Мы собрали показательные истории об утечках данных в уходящем году, чтобы напомнить компаниям о действенных методах защиты и проследить тенденции в мире кибербезопасности.
OneLogin
Баг в системе позволял сотрудникам OneLogin видеть заметки пользователей сервиса Secure Notes до того, как они зашифрованы с помощью AES-256. В июле учетная запись одного из сотрудников была скомпрометирована, но этого никто не заметил, поэтому злоумышленник свободно входил в систему еще месяц.
Конечно же, как только OneLogin обнаружила утечку, баг в Secure Notes был исправлен, доступ к служебным данным ограничен, а пользователи — проинформированы об инциденте. Злоумышленника так и не нашли, как и не узнали судьбу украденных им данных.
Вывод
Проверяйте критичные базы на уязвимости и баги. Даже если уже проверяли. Нет ничего хуже, чем показать злоумышленнику данные пользователей.
GitHub
Рекрутинговый сайт GeekedIn получил данные 8 миллионов пользователей GitHub и сохранил информацию в незащищенной базе MongoDB. В ноябре блогер Трой Хант провел расследование и выяснил, что резервные копии базы данных были скачаны третьими лицами и продаются в интернете. База данных содержит емейлы, имена пользователей, местонахождение и информацию о профессиональных навыках.
Вывод
Партнерства помогают развивать бизнес, да и самим пользователям удобно, когда в новом сервисе можно залогиниться через профиль в другом сервисе. Но не все партнеры одинаково полезны. Поэтому мы рекомендуем не давать данные пользователей малоизвестным компаниям. А если уж дали, то поддерживать контакт и интересоваться, как данные используются.
Hitsniffer
В сентябре программист с широкими правами доступа украл базу клиентов компании Hitsniffer, специализирующейся на веб-аналитике. А затем отправлял коммерческие предложения от имени конкурента заказчикам из похищенного списка. В итоге компания Hitsniffer закрыла сайт, предупредила клиентов о краже данных, отменила все подписки на свои услуги и подключила полицию к розыску бывшего сотрудника, который, кстати, работал в компании со дня основания.
Вывод
Чтобы предупредить утечку данных со стороны сотрудника с широкими правами доступа, используйте современную систему защиты (DLP). И не забывайте подписывать строгое NDA с финансовой ответственностью.
Несколько фактов
Если верить статистике InfoWatch, в I полугодии 2016 года в 67% случаев причиной утечки информации стал внутренний нарушитель. И только в 33% утечка произошла из-за внешней атаки. При этом 66% нарушителей — обычные сотрудники, 29,8% — внешние злоумышленники, 2% — подрядчики, 1% — бывшие сотрудники, 0,8% — руководители, 0,5% — системные администраторы.
По данным того же отчета InfoWatch, в организациях среднего размера зафиксировано существенно больше утечек, чем в крупных компаниях. В ряде случаев совокупный объем скомпрометированных записей в средних компаниях равен совокупному объему скомпрометированных записей в крупных компаниях в пределах одной отрасли.
В 2017 году компаниям поможет комплексный риск-ориентированный подход с глубоким анализом и прогнозированием опасностей. А обучение сотрудников хотя бы частично решит проблему неосторожного хранения данных и паролей «123456». Иначе вы рискуете продолжить тенденцию последних лет — выпуск пресс-релиза с информацией об утечке и действиях компании, после смены паролей и увольнения инсайдеров. Это поможет сохранить имидж и успокоить клиентов.
We are a bunch of people sharing the latest news with our customers and users. We love to write about technologies that are changing our daily life for better. Have a question? Feel free to drop a line to one of us — yuliya.bibisheva@orange.com