Хватит винить мобильные приложения: все о настоящих причинах утечек данных

Все слышали историю о Facebook — компанию обязали заплатить рекордный для всей истории штраф в 5 млрд долларов за утечку данных. Алексей Чувашов, директор 65apps рассказывает, насколько опасно иметь уязвимости в сайтах и приложениях (спойлер — опаснее на стороне бэкенда), как ими могут воспользоваться злоумышленники и что вам за это будет.

Конечно, история с Facebook совершенно не показательна. Там было слишком много заинтересованных сторон, замешана большая политика и в целом настороженное отношение США к успехам компании Цукерберга — которую то в утечках обвинят, то в монополизме. Вряд ли вам грозит 5 миллиардов штрафа. Но риски есть у всех, и ощутимые.

Здесь всё просто: когда данные, которые не должны быть в публичном доступе, там оказываются. Это может быть как конфиденциальная бизнес-информация, вроде динамики выручки за квартал, так и персональные данные клиентов этого бизнеса — паспортные данные, телефоны, адреса электронной почты, данные банковских карт.

Чаще всего мы видим в новостях скандалы, связанные со вторым типом.

Если вы думали, что кражей данных занимаются хакеры и их организованные группы, то это только половина правды. На самом деле многие крупные «сливы» данных не обходятся без участия инсайдеров — самих сотрудников компаний.

Почему данные утекают и кто в этом заинтересован:

Прямая продажа данных. Часть данных публикуют, остальные выставляют на аукцион. Например, недавняя утечка данных CD Projekt RED, составившая 193 ГБ, была выставлена злоумышленниками на аукцион со стартовой ценой в $1 млн. Среди данных был исходный код Witcher 3 и Cyberpunk 2077. Сама студия отказалась выкупать похищенные данные.

Вымогательство денег у компании. Недавний инцидент с базой Capcom: злоумышленники скачали 1ТБ данных и взамен требовали $11 млн в биткоинах. Компания отказалась платить, после чего данные были обнародованы — контакты клиентов, деловых партнеров, даты релизов новых продуктов, общее число пострадавших в Capcom оценили в 390 тысяч человек.

Шантаж пользователей. Бывает, когда объектом вымогательства становится не компания, а сами пользователи. Обычно материалом для шантажа выступают базы данных сайтов и заведений, о связи с которыми пользователи не хотели бы распространяться — например, психиатрических клиник и сайтов с содержимым 18+.

«Пробив» данных. Популярная услуга, которую предлагают в даркнете или тематических Telegram-каналах. За деньги вам добывают данные о человеке, вплоть до местоположения при последнем звонке. Само собой, тут не обходится без помощи инсайдеров — например, сотрудников телеком-компаний.

Урон репутации. Киберпреступников могут нанимать конкуренты, чтобы спровоцировать скандал вокруг компании-мишени, или же хакеры действуют по своей воле. В таком случае цель атаки — не столько использование украденных данных, сколько ухудшение PR и влияние на рыночную стоимость компании. Явление редкое, но все ещё встречается.

Например, в 2018 стало известно об утечке данных фитнес-приложения My Fitness Pal. Хешированные пароли, email и ники 150 миллионов пользователей появились в даркнете за месяц до того, как производитель спортивной экипировки Under Armour, которому принадлежит сервис, обнаружила проблему. Хотя хакерам не удалось добраться до номеров кредитных карт и другой стратегически важной информации, а уязвимость оперативно устранили, акции компании сразу же упали на 4,6%.

За прошлый год российский рынок мобильных приложений показал колоссальный рост: доля установок увеличилась на 21% — рекорд для Цен­траль­ной и Вос­точной Ев­ро­пы. И если первый квартал пришелся на игры и развлечения, то второй на бизнес: в Google Play эта категория выросла на 115%, а на устройствах iOS приложения «Покупки» — на 25% по сравнению с прошлым кварталом.

Причины такого бума объяснить несложно. Самоизолировавшиеся пользователи, заботясь о здоровье, в полной мере оценили все преимущества мобильных приложений, а бизнес стал стремиться к тому, чтобы удовлетворять растущие потребности и организовать продажи через все доступные каналы — словом, звезды сошлись.

Через мобильные приложения стало проходить колоссальное количество данных.

А теперь нужно прояснить кое-что об уязвимостях мобильных приложений. Когда мы читаем в СМИ новости о том, что из очередного приложения произошла крупная утечка данных — приложение вообще не при чем. Да, само приложение (клиентскую часть) тоже могут взломать, но таким образом злоумышленник может получить данные одного человека.

Массовые утечки происходят из-за уязвимостей в бэкенде, в веб-приложениях — именно так хакеры получают доступ к базам данных.

Уязвимости веб-приложений — главная причина массовых утечек данных, которые затем оборачиваются большими публичными скандалами и даже штрафами.

Данные циркулируют внутри закрытой цепочки клиент-сервер. В качестве клиента может выступать сайт, мобильное приложение, корпоративное ПО и так далее — то, с чем взаимодействует пользователь. Сервер — это место, где непосредственно хранится и обрабатывается информация. По сути это еще одно приложение плюс физические мощности. Сервер может находиться в защищенном дата-центре, которые мы все видели в кино, а может быть развернут и на обычном компьютере.

Чтобы пара клиент-сервер работали, между ними нужно настроить связь — заставить их «общаться» и синхронизировать данные через интернет. Этим занимаются backend-разработчики — с помощью API они создают ту самую единую цепочку. Когда всё функционирует, вы можете оплачивать покупки или писать друзьям в мессенджер со своего смартфона.

Чтобы иметь доступ к данным, злоумышленники должны получить «пропуск» в эту цепочку. Они могут сделать это несколькими способами.

Получение устройства. Киберпреступники могут попытаться завладеть устройством пользователя и паролем доступа к нему. Такие сценарии достаточно рискованны, поэтому редки — владелец может быстро заметить пропажу и заблокировать свое устройство. Тем более, что этот сценарий подразумевает, что злоумышленник «подставляется» и рискует сам. По данным статистики, 89% уязвимостей можно воспользоваться удаленно.

Атака на приложение-клиент. Существует расхожее мнение, что iOS-приложения значительно менее уязвимы, чем приложения, написанные под Android. Это миф: обе системы могут быть взломаны, риск уязвимости Android-приложений оценивают в 43%, iOS-приложений в 38% (здесь и далее данные исследований Positive Technologies).

Сценарии могут быть различными, например, злоумышленники могут предложить установить вредоносное ПО, вроде кастомной клавиатуры, которая по факту будет считывать и запоминать нажатия клавиш — и таким образом пользователь может передавать свои пароли, паспортные данные и многое другое.

Или же киберпреступники могут воспользоваться уязвимостью в хранении данных, работе с сессиями, механизмах защиты — например, когда чувствительные данные передаются в незащищенном виде или нет ограничения на количество попыток ввода пароля.

Чтобы все эти «лазейки» открылись, пользователь должен установить на свое устройство вредоносное ПО. Для того, чтобы сделать это, существует масса способов — например, рассылка спама со ссылками на скачивание таких утилит.

Атака на серверную часть. Не стоит приравнивать защищенность самих дата-центров к защищенности веб-приложений, которые установлены на серверах. Именно их чаще всего атакуют злоумышленники, чтобы получить доступ к базам.

И иногда для этого им даже не нужно прикладывать усилия. Например, есть такой популярный поисковый движок Elasticsearch — им пользуется Amazon, Netflix, SoundCloud и миллионы других сайтов, где разработчики написали внутренний поиск (например, интернет-магазины). И дело в том, что разработчики не всегда корректно используют этот инструмент и часто не заботятся о безопасности данных — их можно легко «просканировать» и вытащить персональные данные пользователей таких сайтов. Имейлы, пароли, телефоны, историю заказов, выбранные способы оплаты. Бизнес-информацию, кстати, тоже — например, через непрофессионально настроенный Elasticsearch можно раздобыть данные о поставках.

Утечки из-за неумения работать с этим продуктом происходят ежегодно и исчисляются сотнями терабайтов.

Это всё только малая часть сценариев, по которым данные могут оказаться под угрозой. Как бизнесу обезопасить себя?

Давайте подытожим, а потом добавим несколько критериев, которые стоит учитывать еще до старта разработки.

Данные похищают по разным причинам, чаще всего это деньги — данные продают на аукционе или вымогают деньги у компании.

Все массовые утечки данных происходят из-за дыр в безопасности веб-приложений, бэкенда, а не мобильных приложений. Через уязвимость мобильного приложения можно похитить данные, которым имеет доступ конкретный пользователь.

Некоторые компании мало заботятся о безопасности — в итоге данные пользователей злоумышленники могут получить почти без усилий, применяя программы-сканеры.

• Искать компанию-разработчика вместе с компанией, которая будет тестировать продукт на безопасность, проводить penetration-тесты. Ответственность нужно разделять по простой причине: разработчик или владелец студии — заинтересованная сторона, а проверка должна быть независимой.
• Желательно, чтобы команда работала по стандартам безопасности, например OWASP — открытого проекта по обеспечению безопасности веб-приложений (для мобильной разработки есть Mobile OWASP). Этот проект не выдает сертификатов, все стандарты и рекомендации есть в общем доступе.
• Изучить портфолио компании-разработчика. Если там есть приложения, связанные с платежными данными (банк-клиенты и другие платежные приложения), то следующим шагом проверьте медиа: нет публикаций об утечках среди этих компаний — хорошо.
• Проводить собеседования специалистов, которые будут работать над вашим проектом и определять уровень их компетенций в сфере информационной безопасности.

Если приложение уже разработано, то лучше привлечь независимых аудиторов по безопасности, чтобы они проверили продукт на уязвимости. В целом, такой сценарий стоит планировать и в самом начале разработки нового приложения.

Наконец, с запуском приложения в публичный доступ работа над безопасностью не заканчивается. Проводите регулярные пен-тесты: технологии меняются, там, где раньше не было уязвимости, она может появиться.

P.S. Подписывайтесь на наш блог, мы теперь и здесь :)