Утечки первого квартала 2019 года: Collection #1-5, Facebook, Toyota и Липецкая область11.04.2019 01:16

Далеко не всегда причина утечки данных заключается в действиях пользователя — например в том, что он использует пароль »123456». Пользователь может придумать очень надежный пароль, но сервис будет хранить его неподобающим образом или подвергнется взлому — и в результате данные пользователя попадут злоумышленнику. Полностью исключить такую ситуацию, к сожалению, невозможно, поэтому к ней нужно быть готовым. То есть, во-первых, использовать разные пароли для всех учетных записей, во-вторых, включить двухфакторную аутентификацию, ну и в-третьих — просто следить за новостями и знать, что последнее время утекало.

Правда, нередко о взломах сервисов, которые повлекли за собой утечку данных, обычно становится известно через несколько месяцев или даже лет. Причин этому несколько. Во-первых, большие массивы информации злоумышленники физически не могут использовать сразу — и тем самым сделать явным взлом сервиса. Во-вторых, сами компании не всегда могут обнаружить утечку по горячим следам. И в-третьих, если утечка и обнаружена, многие компании предпочитают о ней не говорить, потому что это может привести к оттоку пользователей, а иногда и к штрафам со стороны регулирующих органов. Впрочем, с введением закона GDPR штрафы при замалчивании стали намного страшнее, так что и информации об утечках теперь раскрывается намного больше. Однако все вышеозначенные причины все еще актуальны, поэтому в статье пойдет речь не только об инцидентах, произошедших в первом квартале 2019 года, но и об утечках, которые произошли раньше, но о которых стало известно только недавно.

⇡#Базы Collection #1 — #5

Пожалуй, самым значительным событием в области утечки данных в рассматриваемый период стало появление в открытом доступе самого большого за всю историю сборника данных пользователей, получившего название Collection («Коллекция»).

18 января многие СМИ начали публиковать информацию о том, что в открытом доступе хранится база данных на 773 млн почтовых ящиков с паролями (в том числе и пользователей из России). Это не база данных какого-то одного сервиса, а накопленная за весьма продолжительное время коллекция из утекших баз данных порядка двух тысяч различных сайтов, получившая название Collection #1. По размеру она представляла собой вторую в истории базу взломанных адресов (первой считался архив с 1 млрд пользователей Yahoo!, появившийся в 2013 году).

Первым про базу написал эксперт по кибербезопасности Трой Хант, создавший сервис Have I Been Pwned для проверки взлома почтовых ящиков. По данным Ханта, объём Collection #1 составляет 87 Гбайт. В архиве есть 12 тысяч файлов. Ссылка на него была размещена на одном из популярных хакерских форумов, причём в открытом разделе и бесплатно. Сама база размещалась на облачном сервисе Mega.

На этом история с крупнейшей утечкой не закончилась. Оказалось, что Collection #1 — это только первая часть масштабного массива данных, попавших в руки хакеров. Исследователи по информационной безопасности обнаружили «Коллекции» под номерами от 2 до 5 суммарным объемом 845 Гбайт. Информация, находящаяся в базе, по большей части актуальна, хотя некоторые логины и пароли устарели.

По сообщению издания «Газета.ру», ИБ-эксперт Брайан Кребс связался с хакером, который продает эти архивы, и выяснил, что Collection #1 уже около двух-трех лет. Как сообщил хакер, «в продаже» у него есть и более свежие базы данных, общий объем которых составляет свыше четырех терабайт.

Проверить, находится ли ваш почтовый адрес в «Коллекциях», можно при помощи специального инструмента, созданного в Институте Хассо Платтнера. На сайте нужно ввести адрес своей электронной почте — и на нее придет письмо с соответствующей информацией. Проверить безопасность своего почтового адреса можно и на сайте Троя Ханта.

⇡#Утечка данных пользователей 16 крупных сайтов

Еще одной неприятной новостью первого квартала стало появление архива с данными миллионнов пользователей 16 крупных сайтов. 

О происшествии 11 февраля сообщило издание The Register: в даркнете на торговой площадке Dream Market выставлены на продажу данные 620 миллионов пользователей следующих сервисов: Dubsmash (162 млн), MyFitnessPal (151 млн), MyHeritage (92 млн), ShareThis (41 млн), HauteLook (28 млн), Animoto (25 млн), EyeEm (22 млн), 8fit (20 млн), Whitepages (18 млн), Fotolog (16 млн), 500 px (15 млн), Armor Games (11 млн), BookMate (8 млн), CoffeeMeetsBagel (6 млн), Artsy (1 млн), а также DataCamp (700 000). За архив данных злоумышленники суммарно просят около 20 000 долларов (в биткоинах), но можно купить базы каждого сайта отдельно (цена варьируется от нескольких сотен до двух тысяч долларов).

Сайты компаний были взломаны в разное время. Например, онлайн-платформа для фотографов 500 px сообщила, что утечка произошла еще 5 июля 2018 года, хотя о ней стало известно только после публикации архива с данными.

Утекшие данные содержат email-адреса, имена пользователей и пароли. Правда, не может не радовать то, что пароли в основном так или иначе зашифрованы, то есть, чтобы их использовать, сначала их надо расшифровать. Однако если пароль простой, то его взлом — просто методом подбора — не составит особого труда.

После выхода публикации The Register многие из перечисленных компаний признали, что действительно пострадали от атак и теперь уведомляют о случившемся пользователей или даже принудительно сбрасывают пароли.

Так, например, сервис для чтения книг Bookmate разослал российским пользователям письмо с предупреждением об утечке их данных, включая имена, адреса электронной почты и зашифрованные с помощью алгоритма bcrypt с солью пароли. В сообщении было отмечено, что по этой причине пароли пользователей остались в безопасности, но тем не менее компания посоветовала их все-таки поменять, а также заменить пароли во всех других сервисах, если они совпадают. 

Расследования начали также сервис создания и обмена видеосообщениями Dubsmash, фотохостинг 500 px, сайт стоковых снимков EyeEm и обучающая платформа DataCamp. Если у вас есть аккаунт в каком-либо из перечисленных сайтов, то рекомендуется заменить пароль.

⇡#Незащищенная база данных MongoDB

25 февраля специалист по информационной безопасности Боб Дьяченко обнаружил в сети незащищенную базу данных MongoDB, содержавшую 150 Гбайт личных данных. В архиве было свыше 800 миллионов записей. В базе данных хранились email-адреса, фамилии, информация о поле и дате рождения, телефонные номера, почтовые индексы и адреса, IP-адреса (отдельно обращаем ваше внимание: никаких паролей в ней не было). Эта подборка информации была уникальной и ранее не входила ни в одну из известных утечек. 

Удалось установить, что проблемная БД принадлежит фирме Verifications IO LLC, которая занималась email-маркетингом. Одной из услуг, предоставляемых компанией, была проверка корпоративных адресов электронной почты. Сразу после уведомления о проблемной базе данных сайт компании и сама база данных стали недоступными. Позже представители Verifications IO LLC сообщили, что база содержала информацию, собранную из открытых источников, но не данные клиентов компании.

По мнению Боба Дьяченко, база пополнялась следующим образом: кто-то загружал список адресов электронной почты, которые он хотел проверить, и далее Verification.io просто отправляла на них электронные письма. Если письмо доставлялось, электронная почта считалась рабочей и заказчик получал список рабочих адресов электронной почты с именами пользователей и другой найденной информацией. А данные проверки заносились в базу данных MongoDB, как выяснилось, незащищенную.

В целом адрес электронной почты и имя пользователя — не то чтобы супер конфиденциальная информация, но база с миллионами рабочих адресов — замечательный подарок для спамеров или хакеров, которые занимаются рассылкой вирусов по почте. Успел ли кто-то из злоумышленников этим воспользоваться — или Дьяченко обнаружил базу первым, пока не известно.

⇡#Сотни миллионов паролей Facebook в незашифрованном виде

21 марта журналист Брайан Кребс в блоге KrebsOnSecurity со ссылкой на слова инсайдера в Facebook сообщил, что социальная сеть Facebook долгое время хранила миллионы паролей в незашифрованном виде. Около 20 тысяч сотрудников компании могли прочитать пароли от 200 до 600 миллионов пользователей Facebook, поскольку те хранились в простом текстовом формате. В эту незащищенную базу попали и некоторые пароли Instagram. Вскоре сама соцсеть официально подтвердила информацию в своём блоге.

Педро Канахуати, вице-президент Facebook по проектированию, безопасности и конфиденциальности, заявил, что в целом системы входа в систему в Facebook спроектированы так, чтобы пароли были замаскированы, то есть нечитаемыми, а данная проблема с хранением паролей в незашифрованном виде была исправлена. В качестве меры предосторожности компания уведомит о необходимости сменить пароли тех пользователей, чьи пароли находились в данной базе. Доказательств того, что к незашифрованным паролям был получен неправомерный доступ, компания не нашла. Педро Канахуати подчеркнул, что пароли никогда не были видны никому, кроме сотрудников социальной сети.

Формально хранение паролей в незашифрованном виде нельзя считать утечкой данных — пока никто из сотрудников не унесет эту базу данных и не использует ее в своих целях. Facebook утверждает, что свидетельств таким злоупотреблениям не нашла,  но пароль лучше все-таки поменять — для пущей безопасности.

⇡#Утечка данных пользователей Facebook через приложения FQuiz и Supertest

10 марта издание The Verge сообщило о том, что компания Facebook подала в суд на двух украинских разработчиков — Глеба Случевского и Андрея Горбачева — за кражу персональных данных пользователей. 

Разработчики создавали для социальной сети приложения для проведения тестов. Эти программы устанавливали расширения в браузер, которые позволяли получать доступ к данным пользователей. Кража данных осуществлялась с 2017 по 2018 год при помощи четырех приложений, в том числе FQuiz и Supertest. По оценкам специалистов, всего разработчики могли украсть данные около 63 тысяч пользователей — в основном из России и Украины. 

Социальная сеть заявила, что разработчики «причинили непоправимый вред репутации компании». На расследование утечки компания потратила 75 тысяч долларов. Сомнительно, что ИТ-гиганту удастся что-то отсудить, однако, подав в суд на разработчиков, компания снимает с себя ответственность.

⇡#Утечка данных клиентов Тойоты

В конце марта японский автопроизводитель Toyota заявил о том, что в результате действий хакеров могла произойти масштабная утечка персональных данных до 3,1 миллиона клиентов компании. Взлом систем торговых подразделений и пяти дочерних компаний Toyota произошел 21 марта.

В сообщении не было сказано о том, какие именно персональные данные клиентов были похищены. Однако компания заявила, что доступ к информации о банковских картах злоумышленники не получили.

Естественно, компания, как и полагается в таких случаях, подчеркнула, что будет предпринимать меры «по обеспечению сохранности информации у своих дилеров и внутри всей Toyota Group».

⇡#Публикация данных пациентов Липецкой области на сайте ЕИС

21 марта активисты общественного движения «Пациентский контроль» сообщили о том, что в информации, опубликованной Управлением здравоохранения Липецкой области на сайте ЕИС, были предоставлены персональные данные пациентов. На сайте госзакупок управление объявило несколько аукционов на оказание медицинских услуг в неотложной форме: пациентов нужно было перевести в другие учреждения за пределы региона. В описаниях указаны фамилия пациента, домашний адрес, диагноз, код по МКБ, профиль и так далее. Причем в открытом виде данные пациентов публиковались уже не менее восьми раз, начиная с 2018 года. Вряд ли пациент или его законный представитель давали письменное согласие на публикацию этих сведений.

Глава Управления здравоохранения Липецкой области Юрий Шуршуков заявил, что начато служебное расследование и что пациентам, чьи данные были опубликованы, будут принесены извинения. Прокуратура Липецкой области также начала проверку сообщений СМИ о данном инциденте.

⇡#Выводы

Полностью защититься от того, что ваши данные могут куда-то утечь, невозможно, но снизить вероятность использования украденной информации злоумышленником может каждый: делайте пароли сложными, чтобы их нельзя было просто подобрать, и уникальными, чтобы взлом одного аккаунта не повлек за собой взлом остальных. И старайтесь не разбрасываться личной информацией — чем меньше сервисов знают ваш телефон, адрес и другие данные, тем меньше вероятности, что они куда-либо утекут. Наиболее чувствительную информацию — вроде сканов паспорта — не стоит размещать даже в самых безопасных сервисах.