2011: крупнейшие утечки данных
Когда речь заходит о краже, воображение рисует нам картинки, связанные с физическим перемещением определенных материальных ценностей - произведений искусства, ювелирных украшений или денежной наличности — от их владельца к другому, бесспорно, не очень положительному лицу. Кража информации или утечка данных в классическом, консервативном варианте ассоциируется с образом шпиона, занятого копированием каких-то бумаг, на которых мы можем различить только одну надпись - "Совершенно секретно". Сегодня средой нашего обитания становится не только окружающий нас мир, но также информационное пространство, которое, кажется, не только уже связало всех со всеми, но и начало процесс всеобщего поглощения. Информация получает новое значение и четкие единицы измерения, выходит на новый уровень, приобретает особую ценность, становится объектом продажи, обмена и... хищения.
Прошедший 2011 год отметился на "Доске почета" в области потери данных. Более 150 компаний признались, что стали жертвами взлома и хищения личной информации своих пользователей, клиентов и сотрудников. Ниже приведена подборка информации о самых крупных утечках.
1. Sony
Дата: 26 апреля.
Размер утечки: 101 миллион учетных записей пользователей.
Тип данных: имя, домашний и электронный адрес, логины учетных записей, некоторые данные кредитных карт.
Три облачных сервиса компании Sony: Sony’s PlayStation Network - игры для PlayStation, Qriocity - музыка и видео, и Sony Online Entertainment - онлайн-игры, были взломаны злоумышленниками в то время, пока весь персонал компании, отвечающий за безопасность, был занят отражением сетевых DDoS-атак, которые исходили от неизвестного источника. После этого инцидента компания смогла успешно восстановить базы данных и возобновить предоставление услуг, заявив, что теперь сервисы будут более безопасными и надежными.
2. Alliance Data Systems
Дата: 1 апреля.
Размер утечки: точно неизвестен; оценивается в 60 миллионов адресов электронной почты.
Тип данных: адреса электронной почты, некоторые имена.
Злоумышленники взломали базу данных сервиса коммерческих электронных почтовых рассылок Epsilon гиганта электронного маркетинга Alliance Data Systems и получили доступ к информации о подписчиках, принадлежащих его клиентам, включая такие известные предприятия, как Walt Disney, JPMorgan Chase и Best Buy. В то время как компания отказалась сообщить точное число похищенных адресов, аналитики оценивают его в 60 миллионов.
3. WordPress
Дата: 14 апреля.
Размер утечки: неизвестен, оценивается в 18 миллионов записей.
Тип данных: исходный код, API ключи доступа, пароли.
Популярная бесплатная система управления содержимым сайта WordPress постоянно находится в центре внимания хакеров. Весной крупнейший блого- хостинг мира стал жертвой нескольких масштабных DDoS-атак. Злоумышленники дотянулись и до хранилища плагинов - места, где в открытом доступе каждый желающий может загрузить свежие темы и шаблоны для своего сайта. Несколько хорошо известных и поэтому особо популярных плагинов оказались инфицированы троянской программой, которая открывала злоумышленникам полный доступ к сайту жертвы. В результате инцидента администрация WordPress была вынуждена сбросить все пароли доступа к сайту и попросила пользователей изменить свои пароли. Все инфицированные плагины были оперативно обновлены, пользователям было рекомендовано загрузить и установить последнюю версию. Виновника атаки так и не нашли, ответственность за происшествие ни один из хакеров на себя не взял.
4. Nexon
Дата: 24 ноября.
Размер утечки: 13,2 миллиона записей.
Тип данных: идентификаторы и пароли пользователей.
В Комиссию по связи Кореи обратилась компания Nexon, производитель компьютерных игр, с заявлением об утечке личных данных 13.200.000 своих абонентов, любителей онлайн-игры Maple Story. Комиссия совместно с полицией и экспертами по компьютерной безопасности провела расследование этого случая взлома. Данные включали идентификаторы и пароли пользователей, имена, а также регистрационные номера. В официальном заявлении Nexon пояснила, что утечка данных не коснулась никакой информации о финансовых операциях и номеров банковских счетов, и факт утечки никак не повлиял на зарубежных подписчиков онлайн-игры. Компания попросила абонентов игры сменить пароли доступа, чтобы предотвратить дополнительные неприятные последствия, несмотря на то, что данные с гражданскими регистрационными номерами и паролями были зашифрованы. Общее количество пользователей игры Maple Story достигает 18 млн. Nexon, которая завоевала мировую репутацию благодаря онлайн-играм Maple Story и Kart Rider, является одним из двух ведущих разработчиков онлайн-игр в Южной Корее, наряду с корпорацией NCsoft.
5. Seacoast Radiology
Дата: 12 января.
Размер утечки: 231.400 записей.
Тип данных: имена и фамилии пациентов, номера карточек социального страхования, адреса, номера телефонов.
Несмотря на размер, эта утечка данных могла занять позицию внизу списка, так как инцидент произошел в 2010 году, но был зарегистрирован в начале 2011-го. 12 ноября 2010 года злоумышленники взломали локальную сеть медицинского учреждения, чтобы использовать ее мощности в игре Call of Duty. Пока не удалось выяснить, смогли ли они заодно похитить и базу данных пациентов, но такая возможность у них точно была.
6. Ankle & Foot Center
Дата: 29 января.
Размер утечки: 156.000.
Тип данных: имена, даты рождения, адреса, номера карточек социального страхования, медицинские диагнозы и перечень полученных услуг.
Это еще один инцидент, который произошел в 2010-м, но огласку получил в 2011 году. Хакеры взломали локальную сеть медицинского центра Ankle and Foot в городке Тампа Бэй (штат Флорида, США), получив доступ к защищенной информации о здоровье и персональным данным пациентов.
7. HB Gary Federal
Дата: 7 февраля.
Размер утечки: 60.000 писем и документов.
Тип данных: корпоративная электронная почта, презентации, отчеты.
Анонимные хакеры совершили взлом почтового сервера компании HBGary Federal. Эта компания сотрудничала с ФБР в сборе информации об участниках хакерской группы Anonymous, которые производили сетевые атаки в поддержку WikiLeaks. В отместку группа Anonymous взломала почтовый сервер компании и сделала все украденные документы и электронные письма (порядка 60 тысяч) общедоступными через сервис BitTorrent.
8. University of South Carolina
Дата: 4 марта.
Размер утечки: 31.000.
Тип данных: имена, адреса, медицинские записи, финансовые данные, номера карточек социального страхования.
Проблемы в системе компьютерной безопасности сделали возможной утечку информации с личными данными преподавателей, сотрудников (в том числе и бывших - пенсионеров) и студентов восьми кампусов Университета Южной Каролины.
9. HuskyDirect, University of Connecticut
Дата: 11 января.
Размер утечки: 18.059 записей.
Тип данных: имена, адреса, номера кредитных карт, адреса электронной почты, номера телефонов.
Злоумышленник смог получить доступ к базе данных клиентов HuskyDirect (Университет штата Коннектикут) и просматривать информацию, принадлежащую всем покупателям фирменного спортивного снаряжения марки UConn.
10. RSA Security
Дата: 18 марта.
Размер утечки: неизвестен.
Тип данных: информация, связанная с технологией SecurID.
Утечка информации в компании RSA Security не может считаться большой с точки зрения количества кило- или мегабайтов, ставших достоянием гласности для третьих лиц, но атака имела самые серьезные последствия не только для системы безопасности компании, но и для всех предприятий и государственных учреждений, которые полагаются на технологию двухфакторной аутентификации SecurID в обеспечении их собственной безопасности.
11. Tripadvisor, Expedia
Дата: 24 марта.
Размер утечки: неизвестен.
Тип данных: адреса электронной почты пользователей.
Хотя несанкционированное проникновение в базу данных TripAdvisor затронуло только часть пользователей, компания Expedia не захотела открывать хоть какие-нибудь подробности инцидента. Для одного из крупнейших в мире туристических порталов любая утечка данных сайта повлияет на очень многих пользователей.
Прошлым летом сразу несколько интернет-поисковиков - Google, Яндекс и даже Bing были вынуждены выслушать в свой адрес обвинения в хищении и пособничестве утечке информации. Сначала в результатах поиска стали появляться некоторые материалы Федеральной антимонопольной службы, Счетной палаты, Федеральной службы охраны, Федеральной службы безопасности, Минобороны, Минэкономразвития, Федеральной миграционной службы, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России, портала госзакупок, документы региональных отделений органов государственной власти, которые были размещены на правительственном сервере gov.ru. 18 июля результаты поиска украсили частные СМС абонентов «Мегафона», а всего неделю спустя, 25 июля - персональные данные покупателей десятков интернет-магазинов. 26 июля поисковики начали выдавать информацию о клиентах, заказавших через интернет-сайты железнодорожные и авиабилеты - фамилию, имя, отчество пассажира, последние цифры номера паспорта, пункты отправления и назначения, дату поездки, номер поезда, вагона и даже места.
Обвинения с поисковиков быстро сняли, ведь они просто выполняли свою работу, индексируя всю информацию, которая находилась в свободном доступе. После проверки, которую провела Генпрокуратура России, было сделано заключение об имеющихся нарушениях законодательства в сфере защиты персональных данных на некоторых интернет-ресурсах.
Самые значительные информационные потери в прошлом году, несомненно, понесла Корея. В конце июля информация приблизительно 35 миллионов блоггеров, пользователей интернет-портала SK Comms, стала достоянием гласности после атаки китайских хакеров. В 2011 году хакеры из Китая неоднократно вторгались в сети компании Lockheed Martin и других американских военных подрядчиков, а также пытались получить доступ к электронным почтовым ящикам Google американских чиновников и китайских защитников прав человека. Южная Корея разработала целую программу кибербезопасности после волны хакерских атак против крупных информационных агентств, компаний и частных финансовых фирм. В апреле крупный коммерческий банк, финансируемый корейским правительством Nonghyup, перенес обширный сбой своей компьютерной сети, который затронул миллионы пользователей. Сеул обвинил в нападении северокорейских хакеров. В мае хакеры похитили персональные данные 1,8 млн клиентов компании Hyundai Capital, владельцем которой является Hyundai Motor и GE Capital International.
Мы часто не придаем должного значения той информации, которая хранится на наших компьютерах, флэшках, почтовых ящиках, записных книжках. Действительно, в случае потери или непреднамеренной утечки информации неприятные последствия могут и не наступить. Владелец восстановит данные или забудет о них, утерянный носитель вместе с содержимым через некоторое время прекратит существование естественным образом. Но оценивая риски в области безопасности информации, всегда следует учитывать наихудший вариант развития событий - когда информация попадает в руки недоброжелателя, который собирается использовать ее против владельца. И в этой ситуации мы будем рассматривать случайно забытую где-то флэшку совсем иначе. Ведь даже удаленные файлы содержат данные, в том числе критические и важные. Утерянный почтовый ящик вместе с перепиской и адресной книжкой позволит злоумышленнику создать виртуальный и абсолютно дееспособный клон жертвы.
Первым шагом в деле построения оборонных сооружений информационной линии защиты должно быть знание о том, что информационная безопасность существует и что она необходима.
Игорь Грень HARD&SOFT
Прошедший 2011 год отметился на "Доске почета" в области потери данных. Более 150 компаний признались, что стали жертвами взлома и хищения личной информации своих пользователей, клиентов и сотрудников. Ниже приведена подборка информации о самых крупных утечках.
1. Sony
Дата: 26 апреля.
Размер утечки: 101 миллион учетных записей пользователей.
Тип данных: имя, домашний и электронный адрес, логины учетных записей, некоторые данные кредитных карт.
Три облачных сервиса компании Sony: Sony’s PlayStation Network - игры для PlayStation, Qriocity - музыка и видео, и Sony Online Entertainment - онлайн-игры, были взломаны злоумышленниками в то время, пока весь персонал компании, отвечающий за безопасность, был занят отражением сетевых DDoS-атак, которые исходили от неизвестного источника. После этого инцидента компания смогла успешно восстановить базы данных и возобновить предоставление услуг, заявив, что теперь сервисы будут более безопасными и надежными.
2. Alliance Data Systems
Дата: 1 апреля.
Размер утечки: точно неизвестен; оценивается в 60 миллионов адресов электронной почты.
Тип данных: адреса электронной почты, некоторые имена.
Злоумышленники взломали базу данных сервиса коммерческих электронных почтовых рассылок Epsilon гиганта электронного маркетинга Alliance Data Systems и получили доступ к информации о подписчиках, принадлежащих его клиентам, включая такие известные предприятия, как Walt Disney, JPMorgan Chase и Best Buy. В то время как компания отказалась сообщить точное число похищенных адресов, аналитики оценивают его в 60 миллионов.
3. WordPress
Дата: 14 апреля.
Размер утечки: неизвестен, оценивается в 18 миллионов записей.
Тип данных: исходный код, API ключи доступа, пароли.
Популярная бесплатная система управления содержимым сайта WordPress постоянно находится в центре внимания хакеров. Весной крупнейший блого- хостинг мира стал жертвой нескольких масштабных DDoS-атак. Злоумышленники дотянулись и до хранилища плагинов - места, где в открытом доступе каждый желающий может загрузить свежие темы и шаблоны для своего сайта. Несколько хорошо известных и поэтому особо популярных плагинов оказались инфицированы троянской программой, которая открывала злоумышленникам полный доступ к сайту жертвы. В результате инцидента администрация WordPress была вынуждена сбросить все пароли доступа к сайту и попросила пользователей изменить свои пароли. Все инфицированные плагины были оперативно обновлены, пользователям было рекомендовано загрузить и установить последнюю версию. Виновника атаки так и не нашли, ответственность за происшествие ни один из хакеров на себя не взял.
4. Nexon
Дата: 24 ноября.
Размер утечки: 13,2 миллиона записей.
Тип данных: идентификаторы и пароли пользователей.
В Комиссию по связи Кореи обратилась компания Nexon, производитель компьютерных игр, с заявлением об утечке личных данных 13.200.000 своих абонентов, любителей онлайн-игры Maple Story. Комиссия совместно с полицией и экспертами по компьютерной безопасности провела расследование этого случая взлома. Данные включали идентификаторы и пароли пользователей, имена, а также регистрационные номера. В официальном заявлении Nexon пояснила, что утечка данных не коснулась никакой информации о финансовых операциях и номеров банковских счетов, и факт утечки никак не повлиял на зарубежных подписчиков онлайн-игры. Компания попросила абонентов игры сменить пароли доступа, чтобы предотвратить дополнительные неприятные последствия, несмотря на то, что данные с гражданскими регистрационными номерами и паролями были зашифрованы. Общее количество пользователей игры Maple Story достигает 18 млн. Nexon, которая завоевала мировую репутацию благодаря онлайн-играм Maple Story и Kart Rider, является одним из двух ведущих разработчиков онлайн-игр в Южной Корее, наряду с корпорацией NCsoft.
5. Seacoast Radiology
Дата: 12 января.
Размер утечки: 231.400 записей.
Тип данных: имена и фамилии пациентов, номера карточек социального страхования, адреса, номера телефонов.
Несмотря на размер, эта утечка данных могла занять позицию внизу списка, так как инцидент произошел в 2010 году, но был зарегистрирован в начале 2011-го. 12 ноября 2010 года злоумышленники взломали локальную сеть медицинского учреждения, чтобы использовать ее мощности в игре Call of Duty. Пока не удалось выяснить, смогли ли они заодно похитить и базу данных пациентов, но такая возможность у них точно была.
6. Ankle & Foot Center
Дата: 29 января.
Размер утечки: 156.000.
Тип данных: имена, даты рождения, адреса, номера карточек социального страхования, медицинские диагнозы и перечень полученных услуг.
Это еще один инцидент, который произошел в 2010-м, но огласку получил в 2011 году. Хакеры взломали локальную сеть медицинского центра Ankle and Foot в городке Тампа Бэй (штат Флорида, США), получив доступ к защищенной информации о здоровье и персональным данным пациентов.
7. HB Gary Federal
Дата: 7 февраля.
Размер утечки: 60.000 писем и документов.
Тип данных: корпоративная электронная почта, презентации, отчеты.
Анонимные хакеры совершили взлом почтового сервера компании HBGary Federal. Эта компания сотрудничала с ФБР в сборе информации об участниках хакерской группы Anonymous, которые производили сетевые атаки в поддержку WikiLeaks. В отместку группа Anonymous взломала почтовый сервер компании и сделала все украденные документы и электронные письма (порядка 60 тысяч) общедоступными через сервис BitTorrent.
8. University of South Carolina
Дата: 4 марта.
Размер утечки: 31.000.
Тип данных: имена, адреса, медицинские записи, финансовые данные, номера карточек социального страхования.
Проблемы в системе компьютерной безопасности сделали возможной утечку информации с личными данными преподавателей, сотрудников (в том числе и бывших - пенсионеров) и студентов восьми кампусов Университета Южной Каролины.
9. HuskyDirect, University of Connecticut
Дата: 11 января.
Размер утечки: 18.059 записей.
Тип данных: имена, адреса, номера кредитных карт, адреса электронной почты, номера телефонов.
Злоумышленник смог получить доступ к базе данных клиентов HuskyDirect (Университет штата Коннектикут) и просматривать информацию, принадлежащую всем покупателям фирменного спортивного снаряжения марки UConn.
10. RSA Security
Дата: 18 марта.
Размер утечки: неизвестен.
Тип данных: информация, связанная с технологией SecurID.
Утечка информации в компании RSA Security не может считаться большой с точки зрения количества кило- или мегабайтов, ставших достоянием гласности для третьих лиц, но атака имела самые серьезные последствия не только для системы безопасности компании, но и для всех предприятий и государственных учреждений, которые полагаются на технологию двухфакторной аутентификации SecurID в обеспечении их собственной безопасности.
11. Tripadvisor, Expedia
Дата: 24 марта.
Размер утечки: неизвестен.
Тип данных: адреса электронной почты пользователей.
Хотя несанкционированное проникновение в базу данных TripAdvisor затронуло только часть пользователей, компания Expedia не захотела открывать хоть какие-нибудь подробности инцидента. Для одного из крупнейших в мире туристических порталов любая утечка данных сайта повлияет на очень многих пользователей.
Прошлым летом сразу несколько интернет-поисковиков - Google, Яндекс и даже Bing были вынуждены выслушать в свой адрес обвинения в хищении и пособничестве утечке информации. Сначала в результатах поиска стали появляться некоторые материалы Федеральной антимонопольной службы, Счетной палаты, Федеральной службы охраны, Федеральной службы безопасности, Минобороны, Минэкономразвития, Федеральной миграционной службы, Главного управления специальных программ президента России, Высшей аттестационной комиссии Минобрнауки России, портала госзакупок, документы региональных отделений органов государственной власти, которые были размещены на правительственном сервере gov.ru. 18 июля результаты поиска украсили частные СМС абонентов «Мегафона», а всего неделю спустя, 25 июля - персональные данные покупателей десятков интернет-магазинов. 26 июля поисковики начали выдавать информацию о клиентах, заказавших через интернет-сайты железнодорожные и авиабилеты - фамилию, имя, отчество пассажира, последние цифры номера паспорта, пункты отправления и назначения, дату поездки, номер поезда, вагона и даже места.
Обвинения с поисковиков быстро сняли, ведь они просто выполняли свою работу, индексируя всю информацию, которая находилась в свободном доступе. После проверки, которую провела Генпрокуратура России, было сделано заключение об имеющихся нарушениях законодательства в сфере защиты персональных данных на некоторых интернет-ресурсах.
Самые значительные информационные потери в прошлом году, несомненно, понесла Корея. В конце июля информация приблизительно 35 миллионов блоггеров, пользователей интернет-портала SK Comms, стала достоянием гласности после атаки китайских хакеров. В 2011 году хакеры из Китая неоднократно вторгались в сети компании Lockheed Martin и других американских военных подрядчиков, а также пытались получить доступ к электронным почтовым ящикам Google американских чиновников и китайских защитников прав человека. Южная Корея разработала целую программу кибербезопасности после волны хакерских атак против крупных информационных агентств, компаний и частных финансовых фирм. В апреле крупный коммерческий банк, финансируемый корейским правительством Nonghyup, перенес обширный сбой своей компьютерной сети, который затронул миллионы пользователей. Сеул обвинил в нападении северокорейских хакеров. В мае хакеры похитили персональные данные 1,8 млн клиентов компании Hyundai Capital, владельцем которой является Hyundai Motor и GE Capital International.
Мы часто не придаем должного значения той информации, которая хранится на наших компьютерах, флэшках, почтовых ящиках, записных книжках. Действительно, в случае потери или непреднамеренной утечки информации неприятные последствия могут и не наступить. Владелец восстановит данные или забудет о них, утерянный носитель вместе с содержимым через некоторое время прекратит существование естественным образом. Но оценивая риски в области безопасности информации, всегда следует учитывать наихудший вариант развития событий - когда информация попадает в руки недоброжелателя, который собирается использовать ее против владельца. И в этой ситуации мы будем рассматривать случайно забытую где-то флэшку совсем иначе. Ведь даже удаленные файлы содержат данные, в том числе критические и важные. Утерянный почтовый ящик вместе с перепиской и адресной книжкой позволит злоумышленнику создать виртуальный и абсолютно дееспособный клон жертвы.
Первым шагом в деле построения оборонных сооружений информационной линии защиты должно быть знание о том, что информационная безопасность существует и что она необходима.
Игорь Грень HARD&SOFT
Компьютерная газета. Статья была опубликована в номере 06 за 2012 год в рубрике безопасность