Обзор инцидентов: утечки из-за небрежности разработчиков и самих пользователей

31.07.2018

Вернуться к списку новостей

Халатность пользователей

Яндекс нашел всё в Google

Самой обсуждаемой утечкой июля 2018 года стало попадание содержимого Google Docs в поисковую выдачу «Яндекса». Вместе с файлами в открытом доступе оказались пароли, базы сотрудников и клиентов, внутренние инструкции, договоры и другие данные, не предназначенные для посторонних. Среди пострадавших – крупные компании, чиновники и частные лица.

В «Яндексе» заявили, что поисковая машина «индексирует только открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Но в выдачу попали и документы, защищенные настройкой «Доступно тем, у кого есть ссылка».

Эксперты предположили, что ссылки попали в индекс, так как пользователи открывали их в «Яндекс.Браузере». Другая вероятная причина – невнимательность пользователей, которые ошиблись в настройках доступа к документам Google.

В конце месяца история повторилась: журналисты обнаружили в расширенном поиске документы по запросам «график» и «зарплата». А пользователи YouTube нашли среди результатов видеоролик, у которого установлен режим доступа только по ссылке. В «Яндексе» заявили, что причина в данном случае – множество случаев распространения ролика по Сети.

Пароль по умолчанию стал причиной утечки из ВВС США

Небрежность пользователей «помогла» хакеру получить доступ к документации Военно-воздушных сил США и выставить на продажу инструкции по обслуживанию ударных дронов, тактические пособия по размещению самодельных взрывных устройств, руководство по эксплуатации танка M1 Abrams, учебные материалы для подготовки членов экипажей, пособия по выживанию.

Цена за отдельный документ не превышала 200 долларов. Это ниже цены, которую обычно просят в «темном» интернете за данные подобного рада.

Информацию удалось получить с помощью Shodan – поисковой системы по интернету вещей. Хакер искал маршрутизаторы с установленным по умолчанию известным FTP-паролем. Оказалось, такими пользуются на военных объектах ВВС США. Избежать утечки военной документации помогла бы простая смена пароля.

Одинаковые пароли подвели пользователей файлообменника

С небреженым отношением к паролям связан и еще один инцидент, о котором стало известно в июле 2018 года. ИБ-эксперт нашел в Сети логины и пароли 15 500 пользователей файлообменника Mega. Кроме учетных данных текстовый документ содержал названия файлов, которые пользователи загружали в Mega. Притом что системы файлообменника скомпрометированы не были.

ИБ-исследователь Трой Хант заключил, что инцидент произошел из-за использования одних и тех же паролей на разных сайтах. 98% email-адресов из массива Mega раньше уже были скомпрометированы в результате утечек данных. Пострадавшие отчасти подтвердили выводы эксперта. Пятеро из опрошенных сказали, что использовали одинаковый пароль на разных сайтах.

Сведения о пациентах с ВИЧ оказались на общедоступном сервере

В США в открытый доступ попала информация о тысячах ВИЧ-позитивных пациентов и больных СПИДом. Базу данных собирали с 1983 года. Помимо личных сведений база содержала номера социального страхования, результаты лабораторных исследований и интимные подробности, например, указание на сексуальную ориентацию.

Основная версия инцидента гласит, что в раскрытии информации виновен сотрудник. Он поместил файл в папку, доступ к которой был минимум у 500 сотрудников. Тогда как официально сведения предназначались только троим.

Халтура разработчиков

Фитнес-приложение – опять – раскрыло местонахождении секретных агентов

Исследователи из Bellingcat выяснили, что функции спортивного приложения Polar Flow позволяют отследить, где живут пользователи, в том числе и служащие секретных военных баз. Чтобы узнать информацию, достаточно найти на карте упражнение, выполненное пользователем. Вместе с данными об упражнении Polar Flow выдавало профиль и данные о тренировках с 2014 года.

Специалисты в несколько кликов нашли среди пользователей «высокопоставленного офицера, служащего на авиабазе, где хранится ядерное оружие, его профиль с полным именем, а также время и точные маршруты его воскресных пробежек около дома за последние несколько лет». После публикации расследования функцию в Polar Flow отключили.

История Polar Flow получила огласку спустя полгода после скандала с аналогичным фитнес-приложением – Strava. Тогда выявить расположение секретных объектов позволила публикация «тепловой» карты.

Ошибка при создании сайта раскрыла персональные данные миллионов испанцев

В Испании подписчики платного телевидения могли просматривать личные данные других подписчиков. Проблема возникла из-за ошибки, допущенной еще на стадии разработки сайта.

До раскрытия уязвимости любой, у кого есть учетная запись, мог случайным образом изменить буквенно-цифровой идентификатор счета в адресной строке браузера. И таким образом получить доступ к информации других клиентов.

Теперь одному из крупнейших телекоммуникационных провайдеров мира Telefonica, которому принадлежит сервис, грозит штраф по регламенту GDPR.

Пользователи заподозрили Dell в «сливе» данных

Пользователи техники Dell сообщили, что информация о них попала в руки злоумышленников. Подозрения возникли, когда клиентам начали поступать звонки якобы из Microsoft с советом установить программу, чтобы закрыть «выявленную уязвимость техники». На самом деле ПО давало мошенникам удаленный доступ к устройству.

Пользователи предполагают, что серийные номера ПК, имена, телефоны и адреса электронной почты владельцев устройств злоумышленникам передал инсайдер из компании Dell.

Facebook продолжил делиться данными с Mail.ru

Facebook продолжил передавать данные пользователей компании Mail.ru Group даже после того, как руководство социальной сети пообещало больше так не делать, сообщил телеканал CNN.

Mail.ru Group сохранила доступ к информации, так как разрабатывала сотни приложений для социальной сети и ранее не была замечена в недобросовестном поведении.

Бывший заместитель помощника министра обороны США назвал ситуацию «катастрофой». Он посчитал, что доступность данных для Mail.ru означает доступность и для российских разведывательных структур. Расследованием дела займется Сенат США.


Дайджест инцидентов


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними