Зачем хакеры крадут данные пользователей?
Спойлер: на них можно неплохо заработать
В конце прошлой недели Facebook сообщил об уязвимости, которая позволяла хакерам получить доступ к 50 млн аккаунтов. Но что злоумышленники могли бы сделать с этими данными? Ответ достаточно прост: в большинстве случаев данные крадут, чтобы потом их перепродать. Заработать получится достаточно много. По оценкам экспертов, в 2018 году доходы хакеров от продажи пользовательских данных достигнут $160 млрд. Это третья по размеру статья доходов для киберпреступников. Более половины из $1,5 трлн доходов от киберпреступлений приходится на нелегальные онлайн-магазины, а на втором месте находится продажа коммерческих тайн и интеллектуальной собственности — $500 млрд.
Если говорить о доходах отдельных хакеров, то больше остальных зарабатывают как раз преступники, эксплуатирующие уязвимости сайтов. За счет кражи пользовательских данных у социальных сетей, коммерческих компаний, банков и их последующей перепродажи, злоумышленники получают более чем $2 млн в год. О прибыльности таких краж говорят и постоянные новости об утечках. Помимо последнего заявления Facebook, вспомним еще несколько примеров: в 2013-2014 годах случилась крупнейшая в истории утечка, Yahoo сообщил о доступе к данным 3 млрд пользователей. В 2018 году хакеры получили информацию о 150 млн клиентов спортивной корпорации Under Armour. Об утечке еще 145 млн пользовательских данных сообщал в 2014 году Ebay, 87 млн — в 2018 году тот же Facebook.
В дальнейшем хакеры могут использовать полученные сведения для фишинга, вывода бонусных баллов, доступа к аккаунтам в соцсетях и для снятия денег с чужих банковских карт. Есть и такой пример использования данных: следя за соцсетями пользователей, хакеры иногда действуют в партнерстве с «традиционными» преступниками, ждут, когда человек уезжает в отпуск, и затем проникают в квартиры.
К сожалению, пока уровень борьбы с киберпреступлениями не особенно высок. Некоторые ИБ-компании, например, предлагают людям отслеживать, появилась ли информация о них в даркнете. Проблема в том, что если утечка уже произошла, минимизировать убытки от нее не всегда возможно.
Беспечность владельцев сайтов можно объяснить тем, что индустрия киберпреступлений сравнительно молода — если сравнивать с «оффлайновыми» кражами, то их многовековая история в конце концов научила людей заботиться о сохранности своего имущества и ставить на двери замки. Но мы надеемся, что забота о пользовательских данных скоро станет важной для всех сайтов, ведь проще заранее защитить данные, чем потом пытаться смягчить финансовые и репутационные потери. Остается, правда, вопрос: должны ли о данных заботиться исключительно сайты, или какие-то меры должны принимать и сами пользователи?
В связи с постоянными утечками интересно узнать ваше мнение:
Проблема состоит не столько в небрежном отношении компаний к защите персональных данных, сколько в том, что неправильна сама модель, основанная на централизованной базе данных. Использование DLT решит эту проблему и рано или поздно это произойдёт, тогда каждый пользователь будет владеть приватными ключами от своей информации и никто не сможет получить к ней доступ без его ведома.
И как же DLT решит проблему паролей на уровне сложности "12345", "пароль", "admin" и т.д.?
- когда я родился незнакомые мне люди написали все мои данные и данные моих родителей и куда то их "записали"
- идешь в школу - опять данные ребенка и родителей - херзнает куда и для чего спрашивают и пишут.
- паспорт выдает опять таки незнакомый человек и все данные хранятся в государственной дырявой системе. (так же как и права, осаго и т.п. )
таким образом это НЕ ваши личные данные. Это данные для регистрации вас в государстве и по сути они публичны. т.к. милиция, банки, мошенники, да кто угодно могут легко получить их.
что же у вас личного ?
- наприер Емайл - Вы сами можете завести почту , и никто не сопоставит вас в реале и ваш почтовый ящик. Это действительно - ваши личные данные.
вот телефон - НЕТ . его вам выдают по паспорту, а значит номер Вам - назначен. ОН не ваш. Как дали - так и заберут точно зная кто вы в реальности и как зарегистированы в государстве. По сути это как дополнительное поле в паспорте.
Игровой ник - это Вы придумаете себе и только Вы знаете кто скрывается за игровым именем - Это ваши личные данные.
все что вам ДАЛИ - паспорт, номер, пинка под зад - это НЕ что то ваше личное. Это не ваши личные данные . Еще скажите что заключенный в тюрьме может не разглашать свой номер надзирателю т.к. это его "личные данные" по сути номер то выдали так же как и паспорт :)
Забавно, что именно ваш e-mail и пароль к нему имеют самые высокие шансы утечь к злоумышленникам :)