Утечка данных

Данная угроза, наверное, единственная в курсе, на которую пользователь не способен существенным образом воздействовать, а в то же время утечка данных – очень серьезно способна повлиять на жизнь ее жертвы.

Что такое утечка? Давайте рассмотрим утечку данных на примере истории простого пользователя Александра. Александр пользовался сайтом для знакомств, выкладывал там фотографии, вел душевные переписки с интересными людьми, сообщал интимные детали, и при этом был женат. Прошло время, годы взяли свое, Александр остепенился, удалил страничку на сайте знакомств и зажил спокойной семейной жизнью.

Но Александр не учел, что удаление страницы не более чем визуальная фикция, и все его выложенные фотографии, данные, переписки по-прежнему хранятся в базе данных сайта. И вот в один день хакеры взламывают сайт знакомств, похищают базу данных и выкладывают ее на продажу в даркнете.

Кто виноват? Системный администратор сайта знакомств и его руководство принимало все должные меры: регулярный независимый аудит, своевременное обновление всех компонентов, высококлассные специалисты, строгая политика безопасности для всех сотрудников. Но это не помогло, как не помогало во многих других историях.

 Здесь уместно вспомнить одно высказывание. Как-то ирландские боевики после неудачного покушения на бывшего премьер-министра Великобритании, Маргарет Тэтчер, цинично заявили: «Сегодня нас постигла неудача, но помните, нам достаточно всего однажды поймать удачу. Вам же необходимо ловить удачу всегда». Аналогичный принцип действует и в случае взлома сайтов. Согласно распространенной статистике, ежедневно каждый сайт подвергается тысячам различных атак, большинство из которых осуществляется скрипт-кидди в поисках популярных уязвимостей или ненадежного пароля для SSH – хорошо защищенному сайту они не опасны.

Но бывают адресные атаки с использованием уязвимостей нулевого дня, против которых еще не существует защиты. Хотя если быть совсем честным, гораздо чаще ко взломам сайтов приводит человеческий фактор и достаточно детские ошибки, по крайней мере такие, которых можно было бы избежать.

Последствия утечки данных

Сразу как база Ashley Madison оказалась в публичном доступе, множество вымогателей и шантажистов начали изучать адресатов, искать их профили в социальных сетях, пробивать информацию о семейном положении. Если жертва оказывалась «примерным семьянином», с ней связывались и угрожали в случае отказа выплатить выкуп оповестить членов его семьи об изменах.

Особый интерес представляли геи, скрывающие свою ориентацию везде, кроме сайта знакомств. Многие из них соглашались без каких-либо гарантий заплатить вымогателям за сохранение в тайне их сексуальных предпочтений, особенно если они проживали в мусульманских странах, где законы шариата рассматривают гомосексуальные связи как преступление, заслуживающее смертной казни.

Особый интерес представляли геи, скрывающие свою ориентацию везде, кроме сайта знакомств. Многие из них соглашались без каких-либо гарантий заплатить вымогателям за сохранение в тайне их сексуальных предпочтений, особенно если они проживали в мусульманских странах, где законы шариата рассматривают гомосексуальные связи как преступление, заслуживающее смертной казни.

Не обошлось и без суицидов. Техасский полицейский покончил с собой, когда его личный email обнаружился в утекшей базе данных сайта знакомств Ashley Madison. Капитан полиции, 25 лет служивший в полиции Сан-Антонио, не смог пережить удара по репутации и общественного порицания. Известно, что это не единственный случай самоубийства вследствие публикации данных.

СМИ подхватили эстафету травли и начали делать подборки примерных семьянинов, разоблаченных при утечке базы данных сайта Ashley Madison. Например, в СМИ вы можете найти историю Джоша Даггара, семьянина, много лет состоявшего в браке, и, судя по социальным сетям, он, жена и четверо детей были счастливы.

В профиле на сайте Ashley Madison Джош искал подругу для секса с игрушками, орального секса и непристойных разговоров. Когда его история стала общеизвестной, он опубликовал заявление, в котором раскаялся в произошедшем. Я был самым большим лицемером. Исповедуя веру и семейные ценности, я тайно в течение нескольких лет смотрел порнографию в интернете, это стало тайным увлечением и я стал неверным своей жене. Мне так стыдно за двойную жизнь, которой я жил. Меня огорчает, что мой грех навлек обиду, боль и позор на мою семью, жену и больше всего на Иисуса и всех тех, кто исповедует веру в него Джош Даггар

Сайты знакомств не единственный случай, когда общедоступными могут стать подробности интимной жизни. Иногда взламывают базы данных частных клиник, и общедоступными оказываются истории болезней клиентов медицинского учреждения. Вряд ли кто-то хочет, чтобы знакомые, коллеги или даже вторая половинка узнали о вашем выпавшем геморрое, бесплодии, импотенции или других недугах. Эти данные также могут послужить материалом для шантажистов.

Например, не так давно в сети оказались выложены более 25 тысяч фотографий пациентов, сделавших пластические операции. Фотографии выложили хакеры, именуемые себя Tsar Team, а добыли они их, взломав базу данных одной из литовских клиник пластической хирургии. Самое неприятное для пациентов (главным образом, пациенток) – некоторые из них были в обнаженном виде, некоторые фотографии включали половые органы крупным планом. Вспомните эту историю, если вам придется сфотографироваться без одежды в клинике.

Как происходят утечки

Есть два основных пути. Первый – взлом, описанный ранее. Взломать могут базу данных сайта, а могут, проникнув в корпоративную инфраструктуру компании, получить доступ к данным внутреннего пользования. Например, хакеры получают доступ к корпоративной сети госпиталя и крадут информацию о его пациентах, включая их истории болезней.

Второй распространенный путь утечки – так называемый «слив», когда данные утекают через людей, имеющих к ним санкционированный доступ. Один из самых громких подобных примеров – утечка базы данных ФСКН России (Федеральной службы по контролю за оборотом наркотиков).

В 2015 году в «Новой газете» появилась статья о продаже базы данных ФСКН, содержащей сведения о наркоманах, наркопритонах, осведомителях, гражданах, звонивших на горячую линию. В базе были фотографии, адреса, оперативная информация, контактные данные. Все это свободно можно было приобрести у нелегальных торговцев базами данных в Москве, а затем и в даркнете.

Хуже всего пришлось осведомителям, чьи имена оказались в базе данных и кому «благодарные» наркоторговцы вполне могли нанести травмы и даже убить.

Подпишись на нас - Dark_dune