Прошлый год ознаменовался несколькими громкими утечками конфиденциальных данных. Аналитический центр Zecurion Analytics сделал подборку «самых-самых» инцидентов, как прогремевших по всему миру, так и характерных для России. Конечно, в открытом доступе появлется далеко не вся информация. Однако перечень дает прекрасное представление о реальности и масштабе угроз.
Самая масштабная
Утечка учетных записей пользователей сервисов и продуктов корпорации Adobe претендует на звание самой крупной в истории. Всего было скомпрометировано 152 млн записей. Ранее самой крупной утечкой считался инцидент в одном из крупнейших американских процессинговых центров – Heartland Payment Systems – в 2008 г. Тогда утекли сведения о 130 млн пластиковых карт. Попаданию в книгу рекордов Гиннеса не помешает даже тот факт, что ценность информации с пластиковых карт заметно выше, чем аккаунты пользовательских аккаунтов.
Примечательно, что когда утечку из Adobe только обнаружили, речь шла об инциденте средней руки. Размер базы пользователей оценивался в 3 млн записей. Однако тщательное изучение информации позволило уточнить количество скомпрометированных аккаунтов.
Кстати, одна из главных проблем в данном случае заключается не только и не столько в том, что злоумышленники смогут авторизоваться на сайте Adobe под чужим именем, а в том, что пользователи часто используют одно и то же сочетание логина (или адреса электронной почты) и пароля для доступа к различным системам и сервисам. Именно поэтому после инцидента ряд сервисов, в том числе и социальная сеть Facebook инициировала масштабную смену паролей среди своих пользователей.
Самая крупная в России
В отличие от Adobe, российское представительство страховой компании Zurich допустило, казалось бы, ничтожную утечку. Тем не менее, бизнесу компании может быть нанесен серьезный убыток. В руки неизвестных злоумышленников попала база данных более чем 1 млн человек – клиентов страховой компании «Цюрих». При этом база была исключительно актуальной и включала сведения обо всех клиентах, заключавших договора с января 2012 по февраль 2013 гг. При правильном использовании базы конкуренты по рынку вполне могли переманить около половины клиентов.
Самостоятельно найти источник утечки и устранить ее последствия в компании не смогли и обратились за помощью в правоохранительные органы. По одной из версий, базу скопировал уволившийся сотрудник. Установлено, что новые владельцы базы искали на нее покупателя. О случаях продажи базы точных сведений нет, и убытки страховщиков можно посчитать, лишь зная процент аномального оттока клиентов. При этом следует иметь в виду, что негативный эффект от утечки может ощущаться на протяжении нескольких лет.
Самая бесполезная
Утечка тактических схем футбольного клуба «Бавария» перед матчем 13-го тура бундеслиги с принципиальным соперником, «Боруссией» из Дортмунда, – один из самых необычных случаев в нашем хит-параде сразу по нескольким критериям.
Подробный план на предстоящую игру был опубликован журналом Bild за несколько дней до матча. Однако футболистам «Боруссии» информация не помогла – «Бавария» разгромила соперника со счетом 3:0, а игроки и работники клуба заявили, что инцидент не повлияет на атмосферу внутри команды. Действительно ли можно нормально относиться к существованию инсайдера в коллективе – большой вопрос, однако на спортивных достижениях баварцев инцидент действительно не отразился.
Приведенный выше пример показателен как утечка, предотвратить которую обычными техническими средствами невозможно. Сколь бы совершенными ни были средства контроля информации, всегда существует возможность запомнить часть сведений в голове.
Самая громкая
Едва ли кто-то мог составить конкуренцию в данной номинации Эдварду Сноудену. Шумиха вокруг сноуденовских разоблачений, кажется, превзошла даже обсуждение Wikileaks Джулиана Ассанджа.
Фантастический объем секретных документов, раскрытый бывшим сотрудником американских спецслужб не только взбудоражил умы обывателей, но и обострил отношения между странами, считавшимися близкими союзниками. Тотальный шпионаж, подслушка всех и вся от рядовых граждан до руководителей государств – вот квинтэссенция того, что раскрыл Сноуден.
По различным оценкам, ущерб США от деятельности Сноудена составляет от нескольких миллиардов до нескольких десятков миллиардов долларов. Поражает и число украденных документов – 1,7 млн штук. Сам инсайдер объясняет свои разоблачения сугубо благими намерениями. В своем первом за время пребывания в России публичном интервью в конце января 2014 г. Сноуден рассказал, что решился рассказать миру правду, когда увидел, как глава национальной разведки США Джеймс Клэппер соврал под присягой.
Самая скандальная
Утечка, благодаря которой пользователи узнали интригующие подробности взаимоотношения сотрудников сотового оператора МТС с контент-провайдерами. Речь шла о возможном прикрытии и санкциях к нечистоплотным провайдерам, использующим вредоносное ПО для неправомерного списывания денег со счетов абонентов, подменяющих посадочные страницы, скрывающих стоимость услуг и т.д. Какие решения принимались в каждом из случаев, можно узнать из переписки, доступной в интернете. Наиболее интересные места блоггеры широко растиражировали.
Помимо переписки, касающейся сомнительного для пользователей контента, в почтовом архиве было обнаружено немало другой чувствительной к утечке информации. При этом источник утечки и его мотивы так и остались невыясненными.
Самая интимная
В буквальном смысле интимной можно назвать утечку, вскрывшуюся в начале января 2013 г. В открытом доступе оказались файлы, которыми обмениваются пользователи сервиса ICQ. После того как Mail.ru Group купила сервис у AOL, разработчики поменяли схему передачи файлов. Если раньше файлы передавались напрямую от пользователя к пользователю, то теперь файл сохранялся на сервере Mail.ru, а получателю отправлялась лишь ссылка для скачивания. При этом скачать файл по прямой ссылке мог кто угодно, никаких дополнительных проверок получателя не проводилось.
Сами ссылки имели определенный вид и отличались 6-значным кодом. Соответственно задача получения файлов свелась к перебору этих кодов в известном диапазоне. Одновременно с новостью в интернете появился и простейший скрипт для автоматизированной генерации ссылок и скачивания файлов. Пользователи наперебой начали выкладывать коллекции заинтересовавших их файлов.
Особенной популярность у блоггеров пользовались фотографии интимного характера. Однако среди прочего встречалась и легче монетизируемая информация, в том числе тексты договоров, сканы паспортов и других документов.
Самая технологичная
Победитель – корпорация AMD и трое ее высокопоставленных сотрудников. При переходе на новое место работы в конкурирующую компанию Nvidia они скопировали порядка 100 тыс. документов, содержащих конфиденциальные сведения о продуктах компании и соглашениях с партнерами. Формально утечка произошла еще в 2012, но известно о ней стало лишь в начале 2013 г. Среди прочего инсайдеры унесли документы с грифом «конфиденциально» из внутренней библиотеки Perforce. В ней хранятся технологические секреты и производственные ноу-хау компании.
В данной номинации серьезную конкуренцию AMD составила компания HTC, чьи менеджеры пытались продать конкурентам из Китая информацию по одному из перспективных продуктов. Однако победу стоит присудить утечке из AMD благодаря находчивости одного из инсайдеров. Столкнувшись с трудностями копирования большого объема данных, он прямо с рабочего места обратился к помощи интернета – в AMD зафиксировали его поисковые запросы по поводу копирования большого числа файлов. Похоже на анекдот, но советы из интернета, судя по всему, помогли.
Самая циничная
Заработать на чужом горе решил предприимчивый полицейский из Екатеринбурга. Пользуясь служебным положением, он сливал информацию об умерших людях директору ритуальной фирмы. Разумеется, не безвозмездно. Во момент задержания бывший полицейский как раз получал от сотрудника похоронной службы вознаграждение в i6 тыс.
Справедливости ради стоит отметить, что у ритуальных агентств есть действительно широкая сеть информаторов и единичный случай никак не повлияет на общую картину. Бурное обсуждение новости в блогах и комментариях подтверждает, что агенты компаний, оказывающих ритуальные услуги, часто приезжают к умершим даже раньше, чем полиция и врачи. А в 2011 г. в том же Екатеринбурге произошел случай, когда к тяжело больной женщине вместо скорой приехали ритуальные агенты.
Самая звездная
Личная информация многих американских знаменитостей появилась в интернете весной 2013 г. В числе пострадавших от утечки оказались видные общественные и политические деятели, госсекретарь Хиллари Клинтон, директор ФБР Роберт Мюллер, вице-президент страны Джозеф Байден, первая леди Мишель Обама, а также медиа-персоны, в том числе актеры Мел Гибсон и Эштон Кутчер, певицы Бритни Спирс и Бейонсе. Впрочем, имена звезд в данном случае фигурируют, прежде всего, для привлечения внимания к инциденту – именно их «анонсировали» неизвестные, в чьи руки попала база около 4 млн американцев.
Информация, которая попала в открытый доступ, включала номера социального страхования (SSN), сведения об ипотечных выплатах, банковских счетах и кредитах на автомобили, а также данные кредитных карт. Кражу конфиденциальной информации, касающейся финансовых операций подтвердили крупнейшие кредитные бюро США, Experian, Equifax и TransUnion. Некоторые западные СМИ поспешили обнаружить русский след, ведь информация всплыла на сайте с «советским» доменом SU. Там же персональные данные продавали по цене в 50 центов, но некие хакеры, вероятно, сочли цену слишком высокой и, взломав сайт, выложили сведения уже в открытый доступ.
ФБР и Секретная служба США вскоре начали расследование обстоятельств инцидента, что не удивительно, если учесть масштаб утечки, громкие имена фигурантов и щепетильность американцев в отношении собственных персональных данных.
Самый большой штраф
Финансовая компания Citigroup прошедшей осенью заплатила рекордный штраф в $30 млн за утечку коммерческой информации. Аналитик Citigroup за день до официальной публикации выслал конфиденциальный отчет о деятельности одного из поставщиков Apple нескольким крупным клиентам. В результате избранные компании могли избавиться от акций Apple до значительного снижения их котировок.
Судя по тому, что виновник утечки был вскоре уволен, инициатива поделиться информацией исходила именно от работника. В результате чего возникают вопросы о качестве мероприятий по информационной безопасности, реализуемых в Citigroup, и степени заинтересованности самого инсайдера. Можно ожидать, что вознаграждение за предоставление подобной информации может быть достаточно щедрым.
Столь суровый размер штрафа объясняется негативной историей компании-рецидивиста. За год до этого инцидента Citigroup стала виновником утечки информации перед IPO Facebook. Тогда штраф составил лишь $2 млн. Вероятно, внедрение более серьезных средств защиты информации было бы экономически целесообразно.
Поделиться
