Утечка данных — это очень серьёзный инцидент, который затрагивает не только организацию, данные которой «утекли», но и всех, кто хоть как-то с этими данными связан. Полученные в ходе утечки данные могут использоваться по-разному: от продажи их злоумышленникам до атак с целью наживы.

Каждый год злоумышленники получают доступ к миллионам, а то и миллиардам строк данных, которые не должны были к ним попасть. Среди них можно найти платёжные данные, информацию о партнёрах, клиентах и сотрудниках, а также конфиденциальную информацию по разработкам, патентам и планам развития. Как же так получается?

Аналитический отдел компании Falcongaze разобрался в этом вопросе.

Как данные «утекают» к злоумышленникам

Утечки данных условно можно поделить на две большие группы: утечки из-за атаки извне; утечки изнутри компании.

Утечки из-за атаки извне обычно происходят, когда злоумышленники целенаправленно проникают в сеть организации с целью эти данные заполучить. Обычно это происходит по следующему алгоритму:

  • исследование. Злоумышленники ищут уязвимости в сети жертвы. Такими уязвимостями могут быть плохо настроенная защита от внешних атак, уязвимости в программном обеспечении устройств или сотрудники;
  • атака. Найденные уязвимости используют для получения доступа к сети жертвы;
  • эксфильтрация. После успешного проникновения в сеть компании злоумышленники получают доступ к конфиденциальным данным жертвы. Атака считается успешной если у хакеров получается извлечь эти данные из сети организации.

Утечки изнутри компании, в свою очередь, обычно происходят по одной из двух причин: либо целенаправленный «слив» информации сотрудником, либо случайный из-за таких ошибок, как неправильная настройка базы данных или случайная отправка информации не тому адресату. А можно просто потерять устройство с конфиденциальными данными.

Утечки данных наносят как репутационный, так и финансовый урон жертвам.

Вполне логично, что люди будут терять доверие к компаниям, чьи данные «утекают» к злоумышленникам или в открытый доступ, потому что зачастую среди этих данных находится информация о клиентах и партнёрах.

Также пострадавшим от утечек компаниям часто приходится компенсировать ущерб тем, чьи данные «утекли». Отдельной графой финансовых потерь будет выплата штрафов регулирующим вопрос приватности данных органам, которые могут достигать сотен миллионов долларов. А после утечки необходимо ещё и инвестировать в защиту от утечек, чтобы впредь этого не повторилось.

За последние 10 лет произошло 300 утечек данных объёмом 100.000 и более записей. Крупнейшими из них были:

  • утечка данных 3 миллиардов аккаунтов почтового сервиса Yahoo в августе 2013. Изначально представители компании заявили о миллиарде «утекших» данных аккаунтов, но в октябре 2017 года признали утечку 3 миллиардов аккаунтов;
  • 2 миллиарда записей о пользователях сервиса Verificaions.io «утекли» в сеть из-за незащищённой базы данных в марте 2019 года. В этих базах данных можно было найти, например, имена пользователей, их адреса, телефонные номера, адреса электронной почты, даты рождения, кредитные рейтинги, позиции в своих компаниях и многое другое;
  • в марте 2018 года индийский онлайн-сервис аутентификации Aadhaar объявил об утечке записей 1.1 миллиарда граждан Индии. Среди данных были имена граждан, их уникальные идентификационные номера, а также банковские данные;
  • в мае 2019 года произошёл инцидент в Первой американской корпорации, в результате которого конфиденциальные данные 885 миллионов клиентов утекли в сеть. «Утекли» такие данные, как записи банковских счетов, номера социального страхования, данные об электронных переводах.

Утечка 146 гигабайт данных, содержащих более 540 миллионов записей о пользователях Facebook, включая их имена аккаунтов, лайки, реакции и комментарии в апреле 2019 года.