В 2018 году в мире было зарегистрировано 2263 публичных случая утечки конфиденциальной информации. Персональные данные и платёжная информация были скомпрометированы в 86% инцидентов — это около 7,3 миллиарда записей пользовательских данных. Японская криптобиржа Coincheck в результате компрометации онлайн-кошельков её клиентов потеряла 534 миллиона долларов. Это был наибольший заявленный ущерб.
Какова будет статистика за 2019 год, пока неизвестно. Но нашумевших «сливов» уже довольно много, и это печально. Мы решили сделать обзор наиболее обсуждаемых утечек с начала года. «То ли ещё будет», как говорится.
18 января: базы Collection
18 января в СМИ стали появляться сообщения о найденной в открытом доступе базе данных на 773 млн почтовых ящиков с паролями (в том числе и пользователей из России). База представляла собой накопленную за несколько лет коллекцию из утёкших баз данных около двух тысяч разных сайтов. За что и получила название Collection #1. По размеру она оказалась второй в истории базой взломанных адресов (первой считался архив с 1 млрд пользователей Yahoo!, появившийся в 2013 году).
Вскоре выяснилось, что Collection #1 — это лишь часть массива данных, оказавшегося в руках хакеров. Специалисты по информационной безопасности нашли и другие «Коллекции» под номерами от 2 до 5, а их общий объём составил 845 Гбайт. Почти вся информация в базах актуальна, хотя некоторые логины и пароли устарели.
ИБ-эксперт Брайан Кребс связался с хакером, продававшим архивы, и выяснил, что Collection #1 уже около двух-трех лет. По словам хакера, «в продаже» у него есть и более свежие базы данных объёмом более четырёх терабайт.
11 февраля: утечка данных пользователей 16 крупных сайтов
11 февраля издание The Register сообщило, что на торговой площадке Dream Market продаются данные 620 миллионов пользователей крупных интернет-сервисов:
- Dubsmash (162 млн)
- MyFitnessPal (151 млн)
- MyHeritage (92 млн)
- ShareThis (41 млн)
- HauteLook (28 млн)
- Animoto (25 млн)
- EyeEm (22 млн)
- 8fit (20 млн)
- Whitepages (18 млн)
- Fotolog (16 млн)
- 500px (15 млн)
- Armor Games (11 млн)
- BookMate (8 млн)
- CoffeeMeetsBagel (6 млн)
- Artsy (1 млн)
- DataCamp (700 000)
За всю базу злоумышленники просили около $20 тыс., также можно было купить архив данных каждого сайта отдельно.
Все сайты были взломаны в разное время. Например, фотопортал 500px сообщил, что утечка произошла ещё 5 июля 2018 года, но стало известно о ней лишь после появления архива с данными.
Базы данных содержат email-адреса, имена пользователей и пароли. Правда, есть один радостный факт: пароли в основном так или иначе зашифрованы. То есть для их использования сначала придётся поломать голову над расшифровкой данных. Хотя, если пароль простой, то его вполне можно и подобрать.
25 февраля: незащищённая база данных MongoDB
25 февраля специалист по ИБ Боб Дьяченко обнаружил в сети незащищенную базу данных MongoDB на 150 Гбайт, содержавшую свыше 800 миллионов записей личных данных. В архиве содержались email-адреса, фамилии, информация о поле и дате рождения, телефонные номера, почтовые индексы и адреса, IP-адреса.
Проблемная БД принадлежала компании Verifications IO LLC, которая занималась email-маркетингом. Одной из её услуг была проверка корпоративных email. Как только информация о проблемной базе появилась в СМИ, сайт компании и сама база данных стали недоступными. Позднее представители Verifications IO LLC заявили, что база не содержала данные клиентов компании и пополнялась из открытых источников.
10 марта: утечка данных пользователей Facebook через приложения FQuiz и Supertest
10 марта издание The Verge опубликовало сообщение о том, что Facebook подал в суд на двух украинских разработчиков, Глеба Случевского и Андрея Горбачева. Их вменялась кража персональных данных пользователей.
Разработчики создавали приложения для проведения тестов. Эти программы устанавливали в браузер расширения, собиравшие данные пользователей. За 2017-2018 год четыре приложения, среди которых FQuiz и Supertest, смогли украсть данные примерно 63 тысяч пользователей. Пострадали в основном пользователи из России и Украины.
21 марта: сотни миллионов паролей Facebook в незашифрованном виде
21 марта журналист Брайан Кребс сообщил в своём блоге, что Facebook долгое время хранил миллионы паролей в незашифрованном виде. Около 20 тысяч сотрудников компании могли просматривать пароли от 200 до 600 миллионов пользователей Facebook, поскольку те хранились в простом текстовом формате. В эту незащищенную базу попали и некоторые пароли Instagram. Вскоре сама социальная сеть официально подтвердила информацию.
Педро Канахуати, вице-президент Facebook по проектированию, безопасности и конфиденциальности, заявил, что проблема с хранением паролей в незашифрованном виде была исправлена. А в целом системы входа в систему в Facebook спроектированы так, чтобы пароли были нечитаемыми. Доказательств того, что к незашифрованным паролям был получен неправомерный доступ, компания не нашла.
21 марта: утечка данных клиентов Тойоты
В конце марта японский автопроизводитель Toyota заявил о том, что хакерам удалось похитить персональные данные до 3,1 миллиона клиентов компании. Взлом систем торговых подразделений и пяти дочерних компаний Toyota произошел 21 марта.
Компания не раскрыла, какие именно персональные данные клиентов были похищены. Однако заявила, что доступ к информации о банковских картах злоумышленники не получили.
21 марта: публикация данных пациентов Липецкой области на сайте ЕИС
21 марта активисты общественного движения «Пациентский контроль» сообщили о том, что в информации, опубликованной Управлением здравоохранения Липецкой области на сайте ЕИС, были предоставлены персональные данные пациентов.
На сайте госзакупок было размещено несколько аукционов на оказание медицинских услуг в неотложной форме: пациентов нужно было перевести в другие учреждения за пределы региона. В описаниях содержалась информация о фамилии пациента, его домашний адрес, диагноз, код по МКБ, профиль и так далее. Невероятно, но в открытом виде данные пациентов публиковались не менее восьми раз только за последний год (!).
Глава Управления здравоохранения Липецкой области Юрий Шуршуков заявил, что начато служебное расследование и что пациентам, чьи данные были опубликованы, будут принесены извинения. Прокуратура Липецкой области также начала проверку инцидента.
4 апреля: утечка данных 540 млн пользователей Facebook
Компания UpGuard, специализирующаяся на информационной безопасности, сообщила о попадании в открытый доступ данных более 540 млн пользователей Facebook.
Записи участников социальной сети с комментариями, лайками, названиями учетных записей были обнаружены на мексиканской цифровой платформе Cultura Colectiva. А в уже несуществующем приложении At the Pool были доступны имена, пароли, адреса электронной почты и другие данные.
10 апреля: данные пациентов «скорой» из Подмосковья утекли в сеть
На станциях скорой медицинской помощи (ССМП) Подмосковья предположительно произошла утечка данных. Правоохранительные органы начали доследственную проверку сообщений об инциденте.
На одном из файлообменников был обнаружен файл размером 17,8 ГБ, содержащий информацию о вызовах «скорой» в Московской области. В документе содержалось имя обратившегося в «скорую», контактный телефон, адрес, куда была вызвана бригада, дата и время вызова, даже состояние пациента. Скомпрометированными оказались данные жителей Мытищ, Дмитрова, Долгопрудного, Королева и Балашихи. Предполагается, что базу выложили активисты украинской хакерской группировки.
12 апреля: чёрный список ЦБ
Данные клиентов банков из черного списка ЦБ отказников по закону о противодействии отмыванию доходов были найдены в интернете 12 апреля. Речь шла об информации примерно 120 тыс. клиентов, которым отказали в обслуживании в соответствии с законом о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).
Большую часть базы составляют физлица и индивидуальные предприниматели, остальные — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН. В одном из банков неофициально признались журналистам, что в списке реальные клиенты-отказники. База охватывает «отказников» с 26 июня 2017 года по 6 декабря 2017 года.
15 апреля: опубликованы личные данные тысяч сотрудников американской полиции и ФБР
Киберпреступная группировка сумела провести взлом нескольких сайтов, связанных с Федеральным бюро расследований США. И выложила в интернет десятки файлов с персональной информацией тысяч сотрудников полиции и федеральных агентов.
С помощью публично доступных эксплоитов злоумышленникам удалось получить доступ к сетевым ресурсам ассоциации, связанной с Академией ФБР в Куантико (штат Вирджиния). Об этом написал TechCrunch.
Украденный архив содержал имена сотрудников правоохранительных органов и федеральных служб США, их адреса, номера телефонов, сведения об их электронной почте и должностях. Всего около 4000 различных записей.
25 апреля: утечка данных пользователей Docker Hub
Киберпреступники получили доступ к базе данных крупнейшей в мире библиотеки образов для контейнеров Docker Hub, в результате чего были скомпрометированы данные примерно 190 тыс. пользователей. В базе данных содержались имена пользователей, хэши паролей, а также токены для репозиториев GitHub и Bitbucket, используемых для автоматизированных сборок Docker.
Администрация Docker Hub рассказала пользователям об инциденте поздно вечером в пятницу, 26 апреля. По официальной информации, о неавторизованном доступе к базе данных стало известно 25 апреля. Расследование инцидента пока не завершено.
Также можно вспомнить историю с Doc+, которую не так давно освещали на Хабре, неприятную ситуацию с платежами граждан в ГИБДД и ФССП и другие утечки, которые описывает ashotog.
В качестве заключения
Незащищённость данных, хранящихся у госструктур, в социальных сетях и на крупных сайтах, как и масштабы хищения — ужасают. Печально и то, что утечки стали привычными. Многие люди, чьи персональные данные оказались скомпрометированы, даже не знают об этом. А если и знают, то ничего не сделают для своей защиты.
