5 самых масштабных взломов 2018 года

Привет, Анон. Именно с этой статьи я хочу начать публикации в 2019-ом. Для плавного перехода, я расскажу тебе о самых масштабных утечках данных в 2018-ом. Как раз самое время вспомнить громкие кражи данных миллиардов пользователей. Это хороший повод задуматься о безопасности хранимых данных и каждый раз думать, стоит ли доверять свою информацию дырявому сервису. А еще лучше, посмотреть со стороны, как можно получить эти данные и успешно монетизировать. Ну что же, давай посмотрим мой личный ТОП-5 из 2018-го.

ТОП 5 — 92 миллиона данных пользователей MyHeritage

В июне, на сайте социальной сети MyHeritage появилась запись в блоге. В ней сообщалось, что данные 92,283,889 пользователей (почты и пароли в виде хешей) оказались в свободном доступе. Как добавили в компании, данные ДНК и другая информация не попала в свободный доступ, так как они хранятся на других серверах. Генеалогический сервис позволяет найти свои родственные связи, а также сделать ДНК-тест чтобы определить свою этничность и принадлежность предков к территориальной группе.

Несмотря на то, что на сайте была опубликована информация о создании группы реагирования на инцидент, но нет никаких данных о том, как именно произошла утечка. Указано только то, что в файле есть данные пользователей, которые зарегистрированы в сервисе до 26 октября 2017 года. Также, сообщается, что файл с учетными записями прислал ресерчер. Компания публично не назвала имя специалиста информационной безопасности.

ТОП 4 — 340 миллионов данных жителей США в EXACTIS

Персональная информация американцев оказалась в открытом доступе. Об этом впервые написал Винни Троя. Более 2 терабайтов данных оказались в открытом доступе. В базе хранились имена, фамилии, мобильные номера, а также дополнительные данные: отношение к курению, пол, домашний адрес, количество детей, наличие домашних животных, религия и интересы. Предполагается, что БД собиралась из открытых источников, но также возможно, что часть данных была взята с закрытых кредитных отчетов. Также, вместе с данными жителей была информация о предприятиях и организациях.

Самое интересное то, что Vinny Troia нашел эту БД в Shodan. Специалист изучал движок ElasticSearch, который доступен по запросу: port:"9200" product:"Elastic". Среди результатов была БД Exactis. Исследователь заявил, что это была одна из самых больших БД, которую он встречал. Из 10 разных жителей содержалась информация о 6 из них. В маркетинговой компании так и не дали ответа, которые расставили бы все точки. Известно, что Exactis занимается маркетинговыми исследованиями и аналитикой.

ТОП 3 — 1 миллиард данных Facebook

Для Фейсбука этот год был откровенно провальным. Утечки персональных данных привели к потере доверия. За год компания передала третьим лицам данных примерно на 1 миллиард пользователей. В компании официально подтвердили, что более 150 компаний получали данные из социальной сети. Среди них: Netflix, Spotify, Amazon и Королевский банк Канады. Также, стало известно, что Facebook установил партнерские отношения по обмену данными как минимум с 60 производителями устройств - включая Apple, Amazon, BlackBerry, Microsoft и Samsung.

Данные 50 миллионов пользователей запомнятся фейсбуку еще надолго. Скандал с Cambridge Analytica, использование информации в политической гонке, а также суды не оставили пользователей без внимания. Не стоит забывать о баге с API, который позволял просматривать все фотографии пользователей, даже те, которыми юзеры не делились.

ТОП 2 — 500 миллионов гостей в Marriott

Всего в открытом доступе оказались данные 500 миллионов гостей отеля Starwood. Примерно 330 миллионов записей из этой базы содержат имя, почту, номер мобильного, домашний адрес, дату рождения, дату заселения и выселения, а также данные учетной записи Starwood Preferred Guest. Также, для некоторых учетных записей были доступны номера платежных карт и срок действия. Несмотря на то, что платежная информация хранилась в зашифрованном виде (AES-128), Marriott не исключает возможности, что необходимые ключи для расшифровки также были похищены.

Marriot — это известная компания по управлению приблизительно 2800 отелями в США и в 66 других странах. Через партнерские сети доступно около 6000 отелей. После инцидента компания поэтапно отказывается от системы Starwood и инвестирует средства в развитие и безопасность собственной сети.

ТОП 1 — 1,2 миллиарда человек. Национальная база данных Индии

В Индии на государственном уровне используется правительственная БД, более известная как AADHAAR. В ней содержатся биометрические данные: отпечатки пальцев, радужная оболочка глаза и т.д. База данных используется для открытия банковских счетов, покупок, а также оплаты коммунальных служб и получения государственной помощи. Также, для идентификации своих клиентов БД могут использовать Amazon, Uber и другие компании.

Утечка произошла через дочерний сервис коммунальной службы Indane. Любой пользователь мог изменить личную информацию, а также получить все уникальные данные пользователей, включая банковские реквизиты, уникальной идентификатор и данные биометрии. Ходят слухи, что база данных была выставлена на продажу всего за 8 долларов.

Вне рейтинга — 14 миллионов данных бывших студентов на сайте Рособрнадзора

Данная утечка произошла благодаря SQL Injection на сайте Федеральной службы по надзору в сфере образования и науки. В целом уязвимость была исправлена уже через час, а сайт дальше успешно работал. Кто не знаком с этой историей, можете более детально почитать на хабре.

Что в итоге удалось получить: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится в системе по будням (видимо, когда на работу приходит), 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весит 5 гб.

Заключение

Кто ищет, тот всегда найдет. Кейсы с EXACTIS и РОСОБРНАДЗОР показывают, что даже большие системы имеют уязвимости, которые можно эксплуатировать. Не стоит забывать, что есть сайты и сервисы поменьше.

Количество данных о нас, которое хранится в сети, растет с каждым годом. Сейчас абсолютно все переходит в цифровую плоскость. И, как видно из некоторых утечек, в базах могут хранится не только пресловутые данные а зарплате или отношении к курению, а и биометрические денные человека.

Эти данные могут быть на вес золото, но в представлении компьютера это просто цифры. Конечно, все компании стараются охранять данные в соответствии с их значимостью. Многоуровневые системы проверки, искусственный интеллект для анализа запросов, бекапы бекапов. Но какого черта мы тогда сидим тут и разбираем новые утечки на миллионы записей. Да потому что ошибки неизбежны, новые взломы на миллиарды будут всегда. И ущерб от таких атак в будущем будет только расти, потому что всё более ценные и полные данные отправляются в базы, и не проходит ни года без масштабных сливов.