Попытка дискредитации
Утечка данных, когда некто незаконно получает к ним доступ, может произойти несколькими путями. Например, «слив» случается по вине специалистов, которые имеют возможность обращаться к базам с персональной информацией клиентов. Часто злоумышленники находят ненадежных сотрудников в компаниях и через них получают эти данные. Украденные базы нередко продают или отдают бесплатно за рейтинг на «хакерских форумах».
Взлом той или иной системы может быть организован и в результате внешней кибератаки, например с помощью слабых паролей или через уязвимость в обеспечивающих защиту кодах. Также ущерб можно нанести вредоносными программами. Скачанный на устройство вирус может стать отправной точкой для дальнейшего захвата всей системы.
В случае с сервисом «Яндекс.Еда» компания в качестве причины утечки данных указала «недобросовестные действия одного из сотрудников в интернете». Однако сам взлом остается загадкой — была ли это работа инсайдера (человека, который внедряется в организацию) или же это результат эксплуатации уязвимости, которую удалось найти на периметре компании.
Причины у взломщиков могут быть разными. Возможный мотив — желание запугать население и снизить их доверие к компании. Скорее всего, целью конкретной атаки было не получение данных, а их распространение.
Лишние действия могут навредить
Утекшие данные не представляют большую угрозу для пользователей. По большей части они и так публичные и / или не вызывают большого интереса у злоумышленников. ФИО и номер телефона указаны в том же «Вконтакте», а операционная система телефона отображается при постинге в Twitter. С этими данными сложно проводить атаки социальной инженерии или использовать их для получения доступа к личным кабинетам на каких-либо сайтах.
Однако полученные сведения можно сложить с другими «сливами» из интернета и получить более полную картину о человеке. Также злоумышленники могут попробовать провести фишинговую атаку. Например, прислать вам письмо с акцией «Яндекс.Еды», ведущее на сторонний ресурс, где вас просят ввести учетные данные для участия.
То же самое может произойти и с другими сервисами. Если вы хоть раз регистрировались на сайтах букмекеров, бирж, мобильных операторов, микрозаймов или других сайтах, которые требуют внесения личной информации и верификации по телефону или паспорту, то при успешных атаках на такие сервисы ваши данные могут оказаться в открытом доступе.
Пользователи, чьи данные оказались публичным достоянием в результате атаки на «Яндекс.Еду», сейчас мало что могут сделать. Если злоумышленники хотели бы использовать эту информацию для получения какой-либо выгоды, то, скорее всего, ей сначала бы воспользовались и только потом выкладывали в сеть.
Лишние действия способны только усугубить ситуацию. Номера, указанные на сайте с картой, по которым необходимо звонить для удаления данных, принадлежат сотрудникам государственных органов — это попытка дискредитации. Можно, конечно, сменить номер телефона, электронную почту и даже домашний адрес, но потраченные на это усилия навряд ли окупятся. К тому же Роскомнадзор составил протокол в отношении «Яндекс.Еды» из-за нарушения законодательства о персональных данных после утечки и заблокировал карту с раскрытыми данными клиентов сервиса.
Минимизировать риски в будущем
Чтобы обезопасить себя от других потенциальных утечек данных, для регистрации на различных сайтах стоит завести отдельный номер телефона и email-адрес. Также будет полезно указывать, где это возможно, не настоящие ФИО.
Для компаний важно внедрять процессы безопасного обращения с данными и их хранения: снизить количество людей, имеющих доступ к критичным данным, реализовать политику наименьших привилегий, то есть выдавать сотрудникам только те права, которые необходимы им в конкретный момент для работы. Рекомендуется посмотреть в сторону стандартов по информационной безопасности, самый популярный из них — ISO 27001 (ГОСТ Р ИСО/МЭК 27001–2006).
Будет не лишним приглашать в компании сторонних аудиторов информационной безопасности для анализа защищенности процессов, а также периодически проводить тестирование на проникновение (процесс, при котором специалисты по информационной безопасности пытаются проникнуть в информационную инфраструктуру компании и реализовать бизнес-риски).
Пресс-служба Университета ИТМО