Не течь, а пробоина. Хищение баз личных данных обретает все более угрожающий масштаб

Автор фото: vostock-photo
Никогда такого не было — и вот опять. На днях в сети стала горячо обсуждаться тема сливов информации в связи с якобы публикацией в интернете базы данных (БД) 8,7 млн пользователей домашнего интернета "ВымпелКома". Примерно тогда же появились сведения о размещении данных о 60 млн кредитных карт Сбербанка. В той или иной мере подлинность баз подтвердили обе компании.
Однако многие эксперты признают, что информационная волна против "ВымпелКома", вероятнее всего, была заказной: опубликованная база хранится в сети в условно свободном доступе с 2016 года. В пресс–службе оператора ответили, что зафиксировали утечку 2 года назад, "все виновные были выявлены и понесли наказание" и лишь малая часть опубликованной информации по–прежнему актуальна.
Аналогичные БД других операторов также распространены в сети. Получить их за деньги не составляет труда. Согласно результатам летнего исследования компании DeviceLock, в даркнете размещены сведения об абонентах различных операторов, датированные концом 2018 года. При необходимости искать эти базы вовсе не нужно: можно получить информацию о каждом на заказ.
В связи с этим вопросов конкретно к "ВымпелКому" не возникает. Аналитики полагают, что история с оператором появилась как громоотвод от ситуации со Сбербанком (его президент Герман Греф уже публично извинился перед всеми, чьи данные утекли в сеть). Тем не менее интересно, как вообще персональные данные становятся общедоступны.

Черный рынок

Анонимный источник "ДП" в силовых структурах рассказывает, что чаще всего в интернет сливают базы данных операторов сотовой связи и ГИБДД, поскольку "риск для них нулевой, получить данные очень просто и есть постоянный спрос". По его словам, даже если нельзя напрямую скопировать и выкачать базу, то ее можно сфотографировать, а потом "склеить" в один файл.
На втором месте — базы МВД по административным и уголовным делам, а также сведения из госучреждений. Банки страдают гораздо реже из–за высокого уровня защиты.
"Пробивщики либо поштучно приобретают информацию по абоненту у представителей оператора (это очень недорого — около 200 рублей), либо покупают огромные базы данных. В таком случае доход сливщиков составляет сотни тысяч, иногда миллионы рублей — в зависимости от объема информации", — объясняет источник "ДП".
При этом, по его словам, многие крупные компании защищены от хакерских угроз извне, но до сих пор не научились бороться с недобросовестными сотрудниками. По данным исследования DeviceLock, в 60% случаев данные похищаются именно инсайдерами — в частности, системными администраторами, которые обладают низким статусом, но высоким уровнем доступа к базе.
При этом технические возможности для защиты данных от внутренней угрозы есть. Руководитель департамента информационной безопасности компании "Системный софт" Яков Гродзенский объясняет, что в качестве превентивных мер можно использовать маркировку файлов и маскировку данных.
"При этом должны быть внедрены системы информационной безопасности, позволяющие определить аномальную активность с БД, например экспорт большого числа записей", — считает он.
"Во многих компаниях применяется принципиально слабая концепция контроля данных, когда копирование секретной информации фиксируется, однако не останавливается. В результате сотрудник может быть обнаружен и наказан, но данные все равно утекут", — добавляет основатель и технический директор компании DeviceLock Ашот Оганесян.
При этом он подчеркивает, что БД операторов связи обновляются в сети не так часто, поскольку стоят недорого и не слишком востребованы. Однако львиная доля самих утечек остается вне наблюдения, акцент делается именно на черном рынке персональных данных. Другие эксперты подчеркивают, что в открытый доступ выкладываются уже отработанные киберпреступниками БД.

Высокий спрос

"Наиболее опасны продающиеся базы данных банков и микрофинансовых организаций. Они позволяют как минимум организовать мошеннический call–центр, чтобы обманным путем получать у клиентов банков коды sms–подтверждений операций в интернет–банке и снимать средства с их счетов. Кроме того, базы, содержащие сканы документов, пригодны для получения на чужое имя кредитов в онлайн–МФО, а также для получения электронной подписи, которая затем может использоваться для кражи недвижимости, компаний и других активов", — рассказывает Ашот Оганесян.
Ранее в ГК "Нетрика" оценивали годовой оборот открытого рынка пользовательских данных в 3–5 млрд рублей с перспективой роста до 10–50 млрд (в зависимости от выбранной государством политики управления данными).
В Positive Technologies рассказали "ДП", что в даркнете чаще всего продаются учетные данные пользователей различных сервисов.
"Данные для доступа к личным кабинетам в онлайн–банках продаются поштучно. Стоимость данных одной банковской карты с балансом от нескольких сотен до нескольких тысяч долларов на счету — в среднем около $9, а, например, отсканированную копию паспорта можно приобрести в среднем за $2", — объясняет руководитель отдела аналитики информационной безопасности компании Евгений Гнедин.
Потеря данных любой организацией может создать клиентам ряд проблем — раздражающие звонки с предложением кредитов, страховок и прочих "спецпредложений". Но в последнее время появление таких данных в относительно свободном доступе все чаще приводит к реальным потерям людьми денег. Мошенники тоже оттачивают профессионализм. Звонящие имеют неплохо поставленный голос, обладают некоторыми базисными данными о собеседнике — это легко может сбить с толку среднестатистическую "жертву".
Михаил Кондрашин
технический директор Trend Micro в России и СНГ
Не стоит забывать, что большое количество инцидентов с утечками просто не предается огласке. Не у всех пользуется популярностью практика признания своих ошибок. Зачастую официальные заявления поступают только в тех случаях, когда базы попадают в публичный доступ и вызывают обсуждение в СМИ. Важно, чтобы компании понимали: пока об инциденте молчат, пользователи остаются под угрозой. Мелкие базы в 90% случаев появляются из–за взломов систем или халатности разработчиков, которые не обеспечили должный уровень безопасности. Например, база с пользователями не защищена паролем и доступна для подключения любому, кто знает IP–адрес сервера, где она расположена. Специальные программы круглые сутки сканируют интернет в поисках таких баз. Существуют даже специальные сервисы–агрегаторы, где по подписке можно неограниченно получать нужную информацию, указав критерии поиска.
Иван Комиссаров
специалист по оценке безопасности компьютерных систем компании "ОНСЕК"