Недавно в сети появилась карта с данными клиентов «Яндекс.Еды» — именами, номерами телефонов, адресами и тратами за полгода. В компании признают, что действительно 1 марта часть данных пользователей сервиса попала в открытый доступ, однако утверждают, что с тех пор новых случаев не было. С утечками сегодня сталкивается любой крупный бизнес ― как компании могут защитить себя от возможной угрозы и что делать обычному человеку, если он увидел свои персональные данные в открытом доступе? Об этом рассказал инженер факультета безопасности информационных технологий Университета ИТМО Дмитрий Татаров.

Попытка дискредитации

Утечка данных, когда некто незаконно получает к ним доступ, может произойти несколькими путями. Например, «слив» случается по вине специалистов, которые имеют возможность обращаться к базам с персональной информацией клиентов. Часто злоумышленники находят ненадежных сотрудников в компаниях и через них получают эти данные. Украденные базы нередко продают или отдают бесплатно за рейтинг на «хакерских форумах».

Взлом той или иной системы может быть организован и в результате внешней кибератаки, например с помощью слабых паролей или через уязвимость в обеспечивающих защиту кодах. Также ущерб можно нанести вредоносными программами. Скачанный на устройство вирус может стать отправной точкой для дальнейшего захвата всей системы.

В случае с сервисом «Яндекс.Еда» компания в качестве причины утечки данных указала «недобросовестные действия одного из сотрудников в интернете». Однако сам взлом остается загадкой — была ли это работа инсайдера (человека, который внедряется в организацию) или же это результат эксплуатации уязвимости, которую удалось найти на периметре компании.

Причины у взломщиков могут быть разными. Возможный мотив — желание запугать население и снизить их доверие к компании. Скорее всего, целью конкретной атаки было не получение данных, а их распространение.

Лишние действия могут навредить

Утекшие данные не представляют большую угрозу для пользователей. По большей части они и так публичные и / или не вызывают большого интереса у злоумышленников. ФИО и номер телефона указаны в том же «Вконтакте», а операционная система телефона отображается при постинге в Twitter. С этими данными сложно проводить атаки социальной инженерии или использовать их для получения доступа к личным кабинетам на каких-либо сайтах.

Однако полученные сведения можно сложить с другими «сливами» из интернета и получить более полную картину о человеке. Также злоумышленники могут попробовать провести фишинговую атаку. Например, прислать вам письмо с акцией «Яндекс.Еды», ведущее на сторонний ресурс, где вас просят ввести учетные данные для участия.

То же самое может произойти и с другими сервисами. Если вы хоть раз регистрировались на сайтах букмекеров, бирж, мобильных операторов, микрозаймов или других сайтах, которые требуют внесения личной информации и верификации по телефону или паспорту, то при успешных атаках на такие сервисы ваши данные могут оказаться в открытом доступе.

Пользователи, чьи данные оказались публичным достоянием в результате атаки на «Яндекс.Еду», сейчас мало что могут сделать. Если злоумышленники хотели бы использовать эту информацию для получения какой-либо выгоды, то, скорее всего, ей сначала бы воспользовались и только потом выкладывали в сеть.

Лишние действия способны только усугубить ситуацию. Номера, указанные на сайте с картой, по которым необходимо звонить для удаления данных, принадлежат сотрудникам государственных органов — это попытка дискредитации. Можно, конечно, сменить номер телефона, электронную почту и даже домашний адрес, но потраченные на это усилия навряд ли окупятся. К тому же Роскомнадзор составил протокол в отношении «Яндекс.Еды» из-за нарушения законодательства о персональных данных после утечки и заблокировал карту с раскрытыми данными клиентов сервиса.

Минимизировать риски в будущем

Чтобы обезопасить себя от других потенциальных утечек данных, для регистрации на различных сайтах стоит завести отдельный номер телефона и email-адрес. Также будет полезно указывать, где это возможно, не настоящие ФИО.

Для компаний важно внедрять процессы безопасного обращения с данными и их хранения: снизить количество людей, имеющих доступ к критичным данным, реализовать политику наименьших привилегий, то есть выдавать сотрудникам только те права, которые необходимы им в конкретный момент для работы. Рекомендуется посмотреть в сторону стандартов по информационной безопасности, самый популярный из них — ISO 27001 (ГОСТ Р ИСО/МЭК 27001–2006).

Будет не лишним приглашать в компании сторонних аудиторов информационной безопасности для анализа защищенности процессов, а также периодически проводить тестирование на проникновение (процесс, при котором специалисты по информационной безопасности пытаются проникнуть в информационную инфраструктуру компании и реализовать бизнес-риски).

Пресс-служба Университета ИТМО

К началу

Утечка данных с «Яндекс.Еды»: причины, последствия и рекомендации пострадавшим

Попытка дискредитации

Лишние действия могут навредить

Минимизировать риски в будущем

Похожие новости

Выпускник ИТМО, сооснователь AI Factory Григорий Ткаченко: Стартап — это именно то, что может спасти тебя от выгорания

Из ИТМО ― сразу в Яндекс. Как получить оффер в топовую IT-компанию еще до диплома

На выставке CeBIT в Германии представлена российская квантовая система безопасной передачи данных