Утечки происходят регулярно, и самое пугающее – что они могут происходить даже из крупнейших банков и государственных органов, то есть 100-процентной защиты нет нигде.
Секретные документы Google
Однажды вечером несколько дней тому назад Яндекс внезапно стал индексировать онлайн-документы, созданные в системе Google Docs. Документы Google очень удобны как для совместной работы (можно работать вдвоем из разных мест одновременно с одним текстом), так и для себя любимого – это фактически заметки, доступные везде через браузер.
Google предлагает доступ к документу только определенным лицам (тогда надо указать их адрес электронной почты Gmail) или по специальной ссылке, которую в теории практически невозможно угадать – она представляет собой длинную сложную комбинацию букв и цифр. Но документ при этом не зашифрован.
И вот все эти документы стали доступны в поисковике Яндекса. Если ввести в поиск нужное слово (любое, но первым ввели, конечно же, слово «пароль») и указать, что искать нужно только на сайте docs.google.com, то поисковик заботливо выведет ссылки на все документы, содержащие это слово – в том числе те, внутри которых эти самые пароли и перечислены.
После того, как задействованные компании оправились от шока, перед ними встали два вечных вопроса: кто виноват и что делать.
Можно свалить на пользователей. Мол, ставили открытый доступ по ссылке? Получите.
Можно – на то, что какие-то неправильные настройки у поисковика Яндекса – мол, интернет-браузер Яндекса шпионит за пользователями и передает в компанию адреса посещенных страниц, включая неприличные документы в Google.docs. Но это скользкая дорожка, потому что браузер Google Chrome стал делать так задолго до любых конкурентов, и лазит по данным пользователя не в пример активнее.
Но даже если так, при запрете индексирования адреса страниц все равно не должны попадать в публичный доступ. К тому же, документы проиндексировали и другие поисковики, так что, скорее всего, вина за утечку лежит все же на Google – как-то не так настроили запреты для поисковых роботов.
Не успели разгрести и обсудить это происшествие, как в Яндексе оказались данные клиентов различных сервисов, включая банки. Вот уж действительно «найдется все».
Сбербанк, ВТБ, РЖД и пр.
Собственно, масштабы утечки еще нельзя до конца оценить, потому что дыры находят у все новых компаний. Утечки обнаружил специалист по поисковой оптимизации Павел Медведев, он написал об этом в фб.
В посте Медведева указывается на утечки персональных данных клиентов банка ВТБ, РЖД, Сбербанка и других крупных компаний. Причем у РЖД можно было найти не только все данные покупателей, но и копии электронных билетов. Произошло это по той же причине – плохая настройка запретов для электронных поисковых роботов, благодаря чему они зашли в ту часть сайта, куда заходить не должны.
Также персональные данные можно было получить из государственных сервисов, в частности, были сообщения о сервисах портала mos.ru.
«Сбербанк» и ВТБ, правда, уже выступили с опровержением произошедшего, дескать, утечки персональных данных нет.
Яндекс, которому уже надоело, что на него сыплются все шишки, сделал официальное заявление, что его поисковые роботы работают правильно и в соответствии с законом, а если кто-то неправильно настраивает свои системы хранения защищенных данных, то Яндекс тут ни при чем.
Грубо говоря, не хотите, чтобы другие люди читали вашу закрытую информацию – не оставляйте ее на лавочке в парке в открытом виде.
Роскомнадзор заявляет, что он направил фигурирующим в списке утечек компаниям требование объяснить, как это произошло, но никакой новой информации пока нет.
И за рубежом
К сожалению, мнение про «такое только у нас!» – неверно. Подобные утечки происходят по всему миру по самым разным причинам, в том числе связанным с тем, что на настройке хранилищ ценнейших данных слишком сильно сэкономили.
Впрочем, и хорошая защита – не всегда гарантия, о чем свидетельствует недавний взлом системы продажи электронных билетов TicketMaster UK в Великобритании, в результате чего были похищены персональные данные пользователей: имена, адреса, номера телефонов, платежные реквизиты и данные учетных записей.
После взлома системы 23 июня злоумышленники получали персональные данные всех клиентов, осуществляющих заказ билетов в Великобритании. Впрочем, по результатам углубленного исследования выяснилось, что были взломаны также сервисы в США, Ирландии, Новой Зеландии и Турции.
Как выяснилось чуть позже, взлом стал частью очень большой кампании, направленной на более чем 800 сайтов электронной торговли.
Причем хорошо защищенные системы крупных компаний (на западе эти системы защищают лучше, чем у нас, так как есть шанс получить судебный иск на несколько миллионов долларов, у нас – только небольшой штраф) хакеры взламывали через взлом вторичных подрядчиков, осуществляющих для них поставку ПО или услуг, и после этого постепенно шли по цепочке, пока не добирались до систем обработки персональных данных, и взламывали их уже изнутри.
Впрочем, и тут налицо экономический аспект: высокие требования к информационной безопасности сильно удорожают продукты и услуги, поэтому многие сервисы выводят на внешних подрядчиков, у которых они дешевле, но и ситуация с защитой хуже.
Немного о последствиях
Итак, чем нам грозят такие утечки? Во-первых, платежная информация, если она полная и включает платежные данные, позволяет совершать покупки за чужой счет, либо выводить деньги напрямую. Это прямой финансовый ущерб, и чаще всего вам еще придется доказывать, что это не вы виноваты, «передав свои данные третьим лицам».
Во-вторых, уже известен случай, когда мошенники использовали добытые персональные данные для получения займов в микрофинансовых организациях через интернет. Скорее всего, в дальнейшем это направление будет расти вместе с долей «онлайн-займов».
В-третьих, наличие персональных данных помогает, например, осуществлять фишинг.
Вам будут звонить от имени банка или страховой, называть все нужные данные и предлагать какое-нибудь «спецпредложение», а дальше – дело техники.
Кстати, и от вашего лица могут позвонить в банк, а запрос секретного кода можно и обойти, например, предложив предоставить вместо этого данные паспорта. И так далее.
Впрочем, это наверняка не исчерпывающий список, и злоумышленники будут постоянно искать новые способы использовать украденные личные данные, чтобы любым образом заполучить ваши деньги, либо деньги от вашего лица.
Что же с этим делать
К сожалению, полностью уберечься от утечек ваших персональных данных не удастся, даже если у вас вообще нет электронных устройств. Например, при подаче документов в школы или детсады вы подписываете специальное разрешение, где «разрешаете обработку» своих данных, причем «с участием информационных партнеров за рубежом РФ». Без такого согласия данные у вас никто не примет.
То есть все ваши данные уже есть у госорганов, банков и, зачастую, частных компаний. И единственный шанс обеспечить надежную защиту – это добиться надежности хранения и обработки этих данных на всех этапах. В принципе, закон этого требует, но…
По данным Центробанка (а ЦБ действительно очень сильно озабочен вопросами информационной безопасности, в его составе создана специальная структура, где работают сильные эксперты), подавляющее большинство банков реализуют лишь минимальный стандарт требований и не хотят вводить любые дополнительные средства защиты – дорого.
Глобально средств борьбы с таким наплевательством может быть два: либо жесткая позиция государства, которое будет формировать стандарты защиты персональных данных и наказывать за их несоблюдение, либо возможность очень больших исков от физических и юридических лиц, которые сделают наплевательское отношение к хранению вверенных персональных данных дорогим удовольствием.
Пока у нас нет одного из этих компонентов (а лучше обоих), рассчитывать на безопасность не стоит.
Мы просим подписаться на небольшой, но регулярный платеж в пользу нашего сайта. Милосердие.ru работает благодаря добровольным пожертвованиям наших читателей. На командировки, съемки, зарплаты редакторов, журналистов и техническую поддержку сайта нужны средства.
