Куда утекают данные: последствия грандиозного «слива» Equifax
2017 год запомнился серией серьезнейших утечек персональных данных пользователей. Два самых ярких события второй половины года — это обнародование информации о «сливе» огромной базы данных украденных паролей и атака на одно из трех главных кредитных бюро США — Equifax.
Организация не сообщала о краже данных более чем 140 млн. человек несколько месяцев. Ответственность Equifax за инцидент и молчание обсуждается до сих пор. Сейчас власти США лишь рекомендуют компаниям уведомлять клиентов об утечках.
Но уже скоро ситуация может поменяться — в январе в США был внесен законопроект, который устанавливает штрафы для компаний, допустивших утечки. Если бы он действовал на момент «слива», Equifax пришлось бы заплатить свыше $1,5 млрд.
Даже если такой закон будет одобрен, он не отменит того факта, что украденные данные уже попали в руки злоумышленников. В статье мы рассмотрим, как утекшие сведения используются против воли их владельцев и какие меры предпринимаются, чтобы снизить ущерб для пользователей.
/ Wikimedia / U.S. Navy photo / CC
Что происходит с утекшими данными
В 2016 году компания в сфере безопасности Bitglass представила результаты своего исследования «Где ваши данные?». Чтобы проследить, как украденная личная информация попадает в руки злоумышленников, компания сымитировала утечку данных у вымышленного банковского служащего. По сценарию он допустил слив внутрекорпоративного документа, содержащего 1500 учетных данных сотрудников компании. Фальшивые сведения просочились в дарквеб с маркировкой Bitglass, которая позволяла определять IP и страну проживания потенциального покупателя.
Компания обнаружила, что в течение нескольких дней после утечки данные распространились по более чем 20 странам на разных континентах. Каждый десятый владелец «украденных» сведений попытался войти в службы Google, доступы к которым были «слиты». В течение суток было совершено пять попыток входа во внутренний портал фиктивного банка. Таким образом, в Bitglass в очередной раз подтвердили: персональные и корпоративные данные — это востребованный продукт, для которого существует обширный международный рынок с высоким спросом.
Ситуацию с Equifax называют «худшей утечкой всех времен». Она коснулась основных документов, которыми пользуются люди: номеров социального страхования, кредитных карт и водительских удостоверений. По следам произошедшего прогнозировалось, что данные поступят в открытую продажу в дарквебе. Часто сведения попадают на рынок спустя месяцы и даже годы после утечки, поэтому после признания Equifax оставалось только предполагать, когда «всплывут» персональные данные десятков миллионов человек.
Не так давно стали появляться первые сообщения от «жертв» утечки. Сотни пострадавших собираются подавать в суд на Equifax. Одна из них рассказала CBS News о том, как на протяжении двух месяцев ей приходили уведомления по кредитным картам, которыми она даже не пользовалась. Кто-то делал покупки от имени жертвы, оплачивал проживание в отеле в Лас-Вегасе, а ей оставалось только разбираться со счетами.
Схожий сценарий разворачивался после серьезной утечки у крупной розничной сети Target в 2013 году. Тогда были «слиты» сведения платежных карт 40 млн покупателей и другие персональные данные еще 70 млн человек. Ситуация была урегулирована за счет того, что платежи, сделанные без ведома владельцев карт, компенсировались банками.
Сколько стоят персональные данные
Информация, утекшая из Equifax, на языке хакеров называется «Fullz», то есть полный набор данных. Приблизительная стоимость базы превышает $32 млн. При этом стоимость персональной информации разных людей может отличаться в зависимости от таких факторов, как кредитная история и баланс банковского счета. Данные могут поступить на рынок как фрагментарно, так и в формате удобной для навигации БД, как это произошло в случае с крупнейшей агрегированной базой «слитых» паролей.
Брайан Кребс (Brian Krebs), журналист-расследователь, рассказал о там, как продают украденные сведения. Существуют подпольные форумы, на которых злоумышленники торгуют учетными данными и паролями от них. За сравнительно небольшие деньги (в долларах или криптовалюте) здесь можно приобрести чужую персональную информацию.
Один из участников популярной биржи, обнаруженный Кребсом, за первые семь месяцев 2017 года заработал свыше $288 тыс., продав учетные записи в среднем по $8,19 «за штуку» 9 тысячам клиентов. При этом сервис взимал половину стоимости в качестве комиссии. Таким образом, средняя стоимость учетных данных, выставленных на бирже, составляет приблизительно $15. Как выяснил Кребс, сервис упорядочивает учетные данные в соответствии с кредитным рейтингом, а сведения людей с хорошей кредитной историей «уходят с молотка» за $150.
По данным Quartz от 2015 года, в среднем пара «учетные данные-пароль» на черном рынке оценивалась в $20. Грубо говоря, за два с половиной года оценка персональных данных как товара снизилась на 25%. Вероятно, на динамику повлияла конкуренция между продавцами.
/ Flickr / Chad Cooper / CC
Что в итоге
Вскоре после «слива» Equifax разработал отдельный портал, на котором клиенты компании могли проверить, не скомпрометированы ли их данные. Для этого требуется ввести свою фамилию и последние шесть цифр номера социального страхования.
Компания также отменила плату за процедуру замораживания кредита в бюро и предложила бесплатный кредитный мониторинг на один год. Этот шаг предотвращает от использования сведений злоумышленниками на год, но не гарантирует, что однажды, по истечении срока предложения, кто-то не вернется к украденным ранее сведениям.
В декабре 2017 года Umpqua Bank, имеющий около 300 филиалов в пяти западных штатах, устроил «день заморозки», в том числе и в связи с ситуацией в Equifax. Таким образом, он поощряет потребителей замораживать свои кредиты. Заморозка не позволяет хакерам открывать новые учетные записи на имя потребителей. Однако, она не поможет, если кто-то попытается подать декларацию о возврате налогов от имени жертвы или будет использовать чужую медицинскую страховку без ведома владельца.
Стоит заметить, что 2017 год стал рекордным по количеству отраженных кибер-атак. Тем не менее, ни одно физическое или юридическое лицо до конца не застраховано от утечек. Согласно данным Министерства юстиции США, кража личных данных обходится жертве в среднем в $1343. Очевидно, кто-то должен за это платить.
Сейчас в США возмещение за расходы от банка или компании, допустившей «слив», поступает в течение длительного срока и в судебном порядке. Поэтому все чаще заходят разговоры об ужесточении ответственности за утечки.
Новые меры защиты пользователей от последствий утечек могут быть приняты и в России — «Ведомости» сообщают, что к июлю планируется введение обязательной страховки на случай «сливов» для всех операторов персональных данных.
Так или иначе, страховка не остановит злоумышленников от попыток использовать украденные данные. Исходя из этой логики, мы рекомендуем самостоятельно заботиться о защите: внедрять двухфакторную аутентификацию, использовать менеджеры паролей и избегать повторного использования одинаковых паролей на различных сайтах и сервисах. На сайте Equifax также есть список рекомендуемых действий. В том числе в нем фигурируют регулярная проверка банковских выписок, уничтожение всех неиспользуемых документов, содержащих персональную информацию, безопасное хранение актуальных документов и другие советы.
Кстати, здесь мы собрали несколько рекомендаций относительно того, как можно усилить безопасность своих персональных данных и дали источники для дополнительного чтения по теме.
Тройка материалов по теме из нашего корпоративного блога 1cloud:
- Meltdown и Spectre: новогодняя процессорная уязвимость
- Безопасность данных в облаке: угрозы и способы защиты
- 4 тренда в облачной безопасности