Прогнозируют, что в 2024 году кибербезопасность обойдется миру в 9,5 трлн долларов. Еще в 2004 году эта сфера стоила 3,5 млрд долларов, а теперь обгоняет по общей капитализации бюджеты целых стран. Затраты на кибербезопасность будут только расти — крупнейшие корпорации сталкиваются со взломами и много из-за этого теряют, а потому хотят защитить себя.
Число утечек значительно выросло в 2020 году, когда сотрудники стали работать удаленно, а в экономике начались проблемы с рабочими местами и их оплатой. Но серьезные инциденты с утечкой служебной информации были и раньше. Вспоминаем, как это происходило.
Потери программного кода
Чаще всего мы слышим об утечке данных пользователей, но и раскрытие программного кода компаний — не редкость. Привести это может не только к воровству программ, но и к обнаружению в них уязвимостей для дальнейшего взлома. Вот лишь некоторые примеры масштабных потерь программного кода.
В июне 2024 года The New York Times столкнулись с тем, что 270 Гбайт их исходного кода попали в открытый доступ. Данные хранились на репозитории GitHub. Украденная информация содержит IT-документацию, инфраструктурные инструменты и исходный код, в том числе для популярной игры Wordle.
В марте 2023 года в открытый доступ попало 12 Гбайт корпоративных IT-данных Acronis, включая исходный код. В том же месяце 160 Гбайт секретных данных Acer оказались выложены в открытый доступ
В октябре 2022 года Intel допустили утечку архива с исходным кодом на примерно 6 Гбайт файлов и инструментов, необходимых для аппаратной платформы Intel Alder Lake-S. Производитель чипов сообщил, что важной для безопасности информации в архивах не было, но предупредили пользователей и призвали всех экспертов попробовать обнаружить уязвимости. Ранее в 2020 году хакер украл у них 20 Гб секретных данных о разработке чипов.
Летом 2020 года был украден исходный код электроники LG, который в том числе можно использовать для создания вредоносных программ. Похищено более 40 Гбайт. Хакеры требовали выкуп, но сумма не раскрыта.
В 2020 году было украдено программное обеспечение от компании CMA. Этим ПО пользовались Центральные банки, репозитории, фондовые биржи различных стран — России, Марокко, Сербии, Камбоджи и других. Через это ПО каждый день проводились транзакции на 100 млрд долларов. Считается, что за эту утечку ответственны те же люди, что и за утечку ПО Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mediatek, GE Appliances, Nintendo, Roblox, Disney и т. д.
В конце лета 2022 года менеджер паролей с аудиторией в 33 млн человек LastPass сообщил о хакерских атаках. Был украден в том числе исходный код программного обеспечения и конфиденциальной технической информации. В сеть также утекла база данных пользователей, но, по заявлениям компании, пароли не пострадали.
В 2022 году под атаку попала Coca-Cola, были украдены данные на 161 Гбайт. Эти данные продавали примерно за 63 тысячи долларов.
В марте 2022 года у Samsung украли исходный код на 190 Гбайт. Личную информацию пользователей это не затронуло, но вот исходные коды были весьма разнообразны и включали в том числе программы шифрования.
Оценить ущерб от таких утечек крайне трудно. В отличие от утечек данных пользователей, против компании в результате редко подают коллективные иски или назначают штрафы. Иногда это вызывает колебание котировок их акций на 1-2%, но не более.
Однако иногда потери бывают весьма и весьма существенные — часто компаниям приходится заменить все оборудование или столкнуться с падением продаж. Вот лишь некоторая статистика:
13% предприятий с более чем 10 тысячами сотрудников заявили, что перебои в работе из-за утечки обошлись им больше, чем в миллион долларов;
60% небольших компаний перестают существовать в течение полугода после утечки данных;
93% компаний, которые потеряли свой Data-центр на 10 дней и более, обанкротились.
По-другому дела обстоят с утечкой данных пользователей.
Google и раскрытие обмана
В мае 2024 года стало известно, что в сеть утекла информация о работе поисковика Google. Это была лишь часть данных из утекших 2500 внутренних документов техногиганта. Вскрылось, что многие сотрудники компании не были честны, когда раскрывали основные правила работы поисковика. Основное значение оказало раскрытие принципов, по которым Google ранжирует сайты в поисковой выдаче. Факты, исходящие из раскрытых документов, противоречат публичным заявлениям корпорации. Например:
при ранжировании используются данные Chrome;
есть индикаторы авторитета домена;
новые сайты не будут отражаться продолжительное время;
клики влияют на выдачу сайтов.
Ранее представители Google заявляли, что это не так. Также оказалось, что существует около 14 тысяч факторов ранжирования сайтов. Все это не только раскрывает внутреннюю работу компании, но и приводит к большому удару по ее репутации.
Масштабные утечки данных пользователей
Новости о краже данных пользователей встречаются чаще других киберпреступлений. Обычно это касается крупных корпораций с большими базами данных. Например, утечки затронули почти всех крупных автопроизводителей — Toyota, Ferrari, Volkswagen, Honda Lexus, Ford, Tesla и других. Средняя стоимость утечки данных в 2023 году составила 4,45 млн долларов США. Но далеко не всегда компании решают раскрыть информацию об утечке — и тогда дела у них идут совсем плохо.
Yahoo и Uber: сокрытие информации и уход от ответственности
В 2014 году на Yahoo произошла атака, которая затронула 500 млн пользователей, и которую считали крупнейшей в свое время. Однако после того, как Verizon Communications купил Yahoo, выяснилось, что еще в 2013 году была другая утечка — украли данные 3 млрд пользователей. Yahoo до этого раскрывала факт утечки, но говорила лишь про миллиард пользователей.
Оказалось, что систему безопасности было легко взломать. Хакеры похитили данные и пароли пользователей, а также контрольные вопросы и другую информацию для взлома учетных записей.
Сделка по покупке Yahoo обошлась в 4,48 млрд долларов, из-за раскрытия утечек было заплачено на 350 млн долларов меньше, но весь масштаб потерь раскрылся уже только после сделки. Конечно, против компании были поданы судебные иски, но, учитывая масштаб утечки, специалисты по кибербезопасности все равно посчитали, что Yahoo все «сошло с рук».
Коллективный иск к Yahoo был на 50 млн долларов. А в 2018 году SEC (Комиссия по ценным бумагам и биржам США) назначила компании дополнительный штраф в 35 млн долларов.
Uber тоже не сразу раскрыл информацию, и столкнулся со штрафом в 148 млн долларов. В 2016 году хакеры взломали учетные записи 600 тысяч водителей и 57 млн клиентов. Компания не сообщила об инциденте, а заплатила хакерам 100 тысяч долларов за молчание. Об утечке стало известно в 2018 году и только за нарушение законов в области уведомления об утечках компания получила огромный штраф.
First American Financial Corporation: открытый доступ к данным
Часто атаки совершают и на финансовые организации. Во время утечки данных у First American Financial Corporation третьи лица получили доступ к номерам банковских счетов, финансовых записям, квитанциям, операциям с долговыми бумагами. Всего было утеряно около миллиарда записей.
Причиной стала не намеренная атака и взлом, а то, что компания не внедрила безопасный протокол аутентификации. То есть просмотр документов был доступен и без подтверждения личности. В итоге хакерам осталось лишь использовать ботов для сбора информации.
WhatsApp, Twitter и систематические нарушения
В 2018 году выяснилось, что пароли около 330 млн пользователей Twitter хранились внутри системы в текстовом формате, о чем компания рассказала этим пользователям в электронных письмах, призвав сменить пароли. Также компания заявила, что утечка не успела произойти, но Федеральная торговая комиссия США обнаружила как минимум две.
В 2022 году у WhatsApp было украдено около полумиллиарда записей о телефонных номерах пользователей. Набор данных пользователей США хакеры продавали за 7000 долларов, Великобритании — за 2500 долларов, а Германии — за 2000 долларов.
Это не первый связанный с мессенджером скандал вокруг личных данных пользователей. За нарушения безопасности в этой части в 2021 году Комиссия Ирландии по защите персональных данных наложила на WhatsApp штраф на 225 миллионов евро.
За похожие нарушения штрафовали и других цифровых гигантов. Например, Amazon столкнулся со штрафом в 888 млн долларов. Twitter оштрафовали на 533 миллиона долларов за непредоставление отчета с объяснениями по поводу утечки информации в течение семидесяти двух часов.
Marriott Hotels и невыгодная покупка
Сбой у сети отелей Marriott привел к утечке данных примерно 500 млн пользователей. Утекла контактная информация, паспортные данные, записи о посещениях, данные кредитных карт, данные о страховании. Было подано множество коллективных исков, компании пришлось заплатить штраф почти в 25 млн долларов.
Утечка произошла из-за того, что одно из дочерних предприятий использовало устаревшие протоколы шифрования. Причем предполагают, что злоумышленники находились в системе этой дочерней компании еще за 3-4 года до того, как Marriott их купили. Если изначально фирма должна была заплатить 99 млн фунтов стерлингов, то в итоге штраф был снижен до 18,4 млн фунтов стерлингов.
Equifax, Home Depot и Capital One: миллионные штрафы
В 2017 году в кредитном агентстве Equifax произошла утечка данных 150 млн пользователей. В одной из баз данных была устаревшая инфраструктура. После обнаружения уязвимости компания несколько недель не раскрывала информацию.
Уже в 2019 году она согласилась выплатить более 550 млн долларов. 300 млн долларов было направлено в фонд, предоставляющий пострадавшим потребителям услуги кредитного мониторинга, 175 млн долларов распределили на пострадавших в штатах США, а еще остаток — в Бюро финансовой защиты прав потребителей.
Компании Capital One в 2021 году пришлось выплатить почти 200 млн долларов за то, что в 2019 году произошла утечка данных около 100 млн человек. Инцидент коснулся номеров банковских счетов и персональных данных.
В 2014 году злоумышленники смогли попасть в систему Home Depot. Они находились в ней пять месяцев и украли около 50 млн номеров кредитных карт и 53 млн адресов электронной почты. Банкам и компаниям-эмитентам кредитных карт было выплачено почти 135 млн долларов. Позже еще почти 2 млн долларов было выплачено гражданам, пострадавшим от взлома, а еще позже — 25 млн долларов пострадавшим от взлома компаниям.
Потеря данных о разработках и продуктах компании
Часто при атаках в открытый доступ попадают коммерческие тайны компаний и техническая информация. В 2020 году оказалось, что около 157 Гбайт данных таких крупных фирм, как General Motors, Fiat Chrysler, Ford, Tesla, Toyota, ThyssenKrupp и Volkswagen были в открытом доступе. Они хранились на сервере Level One Robotics, у которого не был установлен доступ только по IP-адресам для отдельных пользователей. Посмотреть данные могли все. Информация содержалась самая разная — от конфиденциальных данных сотрудников до схем сборочных линий и планов заводских этажей.
Утечки данных могут влиять на корпорации месяцами и годами, в том числе после обнаружения. Источник: https://www.upguard.com/
В октябре 2022 года хакеры украли терабайт внутренних файлов производителя карт памяти и других смежных технологий Adata. В самой компании заявили, что это те же файлы, что были украдены в 2021 году — тогда хакеры заполучили 1,5 Тбайта внутренних файлов, включая соглашения о неразглашении и финансовые документы. После той атаки фирма существенно усилила свой отдел кибербезопасности. Adata пришлось отключить часть своих систем, которые работали в автономном режиме. Ущерб не раскрывается, но оценивается как значительный.
Буквально в июне 2024 года хакеры проникли в IT-инфраструктуру AMD. Помимо данных клиентов и сотрудников были похищены исходные коды прошивок и BIOS, а также закрытая информация о новых продуктах производителя микрочипов. Это опасно само по себе, а также дает возможности проанализировать ПО и найти в нем уязвимости.
Также стало известно, что уже более 15 лет AMD выпускает микропроцессоры с существенной уязвимостью, которую назвали Sinkclose. Она позволяет хакерам устанавливать вредоносное ПО, которое нельзя обнаружить стандартными антивирусами. Причем легче отказаться от зараженного устройства полностью, чем отремонтировать его. С уязвимостью выпускалась почти вся техника с 2006 года.
В апреле 2023 года у MSI похитили более 1,5 Тбайт данных о различных продуктах компании — от настольных компьютеров и ноутбуков до материнских плат и графических ускорителей. Хакеры потребовали выкуп в 4 млн долларов.
В 2022 году хакеры украли данные на 50 Гбайт из переписок сотрудников Организации по атомной энергии Ирана. Хакеры требовали освободить политзаключенных, задержанных на протестах, начавшихся после ареста девушки за неправильное ношение хиджаба. Государство заявило, что критических данных в переписке не содержится.
В апреле 2024 года выяснилось, что хакеры несколько лет воровали технические данные у Volkswagen. Было украдено более 19 тысяч файлов. В том числе ими были получены технологии производства транспортных средств. Хакеры из Китая воровали технические данные с 2010 по 2015 года (о разработке бензиновых двигателей, коробок переключения передач и трансмиссий с двойным сцеплением, например). Кроме того, утекла информация, касающаяся альтернативных источников энергии, включая водородные топливные элементы. Злоумышленников также интересовали разработки в области электромобилей. Ущерб не раскрывается.
Итоги
Бывают разные случаи утечки важных данных. Например, в 2017 прямо на земле нашли флешку с данными о системах безопасности крупнейшего в Великобритании аэропорта Хитроу. Самые дорогие утечки данных происходят и в области здравоохранения. Но несмотря на то, что затраты на кибербезопасность растут, есть и хорошие новости. Например, использование искусственного интеллекта сократило затраты, связанные с потенциальными утечками данных, на 70%. Компании вынуждены постоянно использовать новейшие возможности и технологии, чтобы не сталкиваться с миллионными штрафами и другими последствиями.
Больше контента о сфере интеллектуальной собственности в нашем Telegram-канале