массовые утечки персональных данных 20 млн клиентов Сбербанка
20 млн налоговых записей с номерами паспортов, ИНН, информацией о работодателях и суммах уплаченных налогов.
И это далеко не единичный случай.
Базы, об источнике которых известно лишь то, что их хозяин проживает на Украине, содержали свыше 20 млн налоговых записей (14 млн в одной базе, 6 млн в другой).
Хранившаяся информация охватывала период с 2009 по 2016 год и была доступна как минимум с мая 2018 года, когда ее впервые проиндексировали поисковики. Владелец не ответил на письма, отправленные 17 сентября 2019 года, но через три дня закрыл доступ.
В ФНС утечку назвали «провокацией», так как часть данных не собирается и не хранится российскими налоговиками. Кроме того, структура данных отличается, от принятой в налоговой службе.
Собранные данные могут быть компиляцией из украденных баз
Если кому-то нужно выложить в интернете большую базу данных, для этого обычно разворачивается поисковый кластер в популярном облачном сервисе — например, Amazon.
Владельцы баз данных часто не считают, что их база данных кому-то нужна и не думают, что хранимые там пользовательские данные имеют какую-то ценность.
Метод Дьяченко (Независимый исследователь киберугроз Боб Дьяченко, специализирующийся на облачных утечках, совместно с британской компанией Comparitech.) заключается в сканировании облака Amazon и других сервисов и поиске баз данных. Он обнаруживает базы, которые забыли, не подумали или даже не сумели защитить паролем.
Беспечность владельцев дошла до того, что даже после двух месяцев предупреждений хозяева не закрыли доступ на запись и продолжают собирать в уже взломанную базу важную информацию.
В сентябре компания UpGuard обнаружила общедоступный сервер с 1,7 терабайта данных об устройстве телекоммуникаций МТС и установке СОРМ — системы досмотра трафика и сбора информации российскими спецслужбами.
Причиной оказался сотрудник Nokia, грубо нарушивший протокол безопасности и работавший с секретными данными со своего домашнего компьютера,
Утечка данных избирателей, Казахстан. В июле 2019 года данные 11 млн граждан Казахстана (это все взрослое население страны) оказались доступны через поиск Google и Яндекс.
Позднее выяснилось, что ИНН, паспортные данные и адреса проживания утекли через Центризибирком — его подрядчики забыли защитить от внешнего доступа сервер разработки.
Здесь было допущено сразу две ошибки. Во-первых, доступ к таким важным данным не был закрыт паролем. Во-вторых, поисковику не дано даже элементарной, хотя и недостаточной рекомендации не индексировать содержимое сервера.
Халатность — только одна из причин возможных утечек. Например, данные 60 млн клиентов Сбербанка, недавно выставленные на продажу, вряд ли результат глупости.
. Если ваши данные или данные ваших клиентов утекли, они попадут в десятки других баз данных, и некоторые из них могут оказаться незащищенными, даже если вы предприняли необходимые меры защиты.
Не считайте промежуточный сервер или временный сервис чем-то, что нужно защищать хуже, чем основную систему. Утечки чаще всего происходят через самые слабые звенья цепи
tags: helpsoc, базы клиентов Сбербанка, Халатность, Центризибирком. ИНН, телекоммуникаций МТС и установке СОРМ, UpGuard , ФНС утечку назвали «провокацией», 20 млн клиентов Сбербанка,
тэги: helpsoc, базы клиентов Сбербанка, Халатность, Центризибирком. ИНН, телекоммуникаций МТС и установке СОРМ, UpGuard , ФНС утечку назвали «провокацией», 20 млн клиентов Сбербанка,