Как из ведра: канал утечек через «облака» стал вдвое шире
За последние полгода доля открытых баз с персональными данными россиян, которые попали в Рунет через облачные технологии, выросла почти вдвое: с 10% в апреле до 19,5% в ноябре. Такие выводы содержатся в исследовании компании по кибербезопасности DeviceLock (есть в распоряжении «Известий»). Среди утечек мало банковских, потому что из этих организаций информация просачивается в общественное поле через инсайдеров. В «облаках» преимущественно содержатся сведения из МФО и операторов фискальных данных. Такие сведения не менее ценны для злоумышленников, поскольку также используются в мошенничестве с использованием методов социальной инженерии.
Переменная облачность
Всего в открытом доступе за последние полгода оказалось более 200 облачных серверов с личными данными россиян, которые не требуют авторизованного доступа, говорится в исследовании DeviceLock. Всего компания обнаружила и обследовала 1150 серверов, 60% из которых можно было открыть без логина и пароля.
В том числе, в Сети оказались данные ОФД «Дримкас» (14 млн записей), в которых содержались адреса магазинов с названиями и содержимое чеков, а также микрофинансовой компании «ГринМани» (более 1 млн записей). Еще один крупный доступный сервер, упомянутый в исследовании, располагался в облаке с названием Amazon Web Services и содержал 20 млн записей о россиянах, сказано в исследовании.
Среди проверенных «облаков» баз банков практически не было, поскольку эти организации работают под строгим надзором регулятора, а также несут прямые убытки при попадании данных в руки мошенников. Поэтому финансовые организации вкладывают средства в киберзащиту и устанавливают специальное ПО, подчеркнул эксперт.
— Хотя банковские утечки — самые опасные, но некоторые данные, например из микрофинансовых организаций и бюро кредитных историй, также могут использоваться для повышения доверия жертвы к звонящему мошеннику. Кроме того, иногда в открытых базах помимо персональных присутствуют и платежные сведения: номера карт или счетов, информация о денежных перечислениях или покупках — она может быть использована злоумышленниками для проведения поддельных трансакций, — пояснил технический директор компании DeviceLock Ашот Оганесян.
Рост доли незащищенных облачных хранилищ связан с диджитализацией бизнеса, тогда как компетенции компаний в области кибербезопасности отстают. В результате в Сети появляется всё больше доступных ресурсов и открытых API, считает он.
В 2019 году СМИ не раз сообщали об утечках данных банковских клиентов, в том числе из Сбербанка, ВТБ, Альфа-Банка, Бинбанка (присоединен к «Открытию»). В ЦБ не ответили на вопросы «Известий» об использовании облачных сервисов, сославшись на отчет ФинЦЕРТ. В нем сказано, что лишь 12% баз данных, которые продаются на черном рынке, относятся к кредитно-финансовым организациям.
Больше половины корпоративных информационных систем используют дефолтные логин и пароль (которые легко подобрать), а около четверти этих систем имеют недостатки конфигурации с высоким уровнем риска, подтвердил статистику директор экспертного центра безопасности Positive Technologies Алексей Новиков. Он согласился с тем, что таких утечек становится больше, потому что растет количество компаний, использующих облачные технологии. А в последнее время «облака» применяют всё чаще, поскольку стало популярным, когда программистов в команду по разработке могут набирать в разных регионах, добавил эксперт.
Халатность на аутсорсе
«Известия» опросили крупнейшие российские банки, МФО и операторов фискальных данных, используют ли они облачные сервисы. В Альфа-банке, МКБ и Ак Барс Банке заявили, что не применяют такие решения. В сервисах онлайн-кредитования «Робот Займер», «РобоКредит» и Webbankir сообщили «Известиям», что пользуются «облаками», но все они включают в себя аутентификацию клиентов и шифрование данных. В остальных организациях, включая ОФД «Дримкас» и МФО «ГринМани», не ответили на вопросы «Известий».
Такие ошибки обычно допускают организации, которые стремятся быстрее выпустить продукт, но при этом пренебрегают вопросами безопасности, считает директор департамента по информбезопасности Ак Барс Банка Вячеслав Яшкин. Проблемы с защитой сведений о клиентах характерны для стартапов, которые торопятся развернуть свой сервис и не всегда успевают продумать все нюансы, согласен сооснователь финансовой онлайн-платформы Webbankir Дмитрий Пелевин.
Он подчеркнул, что большинство утечек персональных данных связаны не с ошибкой в проектировании системы, а с человеческим фактором: к примеру, один из программистов может воспользоваться своими правами доступа со злым умыслом.
Серверы с данными могут оказаться открытыми, если банк работает с программистами на аутсорсе и не имеет достаточной возможности для контроля процесса, предположил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, проблема в безалаберном и халатном отношении со стороны администратора базы, а за работой на аутсорсе нужно серьезнее следить.
Открытые базы данных входят в группу хакерских утечек, которые составляют 40–45% всего их количества. Остальные приходятся на инсайдеров, что популярно для банков. Однако «облачные» сливы также доставляют массу проблем компаниям, поскольку сведения уходят не кусками, а целиком, отметил Ашот Оганесян. Он добавил, что интернет-сервисы активно развиваются только последние 10 лет, а масштабные хищения данных начались и вовсе недавно. Поэтому бизнес еще не привык к тому, что защищать информацию нужно так же тщательно, как товары на складах, считает эксперт.
Бороться с подобными случаями халатного отношения к персональной информации клиентов бесполезно без создания специальной надзорной группы, которая будет контролировать интернет-гигиену фирм с большим количеством клиентов, считает главный аналитик Центр аналитики и финансовых технологий (ЦАФТ) Антон Быков. Он добавил, что рядовому гражданину сложно полностью обезопасить свои данные, поскольку любая информация, оставленная в анкетных формах, утекает в Сеть.
По словам эксперта, не стоит слишком сильно волноваться об утечках, поскольку их недостаточно для прямого списания средств: безопасность денег зависит от бдительности самих пользователей финансовых услуг.