Немного о “слитых базах данных”

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: и

На данный пост меня вдохновили новости, которые обсуждают последние несколько дней.

Первая из них — это утечка данных о 60 млн. клиентов Сбербанка. Это, пожалуй, самая большая утечка персональных данных в банковском секторе в России на сегодняшний день.

“Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.”
Источник:

PS: оговорюсь, что все не так уж и страшно, так как в слитой базе нет номеров телефонов и CV, но факт утечки — это всегда плохо при любых раскладах.

Вторая новость, которая стала обсуждаться пару дней назад, это утечка данных о почти 9 млн пользователей Билайн.

«В открытый доступ попала база данных клиентов оператора связи «Билайн», сообщает «Коммерсант». Ссылкой на базу с изданием поделились источники в банковских службах информационной безопасности. База содержит 8,7 миллиона записей с информацией о клиентах, подключивших домашний интернет через «Билайн» по всей России. В ней есть имена и фамилии клиентов, их мобильные и домашние телефоны.»
Источник:

По началу в Билайн отрицали утечку, но на сегодняшний день они официально подтвердили “слив” и основная отговорка в том, что база “протухшая”. Дело в том, что в 2016 году в Билайн уже была подобная утечка и база гуляла по разным теневым форумам, где ее можно было свободно скачать. Вопрос только в том, что по некоторым данным, новая утечка более обширная, но точно сказать сложно.

Как бы там ни было, говорить мы будем сегодня не о конкретных утечках, а о их значении и последствиях. Давайте тезисно:

  1. Практически ежедневно (!!!) происходят крупные утечки с данными разной важности. О большей части из них мы просто НИЧЕГО не знаем, если только специально не занимаемся отслеживанием подобного рода инцидентов. У всех на слуху только крупные, по типу случаев с Facebook.
  2. Второе вытекает из первого: в среднем 7–8 компаний из 10 НЕ сообщают о своих утечках и статистика от этого факта кажется не такой уж и страшной. На самом деле все несколько хуже. Утечки данных происходят очень часто и почти у всех. Причин тому много, но как показывает мой опыт, самая частая из них — это человеческий фактор и мышление в духе “а, и так сойдет!” Особенно, это касается системных администраторов и служб безопасности.
  3. Ну и последний тезис — это странная защитная реакция компаний на утечку.

С первым и последним все более- менее ясно. Чтобы проверить реальное количество слитых баз, достаточно просто зайти на разные специализированные форумы, где под такое создаются отдельные ветки. Естественно, ссылки оставлять я не буду.

Теперь о компаниях. Почему же большинство случаев нам не известно? Самая очевидная причина: ни кто не хочет выносить сор из избы и терять репутацию. Но, на самом деле, не говоря публично об утечках, они делают этим себе только хуже. Во-первых, все равно через какое-то время информация просочится и о сливе узнают все. Во-вторых, клиенты компании, которые попали в слитую базу, находятся под угрозой. Предупредить их об этом, как вы понимаете, ни кто не может, потому что утечка находится в строжайшем секрете. В общем репутация для большинства компаний дороже, чем безопасность их клиентов. С одной стороны это можно понять, но по правильному – такого быть не должно. Клиенты от таких компаний со временем просто отвернутся.

Ну и последнее – странная защитная реакция компаний на утечку. Самые типовые сценарии – это отрицание утечки (что, как я уже говорил выше, очень глупо); скидывание ее на какого-нибудь сотрудника или контр-агента и, самое глупое, обесценивание утечки.

Обратите внимание, что риторика официальных представителей компаний часто сводится к тому, что утёкшие базы данных являются старыми и данные в них не несут угроз. И то, к такому приему прибегают только в том случае, если «замять» утечку уже не получилось. Такое обесценивание сливов баз данных можно встретить повсеместно, и, конечно, верить в это не стоит, за исключением некоторых случаев. Бывает так, что компания может реально подтвердить, что в базе не было важных данных. Все остальное – это просто детская манипуляция и перевод внимания.

Как же обстоят дела в реальности?

Любые персональные данные, которые оказываются в публичном доступе, несут угрозу, потому что могут быть использованы для реализации мошеннических схем.

Даже базы данных МВД за 2010 год, которые свободно лежат на торрентах, несут угрозу. Да, там скорее всего не будет информации на более молодых людей, но, зато будет на других. Чем больше данных скачает злоумышленник, тем хуже, потому что все такие базы единовременно могут подгружаться в специальный софт и качество обработки информации возрастает многократно. Любые данные о человеке или компании могут дать некое представление по разным вопросам, даже если данным не один год. При атаках с использованием социальной инженерии (), даже базовый набор данных может быть использован злоумышленниками крайне виртуозно для создания эффекта доверия. Поэтому в нормальном корпоративном мире, когда компания не закрывает свои «дыры в безопасности», на ней будет некое клеймо неблагонадежности.

Отдельного разговора заслуживают действия службы безопасности компании в такой момент. Есть две модели поведения.

Первая – это когда СБ понимает, что это косяк и пытаются решить инцидент максимально быстро, а так же попутно закрывает брешь и делает выводы на будущее. Это в идеальном мире и таких правильных людей точно меньше половины. В реальности же, больше половины подразделений СБ начинает скидывать с себя ответственность и обесценивать утечку. Как следствие, брешь не будет закрыта и клиенты пострадают. Зато, в их понимании, лицо они сохранили. Звучит ужасно, но так делают многие компании.

Давайте подытожим.

Сегодня почти ежедневно происходят утечки персональных данных. То, что мы видим в новостях – это лишь вершина айсберга, так как большинство компаний стараются не говорить о том, что у них «увели» данные клиентов. Если же скрыть это не получается, то многие переходят к стратегии обесценивания данных, например, под предлогом, что информация устарела и не несёт ценности.

Мой основной посыл заключается в том, что, на самом деле, любые данные несут ценность, даже если они не новые. Обесценивать такие утечки не самая лучшая идея, потому что мы живем в то время, когда скрыть какую-либо информацию достаточно проблематично и дорого. Отсюда вытекает логичное умозаключение: проще честно признаться и сделать работу над ошибками. Как говорят сегодня, от этого все будут в ситуации “win-win”.

PS: советую всем почитать мою статью про то, почему любые данные несут большую ценность вне зависимости от вашего статуса. .

PSS: данная статья является всего лишь моим мнением и не призывает не к каким действиям.

Всем мира.

Также читайте меня тут: и

Written by

Investigations, OSINT, cybersecurity, profiling, self defense.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store