Ничего личного: как утекали базы данных в 2020 году
Базы данных – важная составляющая бизнес-процессов любой организации, т.к. они обеспечивают эффективное хранение, извлечение и анализ информации. Мы и сами используем их регулярно: при поиске в Сети, при вводе логинов и паролей, ФИО, телефона, паспортных данных или номера полиса ОМС. Многие добровольно делятся своими личными данными и даже не допускают мысли о возможных негативных последствиях.
Между тем, 2020 год поставил новые рекорды по количеству попавших в открытый доступ баз данных. В России за январь-сентябрь утекло около 100 млн записей: персональные данные, платежная информация, номера телефонов и кредитных карт.
В июне 2020 на черном рынке появилась база с данными более 100 тысяч россиян, эвакуированных из-за границы после начала пандемии. База содержит ФИО, адреса и телефоны, паспортные данные, даты въезда и выезда из России и продается за 44 млн рублей. А в декабре стало известно о крупной утечке данных 300 000 переболевших москвичей. По словам главы Департамента информационных технологий Москвы, утечка произошла из-за человеческого фактора. Данные включали ФИО больных, адреса проживания и регистрации, информацию о течении болезни и результаты анализов.
Почему утекают данные
В фильмах нам часто показывают хакеров, взламывающих сверхсекретные базы данных из своих полутемных комнат. Однако реальные причины, по которым конфиденциальные данные становятся общедоступными, куда прозаичнее сценария типичного голливудского фильма.
Очень часто утечки данных происходят по вине сотрудников компании. Причины разные: кража (промышленный шпионаж), халатность (например, ошибки в конфигурации серверов баз данных), в конце концов простая человеческая ошибка. Согласно исследованию InfoWatch, около 80% нарушений, связанных с утечкой конфиденциальных данных, происходит по вине сотрудников организаций.
За информацией охотятся непосредственно сами злоумышленники для дальнейшей атаки, а также «ресейлеры», которые затем выставляют объявления о ее продаже на площадках в Dark Web. Сегодня на черном рынке наблюдается особенно высокий спрос на базы данных. Согласно отчету о ценах на черном рынке, самым популярным товаром являются данные банковского сектора. Информация о физических лицах-клиентах банка может стоить от 5 000 до 35 000 рублей, а цены на данные о клиентах мобильных операторов варьируются от 400 до 45 000 рублей.
Обзор утечек 2019-2020
Назвать точное количество всех произошедших утечек сложно. Зато, имея информацию о нескольких сотнях инцидентов, можно составить представление о том, какие данные чаще всего попадают в руки злоумышленников. Что мы и сделали.
Специалисты Digital Security изучили информацию о 250 громких утечках за 2019-2020 годы и выяснили, что...
- чаще всего от подобных инцидентов страдают интернет-магазины, банки, страховые компании и медицинские учреждения
- объем самой большой базы данных, попавшей в открытый доступ, составил 880 млн. строк
- большинство утекших баз (88%) содержит ФИО
- половина (51%) содержит номера телефонов и адреса электронной почты пользователей — этим отчасти объясняется рост случаев телефонного мошенничества
- паспортные данные содержат 10% утекших баз
Больше фактов в обзоре. Вы можете ознакомиться с ним подробнее.
Как сохранить данные в безопасности?
Базовые меры для снижения риска утечки данных на корпоративном уровне, с которых мы советуем начать: обучение и оперативное информирование сотрудников, управление доступом к данным и обеспечение своевременного обнаружения проблемы. Если в штате имеются профессионалы, отвечающие за информационную безопасность, и надежные процессы для предотвращения ошибок пользователя, риск утечки может быть сведен к минимуму.
Обычным пользователям советуем быть более бережными к своим данным и соблюдать следующие правила:
- Использовать свои настоящие данные только там, где необходимо. Иногда, для неважных операций, вполне можно использовать псевдоним, создать отдельный аккаунт или почтовый ящик
- Регулярно обновлять ПО и аппаратные решения. С каждым новым обновлением разработчики исправляют в том числе и ошибки безопасности
- Не переходить по подозрительным ссылкам из электронных писем. Не скачивать вложения из них
- Авторизуясь или оплачивая что-то на каком-либо веб-сайте, убедиться, что это не клон (обращайте внимание на адрес и домен)
- Использовать сложные пароли, надежно хранить и никому их не сообщать. Для генерации надежного пароля можно воспользоваться специальным сервисом, например: www.pwdgen.org
- Периодически проверять, не утекли ли ваши логины-пароли и при необходимости менять их. Проверить можно, например, здесь: www.haveibeenpwned.com
Оставайтесь в безопасности!
добровольный слив emaila ))))
Как пользователь FF, очень рекомендую вот этот их сервис https://monitor.firefox.com/. Чекает, например, ваш адрес электронной почты - в каких утечках он мог фигурировать.
Плюс доступен лист последних утечек от сервиса haveibeenpwned.com для удобства.