В среднем у каждого 19‑го сотрудника российских компаний данные корпоративной почты утекают в открытый доступ, сообщили аналитики платформы BI.ZONE Brand Protection. Главная причина заключается в использовании адресов корпоративной почты для регистрации на сторонних сайтах. В 2023 году BI.ZONE выявила утечки 75 тыс. email‑адресов российских компаний.

Всего в 2023 году, по данным BI.ZONE, в открытый доступ попали 420 баз данных с более 981 млн строк, содержащих паспортные данные граждан, адреса, телефонные номера, платёжную информацию, а также личные и корпоративные email‑адреса. В январе 2024‑го года в открытый доступ утекло 62 базы общим объёмом свыше 525 млн записей, а с начала февраля зафиксировано 29 утечек общим объёмом более 11 млн строк, 85 % которых содержали пароль или его хеш. В 2023 году пароли в открытом или хешированном виде встречались в 13 % случаев, в январе 2024 года — в 6 %.

Источник изображения: TheDigitalArtist/Pixabay

В BI.ZONE назвали опасным заблуждением считать, что если в утечке не присутствует пароль, то она не представляет угрозы. И без этого в базе могут быть паспортные данные, номера телефонов, адреса, коды домофонов и другая чувствительная информация. Опасны и утечки хешированных паролей, поскольку из них иногда можно восстановить исходные пароли.

Эксперты рекомендуют не использовать для регистрации на сторонних сайтах адрес корпоративной почты, так как их могут взломать. BI.ZONE рекомендует для минимизации рисков, связанных с утечками данных корпоративной почты использовать для разных ресурсов разные пароли, периодически менять их и применять менеджеры паролей, а также регулярно проверять наличие электронных адресов компании в базах утечек. BI.ZONE также предупредила об опасности стилеров, добывающих логины и пароли от корпоративных ресурсов. Стилеры в основном доставляются с помощью фишинговых писем.

«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

«Лаборатория Касперского» опубликовала отчёт «О значимых утечках данных в России» в 2023 году. Эксперты пришли к выводу, что в количественном выражении число инцидентов по сравнению с 2022-м несколько сократилось, однако общий объём опубликованных сведений существенно вырос.

В 2022 году зафиксирован 141 случай публикации значимых баз данных российских компаний. При этом были похищены в общей сложности более 230 млн наборов пользовательских данных. Утекло свыше 33 млн записей с паролями. В 2023-м число утечек снизилось до 133, то есть приблизительно на 6 %. Но количество наборов похищенных пользовательских данных выросло на треть (33 %) — до 310 млн. При этом украдено 47 млн записей с паролями.

Источник изображения: «Лаборатория Касперского»

По итогам уходящего года большинство утечек, как и в 2022-м, произошло в сегменте малого и среднего бизнеса. Однако более чем в полтора раза вырос объём информации, полученной в результате инцидентов в крупных компаниях. В отчёте говорится, что основная часть утечек зафиксирована в таких сферах, как ретейл, карьера и образование, интернет-сервисы, финансы и IT. Причём наиболее значительный рост в 2023 году отмечен в двух последних из перечисленных сфер. Наборы похищенных сведений чаще всего включают информацию о пользователях ресурсов и/или их историю заказов. Базы данных сотрудников в 2023 году публиковались реже, нежели в 2022-м.

Исследование показало, что основная масса скомпрометированных данных (71 %), которые оказались в открытом доступе, датируются уходящим годом. Иными словами, эта информация носит актуальный характер. Более половины (55 %) изученных баз становились публичными в течение месяца после предполагаемой даты выгрузки из систем компании. Основным каналом распространения утекшей информации стал мессенджер Telegram, а не специализированные теневые форумы, как было годом ранее.

В Государственную думу, по сообщению газеты «Коммерсантъ», внесены два законопроекта, которые предусматривают серьёзное ужесточение наказаний за утечки персональных данных. В частности, вводятся оборотные штрафы — крупные денежные взыскания, исчисляемые определённой долей от оборота компании за тот или иной период. Один из законопроектов предполагает внесение изменений в Кодекс об административных правонарушениях (КоАП).

В настоящее время компании, допустившие утечку персональных данных, в соответствии с ч. 1 ст. 13.11 КоАП штрафуются на 100–300 тыс. руб. Однако, как утверждается, эти взыскания несоразмерны с возможными последствиями от происшедших утечек. Поэтому для юрлиц предлагается установить значительно более крупные штрафы:

• от 3 млн до 5 млн руб. при утечке данных от 1 тыс. до 10 тыс. субъектов;
• от 5 млн до 10 млн руб. при утечке информации о 10–100 тыс. субъектов;
• от 10 млн до 15 млн руб. при утечке сведений о более чем 100 тыс. субъектов.

При этом максимальный штраф для юридических лиц составит от 0,1 % до 3 % выручки за календарный год, но не более 500 млн руб. Кроме того, определены взыскания для должностных лиц и просто граждан, допустивших утечку: 100–200 тыс. руб. для физлиц (максимум 300–400 тыс. руб.) и 0,8–1 млн руб. для должностных лиц (максимум 1,5–2 млн руб.).

Источник изображения: pixabay.com

Второй законопроект предусматривает введение дополнений в Уголовный кодекс. Необходимость принятия поправок авторы объясняют «ростом противоправных действий в отношении персональных данных, а также их незаконного использования при совершении преступлений». За сбор, использование и передачу персональных данных граждан предлагается наказывать штрафом в размере до 300 тыс. руб. либо принудительными работами на срок до четырёх лет, либо лишением свободы до четырёх лет.

Предлагается также наказание за незаконное использование данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, биометрических персональных данных. За такие нарушения будет грозить штраф до 700 тыс. руб. или тюремное заключение на срок до пяти лет.

Недавно представленный Amazon чат-бот Amazon Q страдает характерными для этого типа решений «галлюцинациями» и допускает утечки конфиденциальных данных, сообщает Platformer. Пользователям превью-версии стали доступны данные о местоположении ЦОД компании, непубличных дисконтных программах и ещё не представленных функциях.

Инцидент получил статус утечки уровня 2. Это означает, что он оказался достаточно серьёзен, чтобы привлечь специалистов к его устранению ночью и работе в течение выходных. Проблемы Q весьма некстати проявились тогда, когда Amazon пытается отвоевать себе место на рынке ИИ-ассистентов. Пионерами здесь стали Microsoft, Google и некоторые стартапы. В сентябре компания объявила о намерении инвестировать $4 млрд в стартап Anthropic, а на этой неделе, наконец, представила собственный чат-бот Q.

В ответ на сообщения о проблемах Q в компании заявили, что некоторые сотрудники действительно обмениваются отзывами по внутренним каналам, но нет свидетельств того, что в материалах обратной связи упоминаются случаи явной утечки данных. Позже компания ещё раз подчеркнула, что Amazon Q не допускал утечек конфиденциальной информации. При этом в компании уточняют, что обратная связь только приветствуется, поскольку поможет лучше настроить поведение ИИ-ассистента. Однако внутренние документы компании, утекшие в Сеть, свидетельствуют об обратном — Q выдавал вводящие в заблуждение или же потенциально опасные ответы, например, касающиеся вопросов безопасности.

Источник изображения: John Schnobrich/unsplash.com

До сих пор Amazon тщательно скрывает местоположение ЦОД из своего огромного парка, включающего как собственные объекты, так и арендованные мощности. В 2018 году WikiLeaks обнародовала внутреннюю документацию IT-гиганта, включающую сведения о координатах дата-центров компании по состоянию на 2015 год. С тех пор расположение ЦОД раскрывалось только в документах о планируемом строительстве, но точных сведений о местонахождении всех площадок компании данных нет до сих пор. В последнем отчёте K-10, AWS уведомила, что на конец 2022 года компания владела по всему миру ЦОД общей площадью более 1,4 млн м² и арендует ещё более 1,6 млн м².

Большинство утечек персональных данных из государственных информационных систем (ГИС) связано с неосмотрительностью самих граждан, которым принадлежат эти сведения: если в 2022 году на такие инциденты приходилось 43,6 % случаев, то в 2023-м — 38,6 %. Об этом, как сообщает газета «Ведомости», говорится в исследовании российской компании «СёрчИнформ».

В опросе приняли участие 1300 сотрудников госучреждений. К персональным данным аналитики относят ФИО и сведения из различных документов, удостоверяющих личность и статус человека, а также информацию из электронных аккаунтов, факты о состоянии здоровья и личные убеждения/предпочтения, используя которые можно установить личность.

Источник изображения: pixabay.com

Одной из основных причин утечек респонденты называют внешние атаки на ГИС, но доля таких случаев в общем объёме инцидентов сокращается. Если в 2022 году показатель равнялся 32,7 %, то в текущем году он снизился до 31 %. Вместе с тем, выросла доля тех, кто считает главной причиной утечек действия сотрудников госучреждений: значение достигло 30,04 % против 20 % в прошлом году.

Среди основных видов утечек (возможен выбор нескольких вариантов) опрошенные называют вирусные угрозы (56,3 %), методы социальной инженерии (25 %), внешние кибератаки (23,8 %), случайные утечки (18,8 %), уничтожение/порчу данных/кибервандализм (8,3 %), умышленное хищение данных инсайдерами (5,9 %) и хищение или порчу аппаратных носителей информации (5,3 %).

Количество утёкших персональных данных в 2023 году удвоилось по сравнению с 2022-м, а объём вырос как минимум в три раза — с 1 Тбайт в конце 2022-го до 3 Тбайт к октябрю 2023 года. Виновниками инсайдерских инцидентов более половины (50,7 %) респондентов считают сотрудников младшей группы специальностей. Ключевыми каналами утечек (возможен выбор нескольких вариантов) участники исследования называют интернет-ресурсы, такие как облачные хранилища, файлообменные сервисы и социальные сети (80,3 %), мессенджеры (55,2 %), электронную почту (50,4 %), съёмные носители (36,04 %) и бумажные документы (24,1 %). 

Более 70 % российских компаний не страхует риски, связанные с утечкой данных, хотя ущерб от этого может быть значительным — в 14 % случаев потери компании превышают 1 млн руб., сообщили «Ведомости» со ссылкой на исследование экспертно-аналитического центра ГК InfoWatch «Оценка ущерба вследствие утечек информации».

Наибольший ущерб приносят утечки информации, содержащей коммерческую тайну и ноу-хау, а также персональные данные. Причём персональные данные похищали чаще всего — в 39 % случаев. В 24 % допускалась утечка сведений, составляющих коммерческую тайну. Оформляли страховку организации лишь из трёх секторов: образования, банков и топливно-энергетического комплекса.

Согласно результатам опроса в июле 2023 г., в котором приняли участие 1500 представителей частных и государственных организаций из отечественного промышленного сектора, в 70 % случаев утечка данных была следствием умышленных действий, при этом в 7 % случаев — по вине внутреннего нарушителя. Почти в половине случаев (46 %) утечка произошла через подключение корпоративной или промышленной сети, а также через корпоративную почту. Также утечки случались из-за потери и кражи съёмных носителей, в 9 % случаев — через бумажные носители, а также из-за нелегитимного использования мобильных устройств и через облачные сервисы.

Отрасли организаций, где произошли утечки (Источник здесь и далее: InfoWatch)

Эксперты отмечают, что рынок киберстрахования только формируется, а количество заключённых за последние годы контрактов на страхование ИБ-рисков исчисляется несколькими десятками. При заключении такого контракта компания должна пройти независимый аудит экспертов, исходя из результатов которого страховщик определит возможный уровень компенсации в случае наступления страхового случая. При этом чем меньше компания вкладывает в кибербезопасность, тем страховка будет дороже.

Следствием каких событий была утечка информации, которая привела к ущербу

В страховые полисы также может быть включено страхование от целевых и нецелевых кибератак, вымогателей, вирусов-шифровальщиков, т. е. IT-инцидентов, приведших к одной или нескольким видам поломок. По словам эксперта, раньше такие контракты заключали «дочки» иностранных компаний, а также небольшой бизнес, которому банки включали их в страховки по кредитам в принудительном порядке.

Утечка по каким каналам привела к ущербу

Отмечается и отсутствие реальной оценки ущерба от утечки персональных данных клиентов, поскольку сейчас страховщики считают и возмещают только реальные потери: расходы на восстановление систем, расследование инцидентов, упущенную прибыль. Возмещение за утечку клиентских данных компании не предусмотрено. Тем не менее, популярность услуги страхования компаний от утечек будет расти в связи с увеличением количества таких инцидентов, считают эксперты.

Служба безопасности SAP начала расследование, связанное с появлением на eBay одного из накопителей, пропавших в одном из ЦОД компании. Как сообщает издание The Register, инцидент произошёл ещё в ноябре прошлого года в немецком городе Вальдорф земли Баден-Вюртмеберг. Известно, что из дата-центра компании пропали сразу четыре SSD. Это уже пятый инцидент с исчезновением накопителей из европейских ЦОД SAP за последние два года, передаёт издание.

В результате расследования выяснилось, что охрана была организована очень плохо, поскольку никто не проверял людей, покидавших считавшийся защищённым ЦОД. В результате диски переместили в «небезопасное» здание в комплексе строений штаб-квартиры, откуда они и были украдены без особых проблем. В компании отметили, что на дисках не хранилось какой-либо личной информации, но, как оказалось, эти данные не вполне соответствовали действительности.

В своё время в SAP утверждали, что подходят к безопасности данных очень серьёзно, и, хотя служебная информация не подлежит разглашению, представители разработчика ПО заверили, что свидетельства утраты данных клиентов или сотрудников отсутствуют. Однако один из четырёх SSD, оказавшийся на eBay, приобрёл сотрудник самой SAP, после чего выяснилось, что накопитель содержал персональные записи о сотне сотрудников компании. Местонахождение трёх оставшихся дисков неизвестно до сих пор.

Изображение: Bru-nO / Pixabay

Хотя свою роль сыграла человеческая ошибка и несоблюдение протоколов безопасности, основной причиной утери всё-таки назвали кражу. Инцидент не может не вызывать беспокойства как у самих разработчиков, так и у их клиентов, поскольку в последние годы SAP активно продвигает собственные облачные решения и продажу ПО по модели услуг, предоставляемых как на базе собственных ЦОД, так и дата-центров партнёров.

Инцидент в IT-индустрии не первый и, вероятнее всего, не последний. В 2019 году финская компания Blancco, занимающаяся безопасной очисткой накопителей, обнаружила, что из 159 случайным образом выбранных на eBay накопителях из США и Европы 42 % несли данные, оставшиеся от прежних владельцев. Доступ к ним могли получить даже люди, имеющие базовую компьютерную грамотность. Более того, в 15 % случаев накопители хранили и персональные сведения.

Впрочем, даже неправильный вывод из экплуатации может привести к проблемам. Так, банк Morgan Stanley, сэкономив $100 тыс. на утилизации HDD, в итоге потерял $120 млн. Но это касается и другого оборудования. Недавний анализ, проведённый ESET, показал, что выставляемые на продажу сетевые устройства зачастую содержат массу информации, позволяющей как минимум скомпрометировать сети крупных компаний.

Хотя это произошло в 2021 году, только сейчас стало известно о том, что хакерам удалось похитить учётные данные целого ряда крупнейших международных компаний для входа в сети ЦОД двух крупнейших операторов Азии: шанхайской GDS Holdings Ltd. и сингапурской ST Telemedia Global Data Centres (STT GDC).

Об этом сообщила исследовательская фирма в области кибербезопасности Resecurity Inc., утверждающая, что от взлома пострадало около 2000 клиентов обоих операторов ЦОД. Гендиректор Resecurity Джин Ю (Gene Yoo) рассказал, что эти инциденты были раскрыты в сентябре 2021 года после того, как один из сотрудников фирмы, работая под прикрытием, сумел внедриться в хакерскую группу в Китае. Вскоре после этого Джин Ю известил о случившемся GDS и STT GDC, а также ряд клиентов Resecurity, чьи данные попали к хакерам.

Источник: Resecurity Inc.

В январе 2022 года Resecurity вновь уведомила GDS и STT GDC после того, как стало ясно, что хакеры получили доступ к учётным записям. Одновременно фирма известила власти Китая и Сингапура. Оба оператора ЦОД сообщили, что оперативно отреагировали на уведомления Resecurity и начали внутренние расследования. GDS признала, что веб-сайт поддержки клиентов был взломан, отметив, что в 2021 году она исследовала и устранила уязвимость. В свою очередь, STT GDC заявила, что привлекла внешних экспертов по кибербезопасности, когда узнала о случившемся в 2021 году инциденте.

«Несанкционированного доступа или потери данных не наблюдалось», — отметила STT GDC, добавив, что полученные Resecurity учётные данные, представляют собой «неполный и устаревший список учётных данных пользователей для приложений». «Любые такие данные теперь недействительны и не представляют угрозы безопасности в будущем», — сообщил оператор.

Источник: Resecurity Inc.

В частности, хакеры получили доступ к различным учётным данным некоторых крупнейших компаний мира, включая Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. и Walmart Inc. Большинство пострадавших компаний, с которыми связался ресурс Bloomberg News, включая Alibaba, Amazon, Huawei и Walmart, отказались от комментариев. Что касается GDS и STT GDC, то те утверждают, что никто из их клиентов не пострадал.

Тем не менее, согласно документам, проанализированным Bloomberg News, хакеры получили адреса электронной почты и пароли более 3000 человек в базе данных GDS, включая её собственных сотрудников и клиентов, и более 1000 человек из STT GDC. Хакеры также украли из сети GDS учётные данные более чем 30 тыс. камер наблюдения, для доступа к большинству из которых использовались простые пароли вроде «admin» или «admin12345».

Источник: Resecurity Inc.

Хакеры имели доступ к учётным данным более года, после чего выставили их в прошлом месяце на продажу в даркнете за $175 тыс., сообщила Resecurity. А в прошлый понедельник хакерская группа разместила украденные данные в даркнете уже бесплатно. Фирма утверждает, что даже без действительных паролей похищенные данные всё равно представляют ценность, поскольку с их помощью хакеры смогут создавать целевые фишинговые электронные письма для людей, имеющих высокий уровень доступа к сетям компаний.

Компания «Киберпротект» сообщила о выпуске новой версии программного комплекса «Кибер Протего» (Cyber Protego) 9.4.

«Кибер Протего» относится к классу решений Data Loss Prevention (DLP) и представляет собой инструмент для защиты от утечек данных с рабочих станций, серверов и виртуальных сред. Продукт поддерживает клиентские ОС Windows и macOS, серверы под управлением Windows Server, а также платформы виртуализации и VDI-системы Microsoft, Citrix Systems, VMware и Oracle.

Источник изображения: cyberprotect.ru

Обновлённая версия «Кибер Протего» 9.4 дополнилась средствами контроля данных, передаваемых посредством протоколов SFTP и IMAP. Также продукт получил поддержку операционных систем Windows 11 и Windows Server 2022 (до версии 22H2 включительно), доработанные инструменты логирования и протоколирования. В числе прочего оптимизирован контроль использования почтового веб-сервиса Gmail и мессенджера WhatsApp, усовершенствован механизм контроля SSL-соединений, а также внесён ряд других улучшений и обновлений.

Особенностью Cyber Protego является модульная архитектура с опционально лицензируемыми функциональными компонентами и единым унифицированным управлением, что позволяет клиентам выбирать оптимальную конфигурацию DLP-решения в соответствии с требованиями к обеспечению безопасности IT-инфраструктуры и бюджетом.