The Bell объясняет

Облачная халатность: как появляются утечки без вмешательства хакеров

5 октября 2019

Главные новости этой недели — массовые утечки персональных данных: до 60 млн клиентов Сбербанка (сам банк пока признает только 200) и 20 млн российских налогоплательщиков. И если в случае со Сбербанком пока много неясного, то данные о налоговых платежах россиян пролежали в облаке минимум в течение года из-за халатности владельца базы. И это далеко не единичный случай.

The Bell рассказывает об утечках, причиной которых становится не злой умысел хакеров, а беспечность владельцев массивов данных, хранящихся в облаках.

Эта статья изначально была написана для еженедельной технологической email-рассылки The Bell. Подписаться на нее можно здесь.

Что хранилось в обнаруженной базе данных?

Краткий ответ: 20 млн налоговых записей с номерами паспортов, ИНН, информацией о работодателях и суммах уплаченных налогов.

Базы, об источнике которых известно лишь то, что их хозяин проживает на Украине, содержали свыше 20 млн налоговых записей (14 млн в одной базе, 6 млн в другой).

Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. Владелец не ответил на письма, отправленные 17 сентября 2019 года, но через три дня закрыл доступ.

В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками. Кроме того, структура данных отличается от принятой в налоговой службе.

Собранные данные могут быть компиляцией из украденных баз госорганов.

Кто и как обнаружил утечку?

Краткий ответ: независимый исследователь киберугроз Боб Дьяченко, специализирующийся на облачных утечках, совместно с британской компанией Comparitech.

Если кому-то нужно выложить в интернете большую базу данных, для этого обычно разворачивается поисковый кластер в популярном облачном сервисе — например, Amazon.

Владельцы баз данных часто не считают, что их база данных кому-то нужна, и не думают, что хранимые там пользовательские данные имеют какую-то ценность.

Метод Дьяченко заключается в сканировании облака Amazon и других сервисов и поиске баз данных. Он обнаруживает базы, которые забыли, не подумали или даже не сумели защитить паролем.

Как часто встречаются утечки по халатности?

Краткий ответ: очень часто.

В блоге Дьяченко сообщения об обнаруженных утечках появляются 1–2 раза в неделю. В целом обнаруженные базы данных можно разделить на следующие виды:

принадлежащие госорганам;
информация о клиентах компаний;
компиляции из неизвестных источников (например, результаты конкурентной разведки или скупки персональных данных для маркетинговых целей);
базы, используемые троянами и мошенниками для автоматического хранения украденной информации.

Что хуже всего, далеко не со всеми владельцами баз данных удается связаться. А иногда они не понимают проблемы, возникающие из-за доступности информации.

Например, базы часто становятся добычей кибервымогателей. Те стирают данные и требуют выкуп за резервную копию. Одну такую уже взломанную базу обнаружил Дьяченко. Но беспечность владельцев дошла до того, что даже после двух месяцев предупреждений хозяева не закрыли доступ на запись и продолжают собирать в уже взломанную базу важную информацию.

https://twitter.com/MayhemDayOne/status/1179837283102593026

Какие еще бывают утечки по халатности?

Среди множества недавних случаев выделяются два.

Утечка СОРМ, Россия. В сентябре компания UpGuard обнаружила общедоступный сервер с 1,7 терабайта данных об устройстве телекоммуникаций МТС и установке СОРМ — системы досмотра трафика и сбора информации российскими спецслужбами.

Причиной оказался сотрудник Nokia, грубо нарушивший протокол безопасности и работавший с секретными данными со своего домашнего компьютера.