполняемого файла «degvoter.exe». С её помощью сотрудники УИК выясняли, был ли конкретный гражданин записан в избиратели и голосовал ли он дистанционно. Сотрудники Meduza беспрепятственно получили доступ к БД «db.sqlite», где присутствовали паспортные данные голосовавших — правда, в зашифрованном виде.
Уже упоминавшийся основатель компании DeviceLock Ашот Оганесян подтвердил, что данные паспортов принадлежат именно голосовавшим за поправки. По его словам, смысл в покупке данной БД отсутствует, так как она бесплатно распространяется на просторах интернета, однако злоумышленники всё-таки могут использовать информацию из неё для фишинговых рассылок или иных мошеннических действий.
Утечка базы данных московских автомобилистов, 1 млн записей
В начале августа текущего года злоумышленниками была выставлена на продажу БД, в которой содержалось около 1 млн записей с данными московских автомобилистов, а именно Ф. И. О. автовладельцев Москвы и Московской области и их номера телефонов, а также марки, модели, годы выпуска, регистрационные номера, VIN и регионы регистрации автомобилей. Ко всему прочему личные данные были дополнены серией и номером ПТС и СТС.
Актуальность информации соответствует концу 2019 г. В начале августа 2020 г. статус объявления был изменён его автором на «продано». Очередной владелец базы и сумма её продажи не указывались, но изначально продавец просил за неё 1500 долларов США.
По данному поводу Ашот Оганесян отметил, что это — не первый случай появления такого рода информации. В своём Telegram-канале эксперт писал о похожей утечке, произошедшей в конце апреля 2019 г. Тогда объём БД превышал 1,13 млн записей, а среди сведений присутствовали также паспортные данные и дата рождения владельца с его пропиской.
На тот момент БД была в свободном доступе и включала в себя регистрационные данные автовладельцев по Москве и Московской области почти за весь 2018 г. В конце осени 2019 г. глава DeviceLock наткнулся на похожую базу, но с информацией за зиму–весну 2019 г., объёмом в 358,4 тыс. записей.
Так как злоумышленник не установлен, а «сливы» происходят регулярно, можно сделать вывод, что тот, кто копирует информацию об автовладельцах, всё ещё этим занимается. За 2020 год утечек пока нет, но, возможно, под конец года они появятся.
Утечка данных клиентов «Альфа-банка», ОТП и ХКФ, 900 тыс. записей
В июле 2019 г. благодаря DeviceLock были замечены крупные утечки информации о клиентах «Альфа-банка». Первая БД состояла из информации о 55 тыс. клиентов и содержала в себе Ф. И. О., контактные номера телефонов, а также домашние и рабочие адреса. Эти записи датируются 2014 и 2015 годами. Содержание следующей БД — это 504 записи. Интересно в ней то, что она относится к 2018–2019 годам, а главное — в ней можно найти полные паспортные данные, баланс карт и отделение, в котором обслуживается клиент.
Начиная с середины 2019 г. база находится в свободном доступе.
В одном архиве с этой БД содержались базы банков ХКФ и ОТП. Первая насчитывает 24,4 тыс. клиентов, состоит из паспортных данных, Ф. И. О. и контактных телефонов.
Вторая — банка ОТП — охватывает 800 тыс. человек и содержит номера контактных телефонов, почтовые адреса, Ф. И. О., одобренные лимиты, а также некоторые заметки о контакте с клиентом.
Основатель DeviceLock предположил, что появление базы «Альфа-банка» объёмом в 55 тыс. записей связано с массовым сокращением в конце 2014 года крупного ИТ-отдела. После инцидента с увольнением база долгое время находилась на различных форумах, и недавно её выложили в полностью открытый доступ. Исходя из размеров второй базы, а также из того, что клиенты, чьи данные в ней указаны, подходят под одну и ту же выборку по сумме счёта, можно сделать вывод, что виновником её утечки мог стать менеджер по клиентам.
Люди, записанные в базах, могут стать жертвами большого количества мошенников: информация оттуда открывает злоумышленникам широкие возможности по использованию социальной инженерии.
Утечка данных сотрудников ОАО «РЖД», 700 тыс. записей
В конце августа 2019 года стало известно, что персональные данные 703 тыс. сотрудников РЖД оказались доступны каждому желающему. Данную утечку обнаружил технический директор DeviceLock. Записи содержали номера телефонов, должности, Ф. И. О., даты рождения, СНИЛС и адреса работников. В дополнение ко всему в свободном доступе также оказались фотографии сотрудников. По словам Ашота Оганесяна, происхождение утечки остается неясным, но расследования указывают на БД службы безопасности.
После публикации «слитой» информации РЖД начала проверку совместно с компетентными органами. Также в компании отметили, что персональным данным клиентов РЖД данная утечка вреда не причинила, так как система продажи билетов имеет защиту личной информации высокого уровня.
К концу июня 2019 года персонал РЖД насчитывал около 730 тыс. человек. Исходя из этого можно утверждать, что утечка затронула более 95 % сотрудников железнодорожного оператора.
Утечка данных о пациентах, переболевших коронавирусом, 100 тыс. записей
В начале декабря 2020 года случилась утечка личных данных примерно 100 тыс. жителей Москвы, переболевших коронавирусом. По данному инциденту власти Москвы проводят проверку, о результатах которой обещают дополнительно объявить в Telegram-канале столичного штаба по коронавирусу.
Размер «слитого» архива — примерно 1 ГБ, он содержит 362 файла различных форматов. В файлах записано более 100 тыс. строк, которые включают в себя Ф. И. О., номера полисов ОМС, контактные телефоны и другие сведения. Первоначальный анализ утечки позволил понять, что в архиве присутствуют личные данные заболевших в период с апреля по июль этого года.
При обзвоне нескольких человек, информация о которых была указана в «слитых» файлах, некоторые отозвались по имени, а ещё несколько согласились с данными, продиктованными звонившими.
По некоторым сообщениям, утечка также коснулась серверов 1С и данных для подключения к системе, ведущей учёт заболевших коронавирусом.
Выводы
В то время как за первый квартал 2020 года количество утечек в остальном мире сократилось на 1 %, в России оно выросло на 38 %. За январь–апрель во всём мире утекло 6,37 млрд записей (на 5 % меньше, чем за тот же период прошлого года), а в России за это время было скомпрометировано 47 млн записей, что на 34 % больше, чем за январь-апрель прошлого года.
В прошлом году объём украденных из баз организаций госсектора и частных компаний персональных данных россиян вырос в 6,5 раза в сравнении с 2018 годом. Всего в 2019 году было скомпрометировано 172 млн записей — больше, чем жителей в стране (146,7 млн человек согласно официальной статистике на 1 января 2020 года).
Львиная доля инцидентов — 80 % — возникла по вине сотрудников компаний. Годом ранее доля умышленных утечек была на уровне 44 %. Работники воруют данные, когда не уверены в завтрашнем дне или их доход снизился; к тому же сейчас они получили доступ к корпоративной информации из дома и могут копировать её быстро и бесконтрольно. Некоторые компании во время пандемии фиксировали до десяти новых утечек баз с данными граждан — клиентов интернет-магазинов, посетителей сайтов и др.
В отличие от многих стран, где наблюдается уклон в сторону более простого административного регулирования безопасности данных через повышение штрафов и ужесточение требований, в России регуляторная политика выглядит слишком мягкой. Пострадавшие от утечек могут рассчитывать лишь на небольшие компенсации в размере редко превышающем 10 тыс. рублей.
ИБ-эксперты видят опасность в слабой защите государственных баз данных. Как отмечают ведущие аналитики в сфере информационной безопасности, чиновники часто считают, что в урезанном формате данные не представляют интереса для злоумышленников. Однако если собрать вместе Ф. И. О., паспортные данные и номер телефона, то такой объём сведений уже смогут использовать мошенники — в том числе для поиска контактов с инсайдерами, например, в телеком-компаниях.
Сейчас в борьбе с утечками всё чаще применяются комплексные методы с комбинацией организационных и технических мер. Также для снижения утечек важно применять более строгие требования к разработке документации, проводить работу с персоналом, с контрагентами. Крайне важно следить за эффективностью аппаратных, программных и криптографических средств и систем предотвращения утечек.