😬 Витік даних

Витік даних – дуже серйозно здатен вплинути на життя її жертви. Що таке витік? Розгляньмо витік даних на прикладі історії простого користувача Олександра.

Олександр користувався сайтом для знайомств, викладав там фотографії, вів душевні листування з цікавими людьми, повідомляв інтимні деталі, і водночас був одружений. Минув час, роки взяли своє, Олександр став розсудливим, видалив сторінку на сайті знайомств і зажив спокійним сімейним життям.

Але Олександр не врахував, що видалення сторінки не більше ніж візуальна фікція, і всі його викладені фотографії, дані, листування, як і раніше, зберігаються в базі даних сайту. І ось одного дня хакери зламують сайт знайомств, викрадають базу даних і викладають її на продаж у даркнеті.

Хто винен?

Системний адміністратор сайту знайомств і його керівництво вживало всіх належних заходів: регулярний незалежний аудит, своєчасне оновлення всіх компонентів, висококласні фахівці, сувора політика безпеки для всіх співробітників. Але це не допомогло, як не допомагало в багатьох інших історіях.

Тут доречно згадати один вислів. Якось ірландські бойовики після невдалого замаху на колишнього прем’єр-міністра Великої Британії, Маргарет Тетчер, цинічно заявили:

Сьогодні нас спіткала невдача, але пам’ятайте, нам достатньо лише одного разу зловити удачу. Вам же необхідно ловити удачу завжди.

Аналогічний принцип діє і в разі злому сайтів. Згідно з поширеною статистикою, щодня кожен сайт зазнає тисяч різноманітних атак, більшість з яких здійснюють скріпт-кідді в пошуках популярних вразливостей або ненадійного пароля для SSH – добре захищеному сайту вони не є небезпечними.

Але бувають адресні атаки з використанням вразливостей нульового дня, проти яких ще не існує захисту. Хоча якщо бути зовсім чесним, набагато частіше до зломів сайтів призводить людський фактор і досить дитячі помилки, принаймні такі, яких можна було б уникнути.

Наслідки витоку даних

Повернемося до Олександра. І ось сайт знайомств було зламано, які наслідки можуть очікувати на Олександра? Візьмемо для прикладу реальний випадок – сайт знайомств Ashley Madison. Це не просто сайт знайомств, де самотні люди можуть знайти своє кохання, і навіть не такий, де панянки можуть продати своє кохання за гроші, це сайт для подружніх зрад.

Девіз сайту “Життя коротке. Заведи інтрижку”, який, щоправда, внаслідок злому було змінено, чудово символізував усю філософію проекту.

Тому багато хто справедливо не відчував співчуття до жертв, ще менше співчуття було до власників сайту, яких було викрито у створенні сторінок жінок-ботів для залучення чоловіків. Одразу як база Ashley Madison опинилася в публічному доступі, безліч здирників і шантажистів почали вивчати адресатів, шукати їхні профілі в соціальних мережах, пробивати інформацію про сімейний стан. Якщо жертва виявлялася “зразковим сім’янином”, з нею зв’язувалися і погрожували в разі відмови виплатити викуп сповістити членів його сім’ї про зради.

Особливий інтерес представляли геї, які приховують свою орієнтацію скрізь, крім сайту знайомств. Багато з них погоджувалися без будь-яких гарантій заплатити здирникам за збереження в таємниці їхніх сексуальних вподобань, особливо якщо вони проживали в мусульманських країнах, де закони шаріату розглядають гомосексуальні зв’язки як злочин, що заслуговує на смертну кару.

Не обійшлося і без суїцидів. Техаський поліцейський наклав на себе руки, коли його особистий email виявився в базі даних сайту знайомств Ashley Madison, що витекла. Капітан поліції, який 25 років служив у поліції Сан-Антоніо, не зміг пережити удару по репутації і громадського осуду. Відомо, що це не єдиний випадок самогубства внаслідок публікації даних.

ЗМІ підхопили естафету цькування і почали робити добірки зразкових сім’янинів, викритих під час витоку бази даних сайту Ashley Madison. Наприклад, у ЗМІ ви можете знайти історію Джоша Даггара, сім’янина, який багато років був одруженим, і, судячи із соціальних мереж, він, дружина і четверо дітей були щасливі. У профілі на сайті Ashley Madison Джош шукав подругу для сексу з іграшками, орального сексу і непристойних розмов. Коли його історія стала загальновідомою, він опублікував заяву, в якій розкаявся в події.

Сайти знайомств не єдиний випадок, коли загальнодоступними можуть стати подробиці інтимного життя. Іноді зламують бази даних приватних клінік, і загальнодоступними виявляються історії хвороб клієнтів медичного закладу. Навряд чи хтось хоче, щоб знайомі, колеги або навіть друга половинка дізналися про ваш геморой, безпліддя, імпотенцію або інші недуги, що випали. Ці дані також можуть послужити матеріалом для шантажистів.

Наприклад, не так давно в мережі було викладено понад 25 тисяч фотографій пацієнтів, які зробили пластичні операції. Фотографії виклали хакери, які називають себе Tsar Team, а здобули вони їх, зламавши базу даних однієї з литовських клінік пластичної хірургії. Найнеприємніше для пацієнтів (головним чином, пацієнток) – деякі з них були в оголеному вигляді, деякі фотографії містили статеві органи крупним планом. Згадайте цю історію, якщо вам доведеться сфотографуватися без одягу в клініці.

Як відбуваються витоки

Є два основні шляхи. Перший – злом, описаний раніше. Зламати можуть базу даних сайту, а можуть, проникнувши в корпоративну інфраструктуру компанії, отримати доступ до даних внутрішнього користування.

Наприклад, хакери отримують доступ до корпоративної мережі госпіталю і крадуть інформацію про його пацієнтів, включно з їхніми історіями хвороб. Другий поширений шлях витоку – так званий “злив”, коли дані витікають через людей, які мають до них санкціонований доступ.

Один із найгучніших подібних прикладів – витік бази даних ФСКН Росії (Федеральної служби з контролю за обігом наркотиків). У 2015 році в “Новій газеті” з’явилася стаття про продаж бази даних ФСКН, яка містила відомості про наркоманів, наркопритони, інформаторів, громадян, які телефонували на гарячу лінію. У базі були фотографії, адреси, оперативна інформація, контактні дані. Усе це вільно можна було придбати в нелегальних торговців базами даних у Москві, а потім і в даркнеті. Найгірше довелося інформаторам, чиї імена опинилися в базі даних і кому “вдячні” наркоторговці цілком могли завдати травм і навіть убити.

Додати коментар