Утечки данных: обзор самых крупных инцидентов в России и мире за 2020 год

Привет, мы в учебном центре «Инфобезопасность» (совместно с Брянским Государственным Техническим Университетом) проводим курсы по информационной безопасности, а также следим за соответствующими инцидентами, связанными с кибератаками, взломами данных, уязвимостями приложений и пр.

С начала 2019 года мы ведём специальный раздел, где фиксируем самые заметные случаи с утечками данных. Мы делаем это для того, чтобы обратить внимание бизнеса и рядовых пользователей Интернета на важность понимания основ информационной безопасности.

Мы подготовили список самых крупных утечек данных за 2020 год, которые попадали в СМИ и Telegram-каналы.

27 июня Коммерсант рассказал об утечке крупной онлайн-школы английского языка Skyeng. Данные 5 млн. студентов и сотрудников были выставлены на продажу в Интернете за 40 000 руб.

29 апреля, РБК сообщил, что данные 12 млн. Россиян, желающих взять кредит, выставили на продажу на теневом форуме. Продавец заявил, что это данные граждан, обращавшихся за оформлением займов в микрофинансовых организациях в 2017–2019 гг.

25 января порталу Securitylab стало известно, что на одном из англоязычных форумах в свободном доступе появился список клиентов сети магазинов «Красное и Белое». За 15 тыс. руб. продавец предлагал купить 17 млн. записей, содержащих: ФИО, даты рождения, номера телефонов и электронные адреса. Следует отметить, что утечку сети К&Б впервые обнаружил Telegram-канал «Утечки информации» ещё в июне 2019 года. Тогда лот содержал только 33 тыс. записей.

31 августа в даркнете появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн. записей. В тестовом файле, который удалось получить журналистам «Известий», содержались ФИО, номера телефонов и паспортов 14 клиентов. Они сопоставили данные в системе быстрых платежей по контактному номеру и выяснили, что 11 из 14 записей совпали с теми, что содержались в тестовом фрагменте базы. Одна запись продавалась за 25 руб.

16 марта упомянутый ранее Telegram-канал «Утечки информации» обнаружил в Интернете базу данных клиентов столичных ресторанов и магазинов. Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян. Только в одном из индексов (разделов) сервера находилось 55 млн. строк, из которых 21 млн. содержали телефонные номера.

15 июля Telegram-канал «Утечки информации» сообщил, что данные всех пользователей онлайн-сообщества для писателей и читателей Wattpad.com попали в руки хакеров. MySQL-дамп содержал 119 ГБ / 270 млн. строк с данными зарегистрированных пользователей сервиса.

12 февраля исследователь Джереми Фаулер из Security Discovery обнаружил незащищённую базу данных косметической компании Estée Lauder Companies Inc., в которой содержалось 440 млн. записей (email-адреса, отчёты и внутренние документы, IP-адреса и другие данные).

19 марта пользователь Weibo обнаружил, что 538 млн. телефонных номеров пользователей Weibo выставлены на продаже на китайском форуме, из которых 172 млн. номеров с личными данными. Хакеры получили доступ к именам учётных записей пользователей платформы, паролям, номерам идентификаторов, географическому положению, количеству публикаций, количеству подписчиков и подписок.

12 марта The Washington Post опубликовала статью, где утверждалось, что мобильное приложение для обмена анонимных сообщений Whisper допустило утечку данных 900 млн. пользователей, по причине оставленного в сети сервера без пароля. Дамп содержал множество компрометирующих сведений о пользователях, связанных с каждым «шепотом» (название публикации), включая сексуальную ориентацию, пол, возраст, этническую принадлежность, псевдоним, место работы и данные о местоположении для последнего сообщения пользователя.

30 апреля французская газета Le Figaro обнародовала 7,4 млрд. записей пользователей. Об этом узнала исследовательская группа Security Detectives под руководством Anurag Sen. База, размещенная на сервере Elasticsearch, содержала более 8 ТБ данных. Она позволяла установить личность пользователей, имеющих доступ к профилям на сайте Le Figaro.

В статье с аналогичным рейтингом за 2019 год, мы писали, что тремя основными причинами взлома данных являются:

1. Внешняя хакерская атака;
2. Сбой систем безопасности и внутренние уязвимости;
3. Человеческий фактор.

18,7% всех утечек данных происходят из-за человеческого фактора.

Злоумышленникам зачастую даже не приходится придумывать изощрённые методы взлома. Проникновение в системы начинаются с простых проверенных способов – фишинговых писем и поддельных веб-сайтов.

И это работает.

Что сотрудники организаций, имеющие доступ к чувствительным данным, что рядовые пользователи Сети, проверяющие почту с компьютера или мобильного устройства – большая часть из них не имеют ни малейшего представления о том как обезопасить себя от финансовых и репутационных потерь (Дзюба, привет).

9 февраля Госдума приняла во втором чтении законопроект, ужесточающий наказания за нарушения в сфере защиты персональных данных.

• Для граждан — 2 тыс. до 6 тыс. руб;
• Для должностных лиц – от 10 тыс. до 20 тыс. руб;
• Для юридических лиц — от 60 тыс. до 100 тыс. руб.

За повторное нарушение:

• Для граждан — 4 тыс. до 12 тыс. руб;
• Для должностных лиц – от 20 тыс. до 50 тыс. руб;
  
• Для юридических лиц — от 100 тыс. до 300 тыс. руб.
  

Обработка личной информации без письменного согласия гражданина будет наказываться штрафом от 6 тыс. до 10 тыс. рублей (физлица), от 20 тыс. до 40 тыс. рублей (должностные лица), от 30 тыс. до 150 тыс. рублей (юрлица).

В эпоху цифрового мира, рассказывать об основах информационной безопасности необходимо со школьной скамьи. Пока даже взрослое поколение отличается низкой грамотностью использования сети Интернет.

Для сотрудников организаций, которые работают с данными, лекции с основами информационной безопасности должны проходить на уровне корпоративного обучения.

Повышайте свой уровень информационной безопасности.

Предупреждён — значит вооружён.