Истории о том, как частные данные перестали быть частными

Летом 2015 года фамилия 43-летнего американца Марка (имя изменено) появилась в свободном доступе в сети среди миллионов других посетителей сайта Ashley Madison. Этот ресурс существовал для знакомств и сексуальных связей женатых людей. Несколько недель Марк ждал угроз от хакеров, гуглил свою фамилию и думал, что сказать жене, когда она все узнает.

Того лета хакеры взломали базу данных сайта Ashley Madison и выложили ее в открытый доступ. 30 млн человек, зарегистрированных на сайте, в одну секунду стали известными.

Марк был женат с 19 лет. Однако после двух десятилетий брака решил разнообразить свою жизнь. Он переписывался с сотней женщин, с несколькими имел реальные встречи.

"Я не горжусь тем, что я сделал. Я обманул жену… Однако те ребята, которые взломали сайт, не имели права делать то, что они сделали".

Марк был очень осторожным, используя Ashley Madison. Он зарегистрировал для сайта отдельную электронную почту, услуги ресурса оплачивал с помощью подарочных pre-paid-карт. Благодаря этим элементарным правилам безопасности, мужчина был уверен, что о его изменах не узнает никто. Однако хакеры, взломавшие Ashley Madison, думали по-другому.

В длинном манифесте, который хакерская группа Impact Team опубликовала вместе с изломом, было сказано, что злоумышленников вдохновили на хакерскую атаку псевдо-моральные ценности, которые пропагандирует Ashley Madison и заявления компании о неприкосновенности частных данных пользователей.

Среди этих жертв были мэр города Хартселла, окружной прокурор из Флориды Джефф Эштон, много известных лиц. Некоторые жертвы еще и пострадали от вымогателей, которые просили выкуп за неразглашение данных. На момент, когда была опубликована последняя статья об истории жертвы Ashley Madison, жена Марка не узнала о его увлечении.

После судебного решения по коллективному иску Ashley Madison заплатила жертвам взлома более $11 млн. В этой истории интересен еще один нюанс. Администрация Ashley Madison брала плату в размере $19 из тех, кто хотел полностью удалить свои личные данные с сайта. Излом показал, что даже после такого платного удаления эти данные хранились на серверах компании.

Бюро кредитных историй

История с Ashley Madison в то же время показательна и поучительна. Сторонники семейных ценностей могут видеть в ней определенный вариант кармической расплаты. Но на месте жертв Ashley Madison мог быть любой.

Теперь интимные детали нашей жизни хранятся на смартфонах и в облачных сервисах, а данные из социальных сетей передаются рекламодателям. На серверах ИТ-компаний размещаются не только данные о наших утренних пробежках и маршрутах передвижения по городу, но и отпечатки пальцев, номера кредиток и истории платежей.

Часто говоря об уязвимости онлайн-данных, вспоминают мошенничество с кредитными картами. Но эти данные – это только вершина айсберга персональных данных, которые есть в сети и которые можно использовать. Представьте себе базу данных с деталями ваших передвижений или перемещений ваших детей. Хотели бы вы, чтобы была опубликована в свободном доступе информация о том, когда вы обычно ездите за город или когда ваши дети возвращаются из школы?

Например, осенью этого года хакеры взломали базу данных сервиса Equifax – американского бюро кредитных историй. Бюро кредитных историй Equifax существует с 1899 года и работает с данными почти миллиарда пользователей. В этот раз не повезло американцам и канадцам. Equifax потеряла более $87 млн, ликвидируя последствия утечки данных только за первый месяц после него, в дальнейшем ей придется потратить еще около $100 млн.

И это без потенциальных судебных расходов – против Equifax ведется более 240 судебных процессов. А еще стало известно, что когда руководство компании узнало об утечке данных, оно в срочном порядке продало акции компании.

Оценить репутационные потери пока не берется никто. Хотя эксперты однозначны – Equifax нужно будет очень сильно убеждать своих клиентов в том, что они решили свои проблемы с безопасностью и ей можно доверять данные.

История о сайте Ashley Madison или Equifax не задела украинцев. Однако ошибочно считать, что утечка данных нам не грозит. Возможно, мы не настолько зависимы от цифровой информации, как американцы, но и о нас в сети есть очень много информации.

Yahoo, Dropbox, Uber

Мы активно пользуемся популярными зарубежными онлайн-сервисами. А их взлом и публикация похищенного (обычно это логины,  электронные адреса и пароли доступа) означает, что такие данные уже не являются безопасными. Хотя все знают принципы парольной защиты в отношении использования различных паролей доступа, этих правил придерживаются единицы. И пароль, связанный с е-мейлом, который где-то "засветился", ставит под угрозу другие аккаунты, в которых использовался этот адрес.

Вот несколько историй массовых взломов аккаунтов, которые вошли в список крупнейших по числу пострадавших.

Yahoo

Три миллиарда аккаунтов электронной почты на Yahoo были взломаны хакерами. Это стоило компании больших репутационных потерь и меньшей, чем планировалось цены ее поглощения со стороны Verizon. Эту потерю данных считают чуть ли не крупнейшей в истории интернета

LinkedIn

В 2012 году было взломано более 165 млн аккаунтов деловой соцсети. Об этом стало известно лишь в 2016 году.

Dropbox

Данные 68 млн аккаунтов были похищены в 2012 году. Компанию спасло то, что взломанные пароли были опубликованы не в открытом виде – в Dropbox хранятся только зашифровано и хакерам не удалось расшифровать их.

Evernote

Более 50 млн данных пользователей этого популярного сервиса хранения заметок были потеряны в 2013 году. Компания подчеркнула, что финансовые данные не были похищены.

Uber: $100 тысяч за молчание

Один из самых свежих массовых изломов касается сервиса Uber. В конце ноября стало известно, что Uber скрыла утечку данных 57 млн пользователей – 50 млн клиентов и 7 млн водителей компании. Утечка произошла более года назад, в компании знали об этом, но решили не сообщать. Несколько стран мира начали собственные расследования этого массового взлома, в результате чего Uber могут ждать штрафы и санкции, против компании подали коллективные иски в суд.

За две недели после первого сообщения появилась информация о том, что Uber заплатила хакеру, похитившему данные, $100 тыс за молчание, за то, что тот удалит данные и скроет факт их утечки.

Что делать

Объемы данных, доступных онлайн, с каждым годом увеличиваются и процесс этот не остановить. Электронная почта, файловые хостинги, соцсети стали сервисами повседневного использования. Защита данных зависит от компании-владельца сервиса. Эти компании часто вкладывают большие деньги в шифрование и защиту данных, однако им не всегда удается сохранить вашу информацию.

Отказываться от их использования тоже не выход. Массовые атаки на сайты, а также распространение вирусов имеют и положительную сторону – компании стали больше обращать внимания на защиту персональной информации своих клиентов, понимая, что потеря данных может превратиться и в уничтожение всего бизнеса.

История, описанная в начале статьи, произошла два года назад. Однако в начале декабря этого года сайт Ashley Madison стал фигурантом еще одной истории об утечке данных. Специалисты по безопасности обнаружили "дыру" на Ashley Madison, благодаря которой любой желающий мог посмотреть фотографии пользователей сайта. Эти фото доступны для просмотра даже без регистрации и даже тогда, когда пользователи закрыли их частным ключом.

Очевидно, что найти фото среди миллионов загруженных на сайт сложнее, чем найти фамилию в списке, опубликованном в сети. Однако то, что хакеры дважды взломали один и тот же сайт, лишний раз показывает хрупкость онлайн-данных и их уязвимость к внешним вмешательствам.