В последний день мая вспоминаем большие и маленькие ИБ-инциденты с персональной информацией в России и мире.
Кажется, СМИ будут вечно писать на три темы: политика, экономика и утечки из баз данных ElasticSearch и MongoDB. Очередная открытая база нашлась в сети в марте. В 158 Гб уместились персданные заемщиков из Южного, Уральского и Приволжского федеральных округов – фото и заявки на кредиты.
Определить точного владельца базы не удалось. Она могла принадлежать финансовому брокеру, который выдает потребительские кредиты в торговых точках. На это указывает совпадение некоторых доменных имен с названием компании. И хотя сообщения об утечке фирма проигнорировала, вскоре после этого база из общего доступа пропала.
Если о первой утечке вы могли не знать, то новость о следующей быстро разлетелась по СМИ и соцсетям. Еще бы! Не каждый день в интернет выкладывают паспорта бывших вице-премьеров Аркадия Дворковича и Анатолия Чубайса. Кроме персданных известных политиков, в открытый доступ попали 360 тыс. записей с личной информацией россиян – ФИО, места работы, e-mail, СНИЛС, сведения о трудоустройстве.
Документы с персданными председатель Ассоциации участников рынков данных Иван Бегтин собрал с сайтов восьми информационных госсистем Минюста, Роструда, ФАС и других ведомств. Бегтин обратился в Роскомнадзор, где ему заявили, что «примут меры». Правда, какие – непонятно.
Аналитик считает, что утечки персданных в России происходят из-за ошибок в законодательстве, просчетов разработчиков и непродуманной работы регуляторов.
В список Бегтина нужно включить и коррупцию. Полицейский из Краснодарского края 10 месяцев «сливал» паспортные данные россиян анонимному пользователю Telegram. За информационные услуги мужчина получил 1,3 млн рублей. Персданные полицейский копировал из закрытого сервиса, к которому имел доступ. Его взяли под стражу, а вот заказчика и IP простыл.
А вот классический просчет разработчиков. Весной по сети гуляла база с нарушителями дорожного движения, которые оплачивали штрафы ГИБДД через онлайн-сервисы оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru. В базе «хранились» сотни тысяч платежей с персданными плательщиков.
Утечка произошла из-за уязвимости в ПО для приема онлайн-платежей. Личные сведения оштрафованных водителей попадали на сервер компании-разработчика, где лежали в виде текста без всякой защиты. После сообщения об утечке фирма за день убрала все сведения о клиентах.
Причиной утечки из Департамента социального обеспечения штата Орегон (США) стали девять невнимательных сотрудников, которые открыли фишинговые письма. В итоге злоумышленники выудили из информационной системы Департамента 2 млн e-mail адресов 350 тыс. американских граждан. Это открыло им доступ к именам и фамилиям, адресам, датам рождения, номерам социального страхования и другой личной информации орегонцев.
Департамент вину признал и пообещал, что бесплатно поможет пострадавшим восстановить и защитить украденные данные.
Не обошлась весна и без утечек из мобильных приложений. Австралийский Family Locator, с помощью которого можно отслеживать местоположение членов семьи, щедро делился GPS-данными юзеров со всем интернетом. Открытая база MongoDB также содержала имена пользователей, их электронную почту, фотографии профилей и пароли к учеткам.
Утечку нашел ИБ-исследователь Саньям Джейн (Sanyam Jain). Он сообщил об инциденте разработчику приложения React Apps, но компания спрятала голову в песок. Тогда Джейн обратился в Microsoft, которой принадлежит облачная платформа, где лежала база. Заход был удачным – и персданные из общего доступа убрали.
Краткий и честный вывод – главной причиной утечек по-прежнему остается человеческий фактор.
Что скрывают ваши сотрудники, чего они боятся, о чем мечтают, способны ли на преступление? Закажите бесплатный тест «ProfileCenter СёрчИнформ», чтобы взглянуть на сотрудников без эмоций.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных