Утечки данных: обзор самых крупных инцидентов в России и мире за 2020 год
Привет, мы в учебном центре «Инфобезопасность» (совместно с Брянским Государственным Техническим Университетом) проводим курсы по информационной безопасности, а также следим за соответствующими инцидентами, связанными с кибератаками, взломами данных, уязвимостями приложений и пр.
С начала 2019 года мы ведём специальный раздел, где фиксируем самые заметные случаи с утечками данных. Мы делаем это для того, чтобы обратить внимание бизнеса и рядовых пользователей Интернета на важность понимания основ информационной безопасности.
Мы подготовили список самых крупных утечек данных за 2020 год, которые попадали в СМИ и Telegram-каналы.
ТОП-5 крупнейших утечек данных 2020 года в России
#5
27 июня Коммерсант рассказал об утечке крупной онлайн-школы английского языка Skyeng. Данные 5 млн. студентов и сотрудников были выставлены на продажу в Интернете за 40 000 руб.
#4
29 апреля, РБК сообщил, что данные 12 млн. Россиян, желающих взять кредит, выставили на продажу на теневом форуме. Продавец заявил, что это данные граждан, обращавшихся за оформлением займов в микрофинансовых организациях в 2017–2019 гг.
#3
25 января порталу Securitylab стало известно, что на одном из англоязычных форумах в свободном доступе появился список клиентов сети магазинов «Красное и Белое». За 15 тыс. руб. продавец предлагал купить 17 млн. записей, содержащих: ФИО, даты рождения, номера телефонов и электронные адреса. Следует отметить, что утечку сети К&Б впервые обнаружил Telegram-канал «Утечки информации» ещё в июне 2019 года. Тогда лот содержал только 33 тыс. записей.
#2
31 августа в даркнете появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн. записей. В тестовом файле, который удалось получить журналистам «Известий», содержались ФИО, номера телефонов и паспортов 14 клиентов. Они сопоставили данные в системе быстрых платежей по контактному номеру и выяснили, что 11 из 14 записей совпали с теми, что содержались в тестовом фрагменте базы. Одна запись продавалась за 25 руб.
#1
16 марта упомянутый ранее Telegram-канал «Утечки информации» обнаружил в Интернете базу данных клиентов столичных ресторанов и магазинов. Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян. Только в одном из индексов (разделов) сервера находилось 55 млн. строк, из которых 21 млн. содержали телефонные номера.
ТОП 5 крупнейших утечек данных 2020 года в Мире:
#5
15 июля Telegram-канал «Утечки информации» сообщил, что данные всех пользователей онлайн-сообщества для писателей и читателей Wattpad.com попали в руки хакеров. MySQL-дамп содержал 119 ГБ / 270 млн. строк с данными зарегистрированных пользователей сервиса.
#4
12 февраля исследователь Джереми Фаулер из Security Discovery обнаружил незащищённую базу данных косметической компании Estée Lauder Companies Inc., в которой содержалось 440 млн. записей (email-адреса, отчёты и внутренние документы, IP-адреса и другие данные).
#3
19 марта пользователь Weibo обнаружил, что 538 млн. телефонных номеров пользователей Weibo выставлены на продаже на китайском форуме, из которых 172 млн. номеров с личными данными. Хакеры получили доступ к именам учётных записей пользователей платформы, паролям, номерам идентификаторов, географическому положению, количеству публикаций, количеству подписчиков и подписок.
#2
12 марта The Washington Post опубликовала статью, где утверждалось, что мобильное приложение для обмена анонимных сообщений Whisper допустило утечку данных 900 млн. пользователей, по причине оставленного в сети сервера без пароля. Дамп содержал множество компрометирующих сведений о пользователях, связанных с каждым «шепотом» (название публикации), включая сексуальную ориентацию, пол, возраст, этническую принадлежность, псевдоним, место работы и данные о местоположении для последнего сообщения пользователя.
#1
30 апреля французская газета Le Figaro обнародовала 7,4 млрд. записей пользователей. Об этом узнала исследовательская группа Security Detectives под руководством Anurag Sen. База, размещенная на сервере Elasticsearch, содержала более 8 ТБ данных. Она позволяла установить личность пользователей, имеющих доступ к профилям на сайте Le Figaro.
Почему происходят утечки данных
В статье с аналогичным рейтингом за 2019 год, мы писали, что тремя основными причинами взлома данных являются:
- Внешняя хакерская атака;
- Сбой систем безопасности и внутренние уязвимости;
- Человеческий фактор.
18,7% всех утечек данных происходят из-за человеческого фактора.
Злоумышленникам зачастую даже не приходится придумывать изощрённые методы взлома. Проникновение в системы начинаются с простых проверенных способов – фишинговых писем и поддельных веб-сайтов.
И это работает.
Что сотрудники организаций, имеющие доступ к чувствительным данным, что рядовые пользователи Сети, проверяющие почту с компьютера или мобильного устройства – большая часть из них не имеют ни малейшего представления о том как обезопасить себя от финансовых и репутационных потерь (Дзюба, привет).
Как изменился закон о защите персональных данных в РФ
9 февраля Госдума приняла во втором чтении законопроект, ужесточающий наказания за нарушения в сфере защиты персональных данных.
- Для граждан — 2 тыс. до 6 тыс. руб;
- Для должностных лиц – от 10 тыс. до 20 тыс. руб;
- Для юридических лиц — от 60 тыс. до 100 тыс. руб.
За повторное нарушение:
- Для граждан — 4 тыс. до 12 тыс. руб;
- Для должностных лиц – от 20 тыс. до 50 тыс. руб;
- Для юридических лиц — от 100 тыс. до 300 тыс. руб.
Обработка личной информации без письменного согласия гражданина будет наказываться штрафом от 6 тыс. до 10 тыс. рублей (физлица), от 20 тыс. до 40 тыс. рублей (должностные лица), от 30 тыс. до 150 тыс. рублей (юрлица).
Цифровая гигиена – важное образование
В эпоху цифрового мира, рассказывать об основах информационной безопасности необходимо со школьной скамьи. Пока даже взрослое поколение отличается низкой грамотностью использования сети Интернет.
Для сотрудников организаций, которые работают с данными, лекции с основами информационной безопасности должны проходить на уровне корпоративного обучения.
Повышайте свой уровень информационной безопасности.
Предупреждён — значит вооружён.
Wattpad.com даже не знал, что существует такой портал. Круто