С инцидентами безопасности приходится сталкиваться даже ИТ-мастодонтам вроде IBM и корпорациям-гигантам вроде Yahoo!. Среди причин — человеческий фактор и инсайдерские трюки. В 2018 году едва ли станет лучше, поэтому эксперты «СерчИнформ» рекомендуют проводить разъяснительные работы с персоналом, контролировать активы компаний, просчитывать риски и совершенствовать системы безопасности.
В течение года специалисты «СерчИнформ» следили за новостями утечек и, подводя итоги, собрали самые громкие инциденты.
По объему скомпрометированных данных
«Матерь всех утечек»: в открытом доступе оказались 560 млн адресов электронной почты и паролей. О находке в мае 2017 года сообщил Центр изучения безопасности MacKeeper. Упорядоченную и удобную для чтения базу весом 75 Гб назвали «матерью всех утечек» из-за данных, которые уже были скомпрометированы ранее. Эксперты установили, что речь идет как минимум о десяти известных утечках данных пользователей MySpace, LinkedIn, Last.fm, Dropbox, Tumblr и других популярных ресурсов.
Персональные данные 198 млн избирателей США хранились в облаке Amazon в открытом доступе. База размером 1,1 Тб включала обширные сведения об избирателях для предвыборного штаба Дональда Трампа: их имена и даты рождения, телефоны и домашние адреса, данные о регистрации избирателя и даже религиозные и этнические взгляды. Информация о 62% населения США не была защищена даже паролем. Федеральные власти узнали об уязвимости 12 июня 2017 года, утечку устранили в течение двух суток.
В Индии из государственной системы биометрической идентификации Aadhaar «утекли» уникальные ID-номера 135 млн граждан. По кодам из 12 цифр можно было установить имена и фамилии, номера телефонов и адреса проживания, а также реквизиты банковских счетов жертв. Анкеты из крупнейшей в мире базы с биометрической информацией также включали снимки радужной оболочки глаза и отпечатки пальцев. Ответственность за майский инцидент 2017 года несут чиновники, организующие сбор и обработку персональных данных.
По национальному масштабу
В июле 2017 года на одном из популярных форумов в даркнете появилось объявление о продаже данных Medicare Australia — системы государственного медицинского страхования. Автор сообщал, что готов передать персональные данные любого австралийца всего за 0,0089 биткоина (порядка 22 долларов). По данным Guardian Australia, за 10 месяцев автор объявления продал не меньше 75 файлов, информации в которых было достаточно для создания поддельных карт Medicare с реальными данными.
Базу с персональными данными «почти каждого» жителя Малайзии предложили за один биткоин. В ноябре 2017 года была зафиксирована одна из крупнейших утечек клиентских данных в Азии. База, размещенная в «темном интернете», включала 46,2 млн мобильных телефонов и данных SIM-карт, а также домашние адреса и номера ID-карт клиентов минимум 12 местных операторов связи. Для сравнения: население Малайзии едва превышает 31 млн человек. Министерство связи страны рассматривает несколько возможных источников утечки. В частности, инсайдером мог быть работник подрядчика, который обеспечивал обработку этих данных для Малазийской комиссии по коммуникациям и мультимедиа.
Персональные данные миллионов граждан Швеции утекли по вине ИТ-подрядчика. Государственное транспортное агентство Швеции поручило обслуживание ИТ-инфраструктуры, включая обработку персональных данных, корпорации IBM, а та делегировала задачу подрядчикам в Румынии и Чехии. Фотографии, имена и адреса миллионов граждан Швеции утекли уже оттуда. В частности, рассекретились данные о владельцах транспортных средств, принадлежащих полиции и армии, о сотрудниках спецслужб и пилотах ВВС, подозреваемых в преступлениях и участниках программы защиты свидетелей. Утечку данных обнаружили в 2016 году. По итогам расследования глава агентства получил штраф в 70 тыс. шведских крон (примерно 7,5 тыс. евро) и был уволен. 27 июля 2017 года из-за скандала вокруг утечки постов также лишились министр внутренних дел и министр инфраструктуры.
По величине потерь
Американская розничная сеть Target выплатила 75 млн долларов за утечку четырехлетней давности. Шестой по величине ритейлер США оплошал в декабре 2013 года: уязвимость платежных терминалов стала причиной утечки платежных данных 40 млн банковских карт. Через месяц количество пострадавших достигло 70 млн. 39 млн долларов Target возместила банкам, 10 млн долларов — жертвам инцидента, 6,75 млн — юристам. А в мае 2017 года ритейлер выплатил еще 18,5 млн долларов штрафа.
Расходы, связанные с утечкой данных кредитного бюро Equifax, превысят 100 млн долларов. Мошенники проникли в сеть компании в мае 2017 года и в течение трех месяцев могли беспрепятственно обращаться к личной информации минимум 143 млн клиентов. Среди данных фигурировали имена и даты рождения, адреса, номера соцстрахования, а в некоторых случаях и реквизиты банковских карт.
В результате утечек бизнес Yahoo! потерял 87% от своей рыночной стоимости. Решение было принято 30 августа 2017 года в окружном суде Сан-Хосе, штат Калифорния: компания ответит за три масштабные утечки и более трех лет их сокрытия. Первый инцидент произошел в 2013 году — утекло более миллиарда учетных записей. В 2014-м были скомпрометированы данные более 500 млн аккаунтов. Третье нарушение произошло в 2015-2016 гг. Вскоре после того, как инциденты получили огласку, Verizon Communications выкупила интернет-бизнес Yahoo!, сбив цену с 37 млрд. до 4,76 млрд долларов, но теперь предстоящие судебные тяжбы обещают компании немалые расходы.