Компания DeviceLock выявила очень простой метода «слива» пользовательских данных

За 2,8 биткоина

В открытый доступ выложили тестовую часть базы данных с персональной информацией пользователей Instagram, которая состоит из 20 тыс. строк, сообщили «Известиям» в компании по кибербезопасности DeviceLock. Там подчеркнули, что всего на продажу выставлено 20 млн записей — это сравнимо с населением Румынии или Шри-Ланки.

Каждая строка содержит такие пункты, как ник пользователя в социальной сети, его ID, полное имя и фамилия владельца аккаунта, описание («шапку») профиля, ссылку на главное фото и статистику по странице (количество лайков и комментариев под записями). В части строк есть дополнительная информация — полные почтовые и электронные адреса, а также номера телефонов держателей аккаунтов. Предложение о продаже базы данных размещено на одном из закрытых форумов, отметили в Device Lock.

экономика

Фото: Global Look Press/Aloisio Mauricio

Тестовая часть базы есть в распоряжении «Известий», 10 строк из него были проанализированы. Пользователи с такими именами действительно есть в Instagram, описания их профилей совпадает с указанными в документе, а количество подписчиков отличается лишь незначительно. Проверенные «Известиями» страницы в социальной сети принадлежали людям разных национальностей, но ни одного аккаунта русскоговорящего пользователя среди проверенных не оказалось.

В пресс-службе Instagram оперативно не ответили на вопросы «Известий» о появившейся в открытом доступе информации.

— С большой долей вероятности эта база принадлежит индийской маркетинговой компании, которая в мае 2019 года оставила в открытом доступе свой сервер с 49 млн строк. Данные с этого сервера были скопированы злоумышленниками и с тех пор периодически появляются на специализированных форумах и ресурсах DarkNet, — рассказал «Известиям» основатель и технический директор компании Device Lock Ашот Оганесян.

общество

Фото: РИА Новости/Владимир Трефилов

Информация продается за 2,8 биткоина, что составляет примерно $22 тыс. или 1,4 млн рублей, посчитал Ашот Оганесян.

Возможно, сейчас продается часть базы персональных данных пользователей Instagram, которые утекли ранее в этом году из маркетинговой компании, согласился руководитель аналитического центра компании по кибербезопасности Zecurion Владимир Ульянов. Он пояснил, что маркетологи собирают информацию о своих действующих и потенциальных клиентах из открытых источников, чтобы показывать им более подходящую рекламу и делать таргетированные предложения.

Среди продаваемой информации есть и часть скрытых от стороннего наблюдателя сведений, например — электронный адрес пользователя. Она может оказаться в открытом доступе вследствие взлома, ошибок персонала или пренебрежения политикой безопасности. Например, при хранении паролей в незашифрованном виде или некорректного разграничения доступа к серверам баз данных, отметил директор Центра компетенций по информационной безопасности компании «Техносерв» Сергей Терехов.

Что произошло

Сервер ОФД «Дримкас», по-видимому, стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

ОФД_1

Фото: ИЗВЕСТИЯ/Алексей Майшев

«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.

Справка «Известий»

Операторы фискальных данных созданы по закону о контрольно-кассовой технике в 2016 году.

Первый электронный чек с онлайн-кассы передан в Федеральную налоговую службу (ФНС) 24 октября 2016-го. С 1 июля 2019 года юрлица и ИП работают с ОФД. Исключение сделано для ИП без сотрудников, которым дали отсрочку до 1 июля 2021 года.

В компании объяснили утечку атаками на серверы, происходившими с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.

— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения.

— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

Справка «Известий»

Перед началом работы ОФД должна получить две лицензии от ФСБ и одну от Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также разрешение на обработку фискальных данных от ФНС.

Предприниматели платят в среднем 3 тыс. рублей за годовое обслуживание ОФД.

В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

ОФД_2

Фото: Global Look Press/Felix König

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Случаи из практики компаний

Из каждой ситуации слива информации можно найти рациональный выход, как в случае материальных потерь, так и при потере репутации. Например, руководитель онлайн школы английского языка сталкивался со случаями слива данных неоднократно.

Один раз на просторах интернета появилась информация о недоработках и недочетах компании, а также о допущенных ошибках в методиках обучения. Фирма не смогла найти злоумышленника, обнародовавшего данные, но решила узнать мнение обычных пользователей. Компания посоветовалась с народом о том, как можно устранить эти недостатки. Фирма получила большое количество откликов и фидбэков, а также показала людям, что их мнение учитывается. Утечка информации стала полезным толчком к дальнейшему развитию.

Во втором случае фирма занималась разработкой нового вида сервиса. Но в последний момент информация просочилась по вине одного из сотрудников компании к конкурентам, после чего продукт разработчиков был выпущен обеими компаниями одновременно. Поэтому наши организации решили объединить усилия, а не делить рынок потребителей пополам. Иногда с конкурирующими фирмами выгоднее объединиться, чем соперничать.

В большинстве компаний часто против фирмы объединяются бывшие работники. Группа топ-менеджеров, которых уволили на протяжении короткого времени, была собрана в самостоятельную организацию, соперничающую со старым местом работы. А часть сотрудников, которая осталась на старом месте, начала сливать им информацию. После вычисления группы шпионов было решено снабжать их ложными данными. В итоге новая компания обанкротилась и закрылась.

Острожно, вас снимают

Около 10% слитых в DarkNet данных о частных лицах опубликованы в виде фотографий экрана компьютера с персональной информацией, сделанных на мобильный телефон. Этот формат утечек практически не использовался в 2018 году и не привлекал внимания специалистов, говорится в отчете DeviceLock, с которым ознакомились «Известия». В рамках исследования, охватившего период с января по май 2019 года, было проанализировано более 800 документов, выложенных на различные ресурсы DarkNet, а также образцов «работ» продавцов услуг «по пробиву» (незаконное получение информации о человеке по заказу). По оценкам аналитиков, в DarkNet есть информация о десятках миллионов россиян.

Абсолютным лидером (80%) среди каналов утечек в этом году, как и в прошлом, остались выгрузки из корпоративных информационных систем на внешние носители. Еще 10% приходятся на другие способы.

Справка «Известий»

DarkNet — это скрытая сеть. Ее соединения устанавливаются только между доверенными лицами, иногда именующимися как «друзья», с использованием нестандартных протоколов и портов. Именно поэтому даркнет часто воспринимается как инструмент для коммуникации в различного рода подпольях и незаконной деятельности.

В целом более 70% сливов происходят в B2C-компаниях. В частности, в розничных банках, МФО и операторах связи, говорится в исследовании. 20% утечек данных были в B2B-компаниях (облачные сервисы или маркетплейсы услуг). Еще 10% сливов произошли в госструктурах. В качестве примера в компании привели хищение базы данных пациентов подмосковной службы скорой помощи, которая содержала имена граждан.

утечка

Фото: Global Look Press

Утечкам, в частности инсайдерским, подвергаются очень разные организации, чаще всего связанные с личными финансами, поскольку из этих данных проще всего извлечь выгоду, подтвердил «Известиям» заместитель генерального директора Zecurion Александр Ковалёв. По его словам, в первую очередь речь идет о банках, например, на базе логинов и паролей 50 тыс. пользователей онлайн-банкинга можно хорошо заработать, пояснил он.

Основатель и технический директор DeviceLock Ашот Оганесян назвал личные данные клиентов новой нефтью.

— Цифровизация бизнеса увеличивает объем персональных данных, потенциально интересных мошенникам, и одновременно облегчает доступ к ним, способствует формированию черного рынка коммерческой информации как в форме украденных баз, так и услуг «пробива», — рассказал аналитик.

Человеческий фактор

Опрошенные «Известиями» юристы подтвердили, что утекшая информация — фискальная. Фамилия, имя и отчество кассира — персональные данные, поскольку они прямо относятся к физическому лицу и позволяют его определить, пояснила партнер коллегии адвокатов Pen&Paper Екатерина Тягай. Если указанные данные содержатся в чеке, то они фискальные, указал адвокат, руководитель налоговой практики юридической компании BMS Law Firm Денис Зайцев.

За слив персональных данных в Сеть предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность — лишение свободы на срок до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.

утечки

Фото: Global Look Press/Jochen Tack/imagebroker

Утечки такого рода связаны с некорректной политикой безопасности. Если процесс настроен, то организация производит контроль внутренних и внешних периметров, отметил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По его словам, серверы попадают в открытый доступ, когда компании не очень внимательно относятся к мониторингу, а самое главное — к политике конфигурирования своих систем.

Так как результаты работы технических средств анализируют вручную, то, скорее всего, причиной утечки стал человеческий фактор, предположил технический директор «Киви» Кирилл Ермаков. Для зрелых компаний свойственно наличие строгих бизнес-процессов управления собственными серверами и программным обеспечением. И политика доступа к ресурсам извне упрощенно звучит как «запрещено всё, что не разрешено», подчеркнул эксперт.

— Возможно, в данном случае имела место ошибка конфигурирования сервера администраторами системы. Или же, к примеру, ошибка настройки межсетевого экрана, — предположил Кирилл Ермаков.

Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

Профилактика инсайдерской деятельности

Заниматься защитой информации необходимо. Проще ограничить доступ к важным сведениям, чем искать сотрудника, который сливает данные конкурентам. В профилактических целях можно воспользоваться такими простыми методами, как:

  • регулярная проверка всей корпоративной деятельности за компьютером (электронная почта, мессенджеры);
  • контроль установки ПО на все носители информации;
  • ограничение или защита использования переносных каналов и накопителей информации;
  • слежение за деятельностью копировальной техники;
  • разграничение деятельности сотрудников и их доступ к информации.

Что делать в случае выявления недобросовестного сотрудника?

Как только в компании появляется человек, сливающий информацию, это отражается на экономических показателях работы фирмы. Деятельность становится менее продуктивной, компания теряет прибыль без видимых причин, а конкуренция резко нарастает. После выявления шпиона, следящего за информацией внутри предприятия, необходимо по возможности выполнить следующие шаги:

Окончательно прекратить доступ к остаткам информации

Важно следить за пунктом, поскольку случаются ситуации, в которых бывшие сотрудники разглашают после увольнения секретные данные. Общая база документов и сведений должна регулярно обновляться, и доступ к ней должен быть только у работающих сотрудников.
Убедиться, что информация, которая поддалась разглашению, была конфиденциальной

Есть случаи, когда работодатели и владельцы забывают установить границы конфиденциальности. Это стоит предварительно обсуждать с сотрудниками при приеме на работу, а также прописывать в договорах, должностных инструкциях. В случае четкой фиксации запрещенной или ограниченной информации у владельца будут законные рычаги давления и возможность наказания после разглашения данных.
Проанализировать ущерб от разглашенной информации. Важно оценить примерные потери репутации и материальные убытки. Стоит подумать о целесообразности полномасштабной кампании по защите информации, а также по наказанию виновных. Если потери небольшие, то можно перекрыть канал утечки и уволить сотрудника без привлечения дополнительного внимания к инциденту.
Уведомить своих партнеров об утечке и ее возможных последствиях. Делайте это как можно раньше после произошедшего случая.
Инициируйте внутреннее расследование. Изначально выявление сотрудника или нескольких работников не должно афишироваться. Можно провести несколько неформальных разговоров, «собрать слухи» по офису. Необходимо услышать мнение большого количества людей, это поможет понять причины поступка и, возможно, укажет на инсайдера.
Подключить к расследованию доверенное лицо. Информатор должен быть незаинтересованным и не подчиняющимся ни одной из сторон.
Только после выявления сотрудника-шпиона можно дать объективную оценку случившемуся и постараться ее распространить в СМИ или на сайте компании, на YouTube. Компания не должна оправдываться, желательно преподнести сведения максимально нейтрально, а также сообщить о том, что все меры безопасности приняты и усилены. Можно подать информацию, как несанкционированную атаку оппонентов. Если подробности разглашенных данных портят репутацию компании, то рекомендуется обставить дело так, как будто на предприятие была совершена информационная атака по вине конкурентов, а все представленные факты – абсурдная выдумка.
Заблокировать источник утечки информации. Например, не рекомендуется работать на компьютере или носителе информации, с которого произошла утечка. Устройство необходимо направить к специалисту для выяснения масштабов разглашения данных, а также для обнаружения уязвимых мест и дальнейшей защиты. Его можно будет предъявить на судебном разбирательстве в качестве вещественного доказательства.
Установить систему защиты, например, DLP, анализирующую отправку всех файлов по электронной почте, чтобы никто не узнал.
Подписать со всеми работниками фирмы договор NDA, свидетельствующий о сохранении конфиденциальности.
Дополнительно делать бумажные копии документов. Программа, которая выдает копии, запоминает время и даты выдачи, после чего можно будет вычислить, кто из сотрудников поделился копией бумаг с конкурентами.

Способы выявить инсайдера

У каждой компании должны быть средства для защиты информации от ее разглашения посторонним лицам. Также необходимо следить за действиями сотрудников, которые могут вмешаться в защитные механизмы и похитить информацию. Способы выявления возможных шпионов следующие:

Не стоит забывать, что сотрудники могут сливать информацию не по своей вине, а скорее из-за невнимательности, несоблюдения правил техники безопасности, неправильного понимания задач. В таком случае можно сделать выговор сотруднику или обучить его действовать осторожнее. Подобные ситуации чаще всего наблюдаются среди младшего персонала

Поэтому важно проводить разъяснительные беседы с работниками всех рангов в профилактических целях

Спим спокойно

Для пользователей эта утечка относительно безопасна, в отличие от сливов информации из банков или госорганов: мошенникам сложно монетизировать полученные сведения, уверен Владимир Ульянов из Zecurion. Например, имея только электронную почту, телефон и количество комментариев под фото, нельзя списать деньги со счета или стимулировать жертву назвать дополнительные данные для перевода денег злоумышленнику, отметил эксперт. Он добавил, что покупателями такой базы могут стать рекламщики и маркетологи, которые будут рассылать сообщения или спам.

Похищенная информация может быть интересна рекламодателям в самом Instagram, который по-прежнему выступает быстрорастущим рынком в части продвижения товаров и услуг, предположил Сергей Терехов из «Техносерв».

общество

Фото: TASS/Yui Mok

Компания Facebook (владеет Instagram) уже неоднократно становилась жертвой различных скандалов, связанных с утечкой пользовательских данных: за последний год можно вспомнить не менее трех подобных случаев, рассказал эксперт. Хотя в обществе такие новости воспринимаются негативно, в целом они не сильно сказываются на активности пользователей или их избирательности в отношении публикации приватной информации о себе, отметил он.

По словам Сергея Терехова, утечки, особенно освещенные в СМИ, приводят к репутационному ущербу для организаций, что может вызвать ответные шаги. Например, дело против маркетинговой компании, из которой, предположительно, утекли данные.

Справка «Известий»

В последние годы социальные сети как в России, так и по всему миру не раз замечались в утечке персональных данных.

Весной 2018 года российская «ВКонтакте» признала попадание в открытый доступ переписок не менее 400 клиентов, которые пользовались бесплатными VPN-сервисами. В прошлом году Facebook подтвердил утечку информации из 50 млн аккаунтов, произошедшую из-за хакерского взлома. Уязвимость также была найдена в соцсети Google+, которая привела к компрометации сведений о 52,5 млн пользователей.

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий