Утечки данных

A Нарушение данных — это любой инцидент, когда личные или конфиденциальные данные, хранящиеся в организации, становятся доступными людям, которые не должны были ими обладать. Данными могут быть имена, адреса электронной почты, пароли (хешированные или открытые), платежные карты, номера социального страхования, медицинские записи, история просмотров, данные о местоположении — все, что хранится о пользователях. Цифры ошеломляют: по состоянию на 2026 год HaveIBeenPwned индексирует более 14 миллиардов отдельных взломанных записей, и это лишь малая часть от реального общего числа.

Основные категории нарушений

• Утечки базы данных учетных данных. Злоумышленник крадет таблицу пользователей — имена пользователей, адреса электронной почты, хэши паролей. Иногда хеши сильные (bcrypt с высокой стоимостью), иногда шокирующе слабые (MD5, несоленый SHA-1). Даже сильные хэши раскрывают тот факт, что у вас есть учетная запись в этом сервисе.
• Неправильно настроено облачное хранилище. Корзины S3, экземпляры MongoDB, кластеры Elasticsearch остаются открытыми для общего доступа в Интернет. Исследователи безопасности регулярно находят их и сообщают о них; преступники тоже их находят. Эксплуатация не требуется — просто откройте доступ.
• SQL-инъекция и прямые атаки приложений. Уязвимые веб-приложения позволяют злоумышленникам напрямую запрашивать базу данных. Сейчас менее распространено, чем два десятилетия назад, но не исчезло.
• Нарушения в цепочке поставок. Злоумышленники ставят под угрозу зависимость поставщика или программного обеспечения, а затем используют этот доступ во многих средах клиентов. SolarWinds, Codecov, Kaseya — известные примеры.
• Insider-угрозы. Сотрудники с законным доступом получают данные — для продажи, использования или сообщения о нарушениях. для массового экспорта данных.
• Двойное вымогательство программ-вымогателей. Операторы программ-вымогателей извлекают данные перед шифрованием. Даже если вы не заплатите, данные исчезнут; даже если вы заплатите, у вас нет гарантии, что данные будут уничтожены.

Жизненный цикл взлома

Большинство нарушений происходят по предсказуемому пути:

1. Первоначальный доступ — фишинг, раскрытая услуга, поставка цепочка
2. Внутренняя эскалация — злоумышленник перемещается в горизонтальном направлении, получает доступ к хранилищам данных
3. Эксфильтрация — данные копируются, часто в течение нескольких недель, чтобы избежать обнаружения
4. Discovery — служба безопасности или третья сторона что-то замечают выключается, обычно через несколько месяцев после начала утечки
5. Уведомление — затронутые пользователи уведомлены, регулирующие органы предупреждены, публичное раскрытие
6. Перепродажа — данные появляются на рынках даркнета, объединяются с предыдущими нарушениями в комболистах

Среднее время между первоначальными время вторжений и обнаружений снизилось с более чем 200 дней десять лет назад до менее 100 дней сегодня — все еще слишком долго, но значительное улучшение.

Как вы это узнаете

Самые надежные каналы:

• HaveIBeenPwned (HIBP) — Трой Хант бесплатно Сервис индексирует крупнейшую совокупность известных нарушений. Введите адрес электронной почты; посмотрите, нет ли в нем известных нарушений. Подпишитесь на проактивные уведомления. В нашем тесте на взлом используется API HIBP.
• Прямое уведомление — Компании по закону обязаны раскрывать информацию в соответствии с GDPR (Европа), законами штата (Калифорния и т. д.) и различными отраслевыми нормативными актами. Уведомление часто приходит через несколько месяцев после того, как произошло нарушение. нарушение.
• Освещение новостей — Крупные нарушения попадают в новости, но конкретные пострадавшие пользователи часто не называются до позднего времени.

Что делать, если вы столкнулись с нарушением

Стандартный ответ по порядку:

1. Измените пароль в затронутой службе. Используйте новый надежный уникальный пароль.
2. Измените пароли в любой другой службе, где вы использовали тот же или похожий пароль.
3. Включите 2FA в затронутой службе, если вы еще этого не сделали.
4. Следите за связанными атаками — фишинговые электронные письма ссылки на данные о взломе являются обычным явлением в течение нескольких дней после публичного раскрытия информации.
5. Отслеживать финансовые счета, если были задействованы платежные данные. Во многих странах вы можете бесплатно заморозить свой кредитный файл.
6. Рассмотрите возможность использования службы мониторинга личных данных, если в результате взлома были раскрыты данные, эквивалентные SSN, хотя их ценность заключается скорее в душевном спокойствии, чем в фактической защите.

Почему одни и те же данные появляются во многих случаях взлома

После взлома данных и их незаконного использования рынков, это сочетается с предыдущими взломами combolists — объемными базами данных пар электронной почты и паролей, обнаруженными при сотнях взломов. Куча новых нарушений пополняется; старые данные циркулируют бесконечно. Ваш пароль LinkedIn 2015 года все еще находится в текущих списках. Вот почему даже утечки десятилетней давности до сих пор затрагивают пользователей, особенно тех, кто повторно использовал пароли.

Что следует делать организациям

Три структурных средства защиты, которые значительно уменьшают масштабы взломов:

• Сильное хеширование паролей. bcrypt, scrypt или Argon2 с соответствующей стоимостью. Неудачные взломы, которые раскрывают только надежные хэши, гораздо менее разрушительны, чем те, которые раскрывают открытый текст или MD5.X
• Зашифровано в состоянии покоя. Шифрование на уровне базы данных с ключом к аппаратному модулю безопасности. Злоумышленнику, получившему резервную копию базы данных, по-прежнему необходим доступ к HSM.
• Минимизация данных. Не собирайте то, что вам не нужно. Взлом приложения Tea в 2024 году был болезненным именно потому, что приложение собирало у женщин документы, удостоверяющие личность; если бы этого не произошло, нарушение было бы не менее серьезным.