Привет, Хабр!
Меня зовут Александр Гончаров, я старший специалист по анализу защищенности. В Innostage занимаюсь проведением тестирований на проникновение. Я расскажу вам, как минимизировать (или попытаться) ущерб от утечки данных при взломе сервиса компании, которым вы пользуетесь.
Сейчас многие сервисы требуют от нас предоставления различной информации. Это может быть чем-то простым, таким как ФИО или номер телефона, или же чем-то конфиденциальным, например, номером банковской карты или паролем. Когда мы предоставляем эту информацию сайтам, мы полагаемся, что они сохранят ее конфиденциальность и безопасность от других.
В современную эпоху данные являются важнейшим активом, и их защита становится все более важной задачей не только для организаций, но и для частных лиц. Однако эти данные часто подвергаются риску намеренной или непреднамеренной утечки.
Утечки стали нормой для обычного человека, и при виде утечки очередного сервиса мы лишь тяжело вздыхаем, понимая, что наши персональные данные, вероятнее всего, утекли.
Последний год показал, что организация без утечек - редкость. Текли компании из всех отраслей - от сервисов доставок и СМИ до банков и социальных сетей.
Утечка данных может произойти различными способами. Мы не будем вдаваться в причины, а будем лишь разбираться с последствиями. Последствия могут быть серьезными, начиная от кражи личных данных и заканчивая финансовыми потерями или ущербом для репутации. Поэтому обычным пользователям важно понимать риски, связанные с утечкой данных, и принимать соответствующие меры для защиты своей личной информации.
Немножко статистики
Согласно отчёту Group IB за 2022 год злоумышленники выложили более 1,4 млрд строк из утекших баз российских компаний. Касперский же оценивает количество строк в 2,2 млрд. В 2023 эта тенденция не прекратится, а только будет набирать обороты. За 1 квартал 2023 объем утечек вырос в 2,5 раза по сравнению с аналогичным периодом прошлого года.
Лишь треть компаний подтверждает и публично комментирует факт утечки данных. Из-за этого пользователь, не особо знакомый с последними новостями, может и не подозревать, что его данные оказались под угрозой.
Что вам будет от утечки ПД?
Надоело получать мошеннические телефонные звонки или смски? Утечки часто являются источником для создания баз данных обзвонов, из которых можно делать выборки по возрасту, местоположению, полу и другим параметрам.
Не стоит забывать об угрозе фишинговых писем. При использовании контекста скомпрометированной базы данных фишинговые письма могут стать еще более опасными. Чем больше информации у злоумышленника о человеке, тем большее доверие он может вызвать. Конечно, 98% всех фишинговых писем ваш почтовый ящик отправит во вкладку “Спам”, но не стоит забывать о пользователях, которые указывают свою рабочую почту на различных не “корпоративных” ресурсах. Это позволит злоумышленникам расширить поверхность атаки и подойти более качественно к составлению таргетированного письма, т.к. утечки часто содержат личную информацию.
Хоть в 2023 году большинство сервисов используют 2FA, проверку геолокации и другие способы для идентификации, однако до сих пор существуют сервисы, которые используют пару логин/пароль без дальнейшей идентификации. Также существуют сервисы, которые до сих пор используют устаревшие методы хеширования для своих паролей (Привет *Страховая компания*!), спасибо хоть за соль!
Защита паролей
Именно здесь на помощь приходят такие онлайн-сервисы, как HaveIBeenPwned, которые позволяют пользователям проверить, мог ли их аккаунт быть скомпрометирован или вовлечен в какие-либо утечки данных. Процесс использования HaveIBeenPwned очень прост: пользователь вводит свой адрес электронной почты или имя пользователя, а затем сервис проверяет, были ли они замечены в каких-либо утечках. Если аккаунт найден в базе данных, сервис сообщит пользователю о найденных инцидентах и рекомендует сменить пароль и принять смягчающие меры. Список сервисов для проверки почты/пароля.
Если вы не доверяете “западным” сервисам и не хотите отправлять им свои данные, то существует аналог от компании Kaspersky, который не только позволит вам проверить ваш пароль на наличие в базах данных утечек, но еще и проверит его стойкость к взлому.
Что делать после утечки данных?
Сначала нужно определиться с тем, какая информация хранилась в этом сервисе, от этого и будут зависеть меры, которые необходимо принять. Конечно, нужно понимать и держать в голове, что есть данные, которые мы просто не можем изменить.
Логин/Пароль
Если утек сервис, которые хранит только логин/пароль - необходимо сменить пароль на этом аккаунте и везде, где был указан этот пароль.
Паспортные данные
На данный момент утечка персональных данных не является основанием для смены паспорта.
Банковские данные
Недавняя утечка *Бонусная программа банка* напомнила, что могут утекать и банковские данные, даже если они были защищены. Однако получение clear text номеров всех карт — это лишь вопрос времени. Некоторые хакерские группировки заявили, что уже смогли полностью восстановить все номера карт. Поэтому рекомендую перестраховаться и перевыпустить вашу банковскую карту.
Зачем перевыпускать карту?
Вспоминаем абзац про мошенников и “Службу безопасности <вашего банка>”. Абсолютно все мы, в связи с занятостью или усталостью, можем стать жертвой злоумышленников (и даже автор этой статьи). Благо перевыпуск карты сейчас занимает от 1 до 3 дней, до 10 дней в удаленных регионах.
IP адрес
Если вы обладатель статического IP адреса, то очередная утечка сервиса может значительно подпортить вашу жизнь и помочь в вашей идентификации. Часто сервисы хранят не только персональные данные, но и технические данные (IP адреса, User-Agent и т.п.), которые тоже могут утечь.
Рекомендации
Любой пользователь, который выкладывает о себе информацию, должен понимать лишь то, что эта информация может и будет использована против него.
А теперь конкретные рекомендации:
Не указывать вашу рабочую почту на внешних не корпоративных ресурсах.
Не следует указывать рабочую почту при регистрации на внешних ресурсах без веской на то необходимости. Регистрируясь с рабочей почтой, вы подвергаете не только себя опасности, но ещё и вашего работодателя. Для злоумышленника это большое количество возможностей, которыми он непременно воспользуется. Как человек, который занимается OSINT могу сказать, что утечки являются одним из основных источников при сборе всех почт компании.
Включить двухфакторную аутентификацию.
Заезженная тема, но не упомянуть её было нельзя. Важно иметь включенную 2FA на всех ваших сервисах. Используя 2FA, вы значительно снижаете риск несанкционированного доступа к своим учетным записям, поскольку для этого требуется что-то, что вы знаете (пароль) и что-то, что у вас есть (ваш смартфон или другое устройство). И при компрометации вашего аккаунта злоумышленник не сможет получить доступ к вашему приложению. И особо рекомендую подключать 2FA именно на телефон, а не на почту.
Пересмотрите свою систему формирования никнейма.
Использовать Имя/Фамилию в своем никнейме является плохой практикой. Это позволяет злоумышленнику быстрее идентифицировать вас. Хорошим решением будет использовать разные никнеймы/псевдонимы для разных социальных сетей.
Не используйте один никнейм в нескольких социальных сетях.
Заведите одну/несколько почт для регистрации на различных некритичных ресурсах.
Всё просто: в почте для спама — только спам, в корпоративной почте — только корпоративная почта, в личной почте - только личное.
По возможности пользуйтесь доставкой до пунктов выдачи, а не до адреса проживания.
Анализируйте (или хотя бы пытайтесь) последние утечки информации.
Существует много различных новостных ресурсов, которые специализируются на освещение фактов взлома и утечек компании, анализ позволит вам иметь актуальную информацию и при очередном взломе своевременно принять смягчающие меры. Канал 1, Канал 2.
Не используйте одинаковый пароль в нескольких сервисах.
Начните пользоваться менеджером паролей. Выберите тот, который подходит вам больше всего. На рынке большой выбор парольных менеджеров, бесплатных/платных, облачных/локальных на любой вкус и цвет.
Я бы рекомендовал локальные парольные менеджеры. Также оставлю тут ссылку на памятку Касперского о том, как правильно составлять пароль.
Заведите второй или виртуальный номер телефона для регистрации на различных ресурсах.
Используйте виртуальные карты.
Ряд крупных банков предоставляют возможность выпускать виртуальные карты, которые не привязаны к имени и фамилии, и позволяют оплачивать часть электронных покупок, сохраняя конфиденциальность. В таком случае при утечке сервиса, который хранил банковскую информацию, утекут только виртуальные карт.
А если вы вдруг передумали использовать какой-либо сервис или получать услугу, вы можете отказаться от обработки и хранения вашей персональной информации. Это сделать не просто, но если заморочиться, то можно. Подробнее об этом недавно рассказала моя коллега Таня Никонорова.