nameemailssnpw hashphoneaddrcardnamedob

Povrede podataka

11 min pročitatiSigurnost

Gotovo svaka odrasla osoba bila je u povredi podataka. Vjerojatno nekoliko. Mehanika se kreće od sofisticiranih upada na državnoj razini do jednostavnih S3 spremnika koji su ostavljeni otvoreni za Internet, ali posljedice su iste: vaši su podaci u tuđim rukama. Razumijevanje kategorija govori vam što zapravo učiniti u vezi s tim.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

A povreda podataka svaki je incident u kojem su osobni ili povjerljivi podaci koje drži organizacija izloženi osobama koje ih ne bi trebale imati. Podaci mogu biti imena, adrese e-pošte, lozinke (raspršene ili otvorene), platne kartice, brojevi socijalnog osiguranja, zdravstveni kartoni, povijest pregledavanja, podaci o lokaciji - sve što je pohranjeno o korisnicima. Brojke su zapanjujuće: HaveIBeenPwned indeksira više od 14 milijardi pojedinačnih probijenih zapisa od 2026., a to je samo djelić stvarnog ukupnog broja.

Glavne kategorije kršenja

  • Curenja baze vjerodajnica. Napadač krade korisničku tablicu — korisnička imena, e-poštu, hashove zaporki. Ponekad su hashevi jaki (bcrypt s visokom cijenom), ponekad šokantno slabi (MD5, nezasoljeni SHA-1). Čak i jaki hashovi otkrivaju činjenicu da imate račun na toj usluzi.
  • Pogrešno konfigurirana pohrana u oblaku. S3 spremnici, MongoDB instance, Elasticsearch klasteri ostavljeni otvoreni za javni internet. Istraživači sigurnosti ih redovito pronalaze i prijavljuju; pronađu ih i kriminalci. Nije potrebno nikakvo iskorištavanje — samo otvorite pristup.
  • SQL injekcija i izravni napadi aplikacija. Ranjive web aplikacije dopuštaju napadačima izravno postavljanje upita bazi podataka. Sada manje uobičajeno nego prije dva desetljeća, ali nije izumrlo.
  • Proboji u lancu opskrbe. Napadači kompromitiraju ovisnost o dobavljaču ili softveru, a zatim taj pristup koriste mnogim korisničkim okruženjima. SolarWinds, Codecov, Kaseya poznati su primjeri.
  • IInsajderske prijetnje. Zaposlenici s legitimnim pristupom uzimaju podatke — za prodaju, financijsku potporu ili zviždanje.
  • Phishing i preuzimanje računa. Jedan kompromitirani administratorski račun u klijentu okrenutom alat može dovesti do masovnog izvoza podataka.
  • Dvostruka iznuda Ransomwarea. Operateri Ransomwarea eksfiltriraju podatke prije šifriranja. Čak i ako ne platite, podaci su nestali; čak i ako platite, nemate jamstva da će podaci biti uništeni.

Životni ciklus povrede

Većina povreda slijedi predvidljiv put:

  1. Ipočetni pristup — phishing, izložena usluga, opskrba lanac
  2. Iunutarnja eskalacija — napadač se kreće bočno, dobiva pristup pohranama podataka
  3. Exfiltration — podaci se kopiraju, često tjednima kako bi se izbjeglo otkrivanje
  4. Otkriće — sigurnosni tim ili treća strana primijeti nešto isključeno, obično nekoliko mjeseci nakon pokretanja exfila
  5. Obavijest — pogođeni korisnici obaviješteni, regulatori upozoreni, javno objavljivanje
  6. Preprodaja — podaci se pojavljuju na mračnim tržištima, kombiniraju se s prethodnim upadima u komboliste

The srednje vrijeme između početnog upada i otkrića palo je s više od 200 dana prije deset godina na ispod 100 dana danas — još uvijek predugo, ali značajan napredak.

Kako saznati

Najpouzdaniji kanali:

  • HaveIBeenPwned (HIBP) — Besplatna usluga Troya Hunta indeksira najveći poznati korpus kršenja. Unesite email; vidjeti je li u poznatim kršenjima. Pretplatite se na proaktivne obavijesti. Naš test kršenja koristi HIBP API.
  • Izravna obavijest — Tvrtke koje su zakonski dužne objaviti prema GDPR-u (Europa), državnim zakonima (Kalifornija itd.) i raznim sektorskim propisima. Obavijest često stiže mjesecima nakon što se kršenje dogodi.
  • Upozorenja upravitelja lozinki — 1Password, Bitwarden i slični provjeravaju vaše pohranjene vjerodajnice u bazama podataka kršenja i površinski zahvaćenim računima.
  • Upozorenja o kršenju preglednika — Chrome, Safari, Edge proaktivno upozoravaju kada se spremljena lozinka pojavi u poznatoj povredi.
  • Izvještaj o vijestima — Velika kršenja dospiju u vijesti, ali određeni pogođeni korisnici često se imenuju tek kasnije.

Što učiniti kada ste u povredi

Standardni odgovor, u narudžba:

  1. Promijenite lozinku na ugroženoj usluzi. Upotrijebite svježu jaku jedinstvenu zaporku.
  2. Promijenite zaporke na bilo kojoj drugoj usluzi gdje ste koristili istu ili sličnu zaporku.
  3. Omogućite 2FA na pogođenoj usluzi ako već niste.
  4. Pazite na povezane napade — phishing e-poruke upućivanje na podatke o kršenju uobičajeno je u danima nakon javne objave.
  5. Pratite financijske račune ako su uključeni podaci o plaćanju. Mnoge zemlje vam dopuštaju da besplatno zamrznete svoju kreditnu datoteku.
  6. Razmotrite uslugu praćenja identiteta ako su proboj otkrili podatke ekvivalentne SSN-u — iako je njihova vrijednost više mir nego stvarna zaštita.

Zašto se isti podaci pojavljuju u mnogim provalama

Jednom podaci su probijeni, a na ilegalnim tržištima kombinira se s prethodnim provalama u combolists — skupne baze podataka parova e-pošte/lozinki kroz stotine provala. Nova kršenja pridodaju se hrpi; stari podaci kruže unedogled. Vaša zaporka za LinkedIn iz 2015. još uvijek je u trenutnim popisima za spajanje. Zbog toga čak i desetogodišnja kršenja još uvijek utječu na korisnike danas, posebno one koji su ponovno koristili lozinke.

Što bi organizacije trebale učiniti

Tri strukturne obrane koje značajno smanjuju razmjere kršenja:

  • Jako raspršivanje lozinki. bcrypt, scrypt ili Argon2 s odgovarajući trošak. Neuspjela kršenja koja otkrivaju samo jake hashove daleko su manje štetna od onih koja otkrivaju otvoreni tekst ili MD5.
  • Šifrirano u mirovanju. Enkripcija na razini baze podataka vezana za hardverski sigurnosni modul. Napadač koji dobije sigurnosnu kopiju baze podataka i dalje treba pristup HSM-u.
  • Minimizacija podataka. Ne skupljajte ono što vam ne treba. Povreda aplikacije Tea iz 2024. bila je bolna posebno zato što je aplikacija prikupljala osobne dokumente od žena; da nije, povreda bi bila mrvicu lošija.

Često postavljana pitanja

Trebam li platiti uslugu zaštite identiteta nakon povrede?
Vjerojatno ne. Njihova vrijednost je usluga nadzora koju možete sami učiniti besplatno. Zamrznuta kreditna datoteka (besplatno u SAD-u) plus upravitelj lozinki plus 2FA na važnim računima daje većinu praktične koristi. Skupe usluge uglavnom su osiguranje za zakonsko vrijeme i naknada, što većini korisnika nije potrebno.
Zašto su moje vjerodajnice u upadima za koje nikad nisam čuo?
Kombolisti. Starija kršenja se skupljaju u skupne baze podataka koje se prodaju i ponovno kruže godinama. Neka "kršenja" navedena od strane HIBP-a su ti kombolisti, a ne originalni incidenti. Podaci su još uvijek stvarni - samo je naziv izvora agregator, a ne izvorno mjesto.
Jesu li šifrirane lozinke sigurne u slučaju provale?
Ovisi o raspršivanju. bcrypt ili Argon2 hashovi odolijevaju offline krakiranju za jedinstvene jake lozinke gotovo neograničeno vrijeme; slabe lozinke ("password123", "qwerty") podliježu napadima rječnikom čak i protiv jakih hashova. Unsalted MD5 se gotovo odmah razbija za bilo koju razumnu lozinku. Odabir raspršivanja web-mjesta važan je jednako kao i vaša lozinka.
Trebam li zatvoriti račune nakon kršenja?
Ako ne koristite uslugu, da — manje računa = manja površina za napad. Ako vam i dalje treba, promijenite lozinku i dodajte 2FA. Brisanje računa ne uklanja retroaktivno povrijeđene podatke, ali ograničava buduću izloženost.
Koja je najštetnija pojedinačna povreda podataka?
Teško je rangirati, ali upad u Yahoo 2013. – 2014. (3 milijarde računa), upad u Equifax 2017. (147 milijuna SSN-ova i kreditnih podataka) i razni kombolisti razotkrili su ogromnu populaciju korisnika. Šteta se razlikuje ovisno o osjetljivosti podataka — SSN/kreditnu izloženost teže je oporaviti nego e-poštu + lozinku.
Objašnjenje povreda podataka: kako se događaju, kako saznate i što učiniti