Сырая «Еда»: как защитить данные от утечки
В начале марта стало известно о масштабной утечке данных пользователей сервиса «Яндекс Еда»: она затронула почти 7 млн человек. Слитая злоумышленниками информация не содержала данных о платежных средствах и документах, в открытом доступе оказались лишь ФИО, телефоны и адреса. Насколько безопасно делиться персональными данными с сервисами доставки и чем опасна подобная утечка, разбирались «Известия».
Что произошло с данными «Яндекс Еды»
«Яндекс» признал утечку данных пользователей сервиса 1 марта. Утверждалось, что из-за недобросовестных действий одного из сотрудников телефоны клиентов и информация об их заказах попали в Сеть. При этом банковские, платежные и регистрационные данные остались в безопасности. В отношении виновного сотрудника пообещали принять меры.
Однако данные из Сети никуда не исчезли: в середине марта на одном из сайтов опубликовали информацию о пользователях сервиса, в том числе их имена, телефоны и точные адреса. Портал содержал всю информацию на интерактивной карте, причем из нее следует, что утекли также данные клиентов из Белоруссии и Казахстана. Объявление на сайте гласило, что публикация базы выполнена для того, чтобы «проверить, какая информация есть у преступников, чтобы понимать риски». При этом указывался номер телефона, по которому якобы можно обратиться, чтобы свои данные убрать. Попытки дозвониться по номерам ни к чему не привели.
В «Яндексе» подчеркнули, что это не новый инцидент — с 1 марта утечек больше не было.
— Речь про утечку, о которой «Яндекс Еда» рассказала 1 марта и тогда же уведомила всех затронутых пользователей по электронной почте, — сообщали в пресс-службе сервиса.
А в конце недели руководитель «Яндекс Еды» Роман Маресов опубликовал пост под названием «Данные, которые мы не уберегли, и уроки, которые мы извлекли». В нем он заверил, что сразу после утечки были предприняты меры и предупреждены пользователи, однако «злоумышленники начали распространять похищенную информацию в интернете».
«Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом, — пишет Маресов. — В последние два дня мне самому пришло много вопросов от родственников и друзей».
По его словам, в Сеть попали адреса, номера телефонов, имена, как они указаны в сервисе, даты, время и стоимость заказов. Логины, пароли, данные банковских карт в безопасности. «Яндекс», сообщил он, стал рассылать письма пользователям, чьи данные оказались скомпрометированы (в комментариях к посту сообщают, что такие письма не пришли, хотя данные точно попали в Сеть). 22 марта, как утверждает Маресов, злоумышленники запустили сайт с визуализацией, привязав данные пользователей к интерактивной карте, а также добавив туда ФИО и адреса электронной почты, которых не было в скомпрометированном массиве данных.
«Это означает, что создатели сайта скомпоновали данные «Еды» с данными, утекшими из других компаний, — полагает Маресов. — Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше. Это ровно то, что делает «Яндекс Еда». Мы добиваемся блокировки сайтов и каналов, которые публикуют данные».
Утечку эту он назвал «беспрецедентным случаем для «Яндекса». Спустя несколько недель после инцидента, сообщил он, команда сервиса «свела к минимуму количество сотрудников, которые имеют доступ к приватным данным». Также они переносятся в более защищенное хранилище, закрыта система, через которую доступ к ним был получен, изменен график регулярных проверок.
«В скором времени мы подключим «Еду» к инструменту для управления данными, который «Яндекс» запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда», — заявил Маресов.
Известно, что в дарквебе было размещено содержимое трех SQL-дампов (файлов, включающих в себя содержимое памяти компьютера, с расширением .sql) с данными о заказах с 19 июня 2021 года по 4 февраля 2022 года.
— Уязвимости, позволяющие злоумышленникам получить доступ к критически важным данным, могут быть абсолютно разными: от ошибок конфигурирования программного продукта или его аппаратной части до устаревших небезопасных библиотек, — рассказал «Известиям» генеральный директор компании «БСС-Безопасность» Виктор Гулевич.
Однако в этой ситуации речь идет, скорее всего, о сливе данных конкретным сотрудником.
Чем угрожает слив данных пользователям
— Распространение персональных данных грозит клиентам этого сервиса тем, что злоумышленники получат еще больше вводной информации для осуществления преступных действий, — поясняет Гулевич. — Одно дело — это «холодный» прозвон с надеждой, что у потенциальной жертвы есть карта известного банка, а другое — когда можно сегрегировать пользователей по отдельным признакам и точечно придумывать кейсы.
Он отмечает, что с «Яндексом» проблема в том, что утечка содержит кроме телефонных номеров еще ФИО, адреса доставки и сумму доставки.
— Благодаря такому набору информации злоумышленники могут с легкостью создать цифровой портрет человека — кем работает, как проводит досуг, сколько зарабатывает, на что и где тратит, и так далее, — говорит Гулевич. — Ценность этой информации для даркнета крайне высока. Поэтому в ближайшее время стоит ожидать большого количества фишинговых атак и еще больше звонков.
Впрочем, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян замечает, что основной спрос в даркнете сосредоточен на платежных данных — остатках и номерах счетов и карт, которые можно использовать в мошеннических схемах.
— Меньшим спросом пользуются паспортные данные, а базы номеров, мейлов и имен вообще не востребованы и часто предлагаются на обмен или бесплатно, — рассказал он «Известиям».
Аналитик исследовательской группы Positive Technologies Яна Юракова также отмечает, что повышается вероятность проведения фишинговых атак, соглашаясь, однако, с тем, что в дарквебе ценность такой информации невысока, так как воспользоваться ею напрямую, не предпринимая дополнительных действий, как это могло бы быть в случае утечки паролей доступа к сервису, невозможно.
Менеджер сервиса Jet CyberCamp компании «Инфосистемы Джет» Екатерина Рудая также отмечает, что злоумышленникам интереснее получить информацию о дебетовых картах или учетные записи с паролями. В этом конкретном случае наибольший интерес был проявлен к публичным людям — кто и где живет, сколько потратил, какие у них есть «дополнительные» адреса.
— Кроме того, злоумышленники, специализирующиеся на социальной инженерии, могут выделить для атак пользователей, которые потратили больше всего средств в приложении, — заметила она.
Каким приложениям можно доверять
— Если говорить про уровень фактической защищенности, то ни одна компания не может гарантировать стопроцентную безопасность и конфиденциальность ваших данных, — говорит Гулевич. — С точки зрения технической составляющей каждый день выходят новые уязвимости, с человеческой — всегда есть группа лиц (например, системные администраторы), у которых есть повышенные привилегии в системе.
Юракова рассказывает, что анализ защищенности веб-приложений, который проводился исследовательской группой Positive Technologies, показал, что практически в 70% веб-приложений существовала угроза утечки конфиденциальных данных, в том числе персональных и учетных.
Ашот Оганесян замечает, что у потребителя просто нет выбора: если он пользуется электронным сервисом, то ему придется этому сервису доверить обработку своих данных. Утечки возможны всегда и отовсюду.
— Некоторое исключение составляют банки, в которых после почти пяти лет непрерывных скандалов удалось навести порядок хотя бы с массовыми утечками, но остальные сервисы абсолютно не защищены и нужно быть готовым к тому, что любые оставленные вами данные рано или поздно утекут, — говорит Оганесян.
Он пояснил, что большинство приложений, которые выпускаются крупными сервисными компаниями, сами по себе относительно безопасны, но уровень защиты от инсайдерских утечек в компаниях «практически нулевой». По словам основателя DLBI, никаким приложениям доверять безоговорочно нельзя, а инсайдерские утечки «происходят вообще из бэк-офисов и IT-служб компаний, оценить степень безопасности которых без специальных аудитов невозможно».
— В сервисной отрасли не существует ни стандартов, ни контролирующих органов по вопросам безопасности, доработка уже созданных решений требует значительных инвестиций, а главное — до сих пор не случалось крупных скандалов, связанных с утечками, то есть «жаренный петух» этот сегмент еще не клевал, — говорит Оганесян.
Екатерина Рудая также замечает, что нужно придерживаться концепции «нулевого доверия» и понимать, что вообще все, что вы сохраняете в интернете, может быть скомпрометировано.
— Даже если компания проводит все необходимые проверки и использует лучшие практики, остаются человеческий фактор и неучтенные риски, — говорит она.
Отметим, что эксперты в сфере информационной безопасности заявляли о вероятности увеличения рисков в IT-сфере. Об этом год назад предупреждала, в частности, американская компания HP Inc., отмечая, что веб-уязвимости могут привести к утечке корпоративных данных, потере доступа к аккаунтам и личным кабинетам важных сервисов, финансовым документам, персональным данным сотрудников и клиентов.
Как обезопасить свои данные в сервисах доставки
Рудая считает, что указывать реальные ФИО в подобных сервисах, если для получения услуги не требуется паспорт, не имеет смысла.
— Для каждого приложения можно заводить отдельную «личность». Это позволит в случае спам-звонков понять, откуда именно у злоумышленника ваши данные, — говорит она. — Более того, рекомендуется завести отдельную сим-карту для регистрации в магазинах и приложениях.
Яна Юракова рекомендует предоставлять минимальный перечень данных о себе — только ту информацию, которая реально необходима для оказания услуги или получения товара.
— Например, для регистрации в приложении для доставки еды или продуктов требуется только имя, чтобы курьер мог обратиться к клиенту и удостовериться, что доставил заказ верно, — поясняет она. — При этом некоторые сервисы при регистрации запрашивают полное ФИО или фамилию и имя, хотя эти данные избыточные.
Юракова отмечает, что для каждого сервиса существуют свои правила. Реальные данные, например, нужны в случае приобретения дорогостоящих товаров или услуг, чтобы курьер мог отдать заказ.
— Однако стоит учитывать, что сервисам выгодно собирать как можно больше данных, чтобы сделать сервис удобнее, обработать статистику и понять, кто их целевая аудитория, чтобы делать таргетированные рекламные кампании, — рассказывает она. — Также следует учитывать риск утечки таких данных. Поэтому мы рекомендуем оценивать, насколько необходимо предоставлять полную информацию о себе, и не указывать информацию, которая не требуется для оказания услуги.
Гулевич подчеркивает, что предоставлять реальные данные в подобных сервисах — это желание исключительно каждого человека.
— Правила поведения, которыми следует руководствоваться, следующие: использовать ранее не использованные нигде адреса электронной почты и номера телефона, — советует он. — Не указывайте ваше настоящее ФИО. Эти действия позволят снизить риск в отношении лично вас в случае инцидента информационной безопасности.
Оганесян, однако, замечает, что пользователь, указывая ненастоящее имя, создает себе проблемы в случае необходимости каких-либо юридических действий по сделке — оспаривания, возврата средств и так далее.
— Максимум, что можно сделать, — это использовать для заказов отдельный мейл и телефонный номер, — говорит он. — Однако главное — всегда быть готовым к тому, что ваши данные могут утечь, не доверять звонкам, в которых эти данные будут использоваться, а также никогда и никому не называть платежных данных и кодов СМС-авторизации к чему бы то ни было.
Советник президента ЦСР Алексей Рябов отмечает, что большинство надстроечных сервисов, связанных с повышением удобства для клиентов, в таких интернет-магазинах также непосредственно связаны с персональными данными.
— К примеру, это система начисления индивидуальных бонусов клиентам за заказы или «цифровые профили клиентов», которые ведутся многими интернет-магазинами с целью формирования индивидуальных предложений, основанных на их предпочтениях, — рассказал он «Известиям».
По его словам, чтобы обеспечить полноценную защиту интернет-приложений от утечек, разработчикам необходимо в первую очередь утвердить внутри компании ряд документов.
— Это политика обработки персональных данных, положение об их обработке и обеспечении безопасности, документы с моделями угроз, — говорит Рябов. — Должны быть определены ответственные за обработку персональных данных и выработаны общие для всех сотрудников положения работы с ними. Однозначно должен быть определен особый режим защиты персональных данных, который бы начинал действовать в периоды, когда прогнозируется повышение интенсивности хакерских атак.
Он добавляет, что если интернет-магазины планируют хранить персональные данные клиентов в облаке, то желательно, чтобы центры обработки данных таких облачных провайдеров имели аттестацию ФСТЭК и ФСБ, что позволит «существенно повысить сохранность персональных данных».
