Что на самом деле происходит при утечке данных (и что вы можете с этим поделать)
Вы, вероятно, представляете себе утечки данных, происходящие на конфиденциальных сайтах, таких как банки, менеджеры паролей, возможно, правительственные учреждения. Но по правде говоря, любой сайт, на котором хранится какая-либо личная информация, может быть взломан. В июле 2023 года игровой гигант Roblox обнаружил брешь, которая произошла несколько лет назад и раскрыла личные данные 4000 разработчиков. Несмотря на то, что взлом старый, недавно он снова всплыл: жертвы страдали от телефонных звонков и многого другого. Однако не все нарушения одинаковы, и влияние нарушения на людей может сильно различаться.
Мы здесь, чтобы помочь вам понять, что такое утечка данных, и предложить несколько советов, как защитить вашу личную жизнь от ее худших последствий.
Чего хотят похитители данных?
Представьте себе банду преступников, нагоняющую бронированный автомобиль с сейфами, полными ценностей. Кажется, они сделали прибыльную добычу, но на практике они не знают, кому принадлежит каждый сейф, они понятия не имеют, что внутри, и они в световых годах от разгадывания комбинаций. Это очень похоже на то, что происходит, когда похитители данных получают зашифрованные хранилища данных от менеджера паролей или аналогичной компании. При правильной реализации такое хранилище может открыть только владелец, при этом вся расшифровка происходит локально на устройстве владельца.
Столкнувшись с таинственным сейфом или неизвестным блоком зашифрованных данных, воры, скорее всего, перейдут к более легким целям. Однако даже немного дополнительной информации может облегчить взлом сейфов. Например, при недавнем взломе LastPass воры получили незашифрованные версии URL-адресов для паролей в хранилище. Это упростило подбор мастер-паролей, и, конечно же, как только воры получат копию вашего хранилища, они могут потратить любое количество времени, пытаясь взломать его.
Что произойдет, если ваши данные будут украдены при взломе?
При взломе другого рода воры полностью или частично получают доступ к списку клиентов компании. Независимо от того, вломятся ли они в офис и вытащат бумажный список или взломают базу данных в Интернете, результат один и тот же. В лучшем случае они получают только не очень личную информацию, такую как ваше имя, адрес, номер телефона и адрес электронной почты. Правда, они могут продать эту информацию агрегаторам данных и брокерам. Они могут получить список ваших покупок, также представляющих интерес для брокеров.
Вполне возможно, что украденные данные могут включать номер вашей кредитной карты, но это не такая большая проблема, как вы думаете. Давний протокол стандарта безопасности данных индустрии платежных карт (PCI-DSS) определяет безопасность транзакций по кредитным картам в мельчайших деталях, и он работает большую часть времени, при условии, что предприятия следуют правилам. В любом случае вам не придется платить за мошеннические платежи по кредитным картам (по крайней мере, в США). Обратите внимание, что во многих случаях данные вашей кредитной карты находятся у стороннего поставщика, а не у продавца, которому вы заплатили.
Интернет-магазины и другие сайты обязаны защищать данные вашей учетной записи. Многие отлично справляются со своей задачей, сохраняя все данные в зашифрованном виде и используя методы с нулевым разглашением, которые позволяют им проверять ваш пароль для входа в систему, даже не зная и не сохраняя этот пароль. Но если сайт хранит ваш пароль ненадежно, так что он подвергается взлому, вы потеряли контроль над этой учетной записью. В зависимости от типа сайта хакеры могут размещать заказы, осуществлять банковские переводы, отправлять электронные письма от вашего имени и даже заблокировать вас, изменив пароль.
Становится хуже двумя способами. Во-первых, если вы еще не заручились помощью менеджера паролей, вы, вероятно, используете один и тот же пароль на нескольких сайтах. Хакеры знают об этом и быстро проверяют украденные учетные данные на других популярных сайтах. Во-вторых, если они получают доступ к вашей учетной записи электронной почты, в большинстве случаев они могут использовать стандартный механизм сброса пароля, чтобы захватить больше ваших учетных записей в Интернете. Нарушение, раскрывающее ваши пароли, может быстро перерасти в полномасштабную кражу личных данных.
Даже когда аутентификация с нулевым разглашением реализована не идеально, это создает серьезные препятствия для злоумышленников, пытающихся взломать систему безопасности. И наоборот, когда компании игнорируют эту технологию, результаты могут быть катастрофическими. Подробности все еще всплывают, но, похоже, родственная компания LastPass GoTo также была взломана, в результате чего были потеряны данные пользователей нескольких линеек ее продуктов, включая зашифрованные резервные копии. А Заявление компании(Открывается в новом окне) показал, что «злоумышленник эксфильтровал ключ шифрования для части зашифрованных резервных копий». Это верно. С нулевым разглашением компания никогда не хранит и не видит уникальный пароль для дешифрования каждого пользователя. Но в данном случае похоже, что единственный пароль хранился рядом с зашифрованными данными, вроде как написан код сейфа на двери.
Как взламываются базы данных?
Я попросил программу создания изображений с искусственным интеллектом нарисовать «хакера, получающего доступ к зашифрованной базе данных». Неудивительно, что все результаты изображают фигуру в толстовке, которая набирает код, изучая бесконечные строки загадочных символов. Такой уровень взлома действительно существует, но в реальной жизни взлом учетных записей может быть намного проще.
Хорошим примером является взлом Norton Password Manager. Злоумышленники не нарушили систему безопасности Norton и не похитили зашифрованные данные. Скорее, они использовали имена пользователей и пароли от других краж, чтобы запустить процесс, называемый заполнением учетных данных. Это очень просто. Они просто использовали скрипт для перебора тысяч и тысяч комбинаций имени пользователя и пароля, тщательно отмечая те немногие, которые давали доступ к чьей-то учетной записи. Недавний взлом PayPal также связан с подменой учетных данных.
Группа, которая украла зашифрованные хранилища данных из LastPass, все еще на свободе, и они могут предпринимать бесконечные попытки угадать мастер-пароли, которые откроют эти хранилища. Для того, чтобы перепробовать сотню (или тысячу) самых распространенных паролей для каждого отдельного хранилища, не потребуется много времени. Если это усилие позволяет взломать хотя бы одну мишень из ста, у воров все в порядке.
Хотите попасть в сейф? Просто укради комбинацию. Последние плохие новости от LastPass показывают, что целеустремленный хакер сумел внедрить кейлоггер на персональный компьютер инженера высокого уровня, одного из четырех человек, владеющих ключами к чрезвычайно конфиденциальным корпоративным данным. Такой вид целенаправленной атаки встречается редко, но он явно эффективен.
Что я могу сделать после утечки данных?
Последние новости легко выдать за очередную скучную утечку данных, но вам действительно стоит обратить на это внимание. Есть ли у вас учетная запись или другая связь со взломанной организацией? Насколько серьезно нарушение? Иногда об этом говорится в новостной статье, возможно, ничего, кроме электронной почты и физических адресов клиентов, которые были раскрыты (уф!), или о том, что утечка связана с конкретной финансовой информацией. В других историях вы увидите гораздо меньше деталей, либо потому, что пострадавшая компания еще не знает, что было потеряно, либо потому, что они не хотят это признавать.
Чего вы не можете сделать, так это ждать, пока взломанная сущность сообщит вам, пострадали ли вы. Взлом, подобный этому, и смущающий, и дорогостоящий. По юридическим причинам компании-жертвы очень осторожно относятся к тому, что они раскрывают. В некоторых случаях хороший юрист может превратить заявление типа «Извините, мы потеряли ваши данные» в коллективный иск. В таком случае просто предположим, что ваши данные были включены в утечку.
Если у вас есть учетная запись в взломанной компании, измените пароль. Сейчас! Неважно, уверены ли вы, что вас разоблачили. Просто сделай это. Не будьте частью одного из шести американцев, которые беспечно ничего не делают после взлома. Используйте надежный уникальный пароль, сгенерированный вашим менеджером паролей.
Не останавливайтесь на достигнутом — поищите в менеджере паролей любые другие сайты, на которых вы использовали скомпрометированный пароль, и исправьте их тоже. Это критическое по времени действие. Похитители данных не могут одновременно получить доступ ко всем украденным учетным записям, и, действуя быстро, вы можете опередить их.
Рекомендовано нашими редакторами
Пока у вас открыт уязвимый сайт (или сайты), проверьте, доступна ли многофакторная проверка подлинности (MFA). MFA — ваше самое сильное оружие против захвата аккаунта. Включите его, если он доступен. Теперь для входа в систему требуется как ваш пароль, так и другой фактор, такой как приложение для аутентификации на вашем телефоне или физический ключ безопасности. Украденный пароль бесполезен без этого дополнительного фактора.
Что такое двухфакторная аутентификация?
Даже после смены пароля некоторое время следите за пострадавшей компанией. Войдите в систему и убедитесь, что любые отложенные заказы или действия являются вещами ты делал. Посмотрите, предлагает ли компания какую-либо компенсацию жертвам. Предоставление вам бесплатной подписки на отслеживание кредита не исключено. После взлома Experian в 2015 году Experian предложила жертвам два года услуг кредитного мониторинга и идентификации.
Если ваше хранилище менеджера паролей было украдено, это плохие новости. Ситуация становится особенно сложной, если пострадавшая компания не совсем точно следовала протоколам с нулевым разглашением или если вы защитили свои пароли неверным или повторно использованным мастер-паролем. Смена пароля не удержит воров от попыток взлома системы безопасности, так как украденные данные по-прежнему открываются со старым паролем. То же самое относится и к добавлению MFA постфактум. Ваш единственный реальный выход — переключиться на более надежный менеджер паролей, а затем быстро создать новые уникальные пароли для каждого защищенного сайта.
Как защитить себя от утечки данных
Как уже отмечалось, атаки с заполнением учетных данных просто используют сценарий, который автоматизирует быструю проверку наиболее распространенных паролей для нескольких учетных записей. Если вы пытаетесь запомнить пароли без посторонней помощи, велика вероятность, что вы используете один и тот же пароль из пула наихудших паролей или везде используете один и тот же пароль. Это огромная проблема. Получите менеджер паролей прямо сейчас и начните его использовать. Выберите один с сильным акцентом на безопасность, в частности Безопасность с нулевым разглашением(Открывается в новом окне). Нулевое знание означает, что никто другой не может открыть ваше хранилище, ни компания, занимающаяся паролями, ни недовольный сотрудник, ни даже АНБ.
Выберите менеджер паролей, который предоставляет действенный отчет о безопасности паролей. Если вы уже вооружены таким инструментом, использовать это. Замените все слабые пароли на надежные. Если в отчете показаны повторяющиеся пароли, сгенерируйте новый пароль для каждого сайта. Не откладывайте это; вы не знаете, где произойдет следующая брешь.
Вы уже слышали это раньше, но я повторю еще раз. Защитите свою сокровищницу паролей с помощью длинного, надежного и запоминающегося пароля. Затем добавьте многофакторную аутентификацию. Если у вас есть выбор, аутентификация с использованием приложения для смартфона или физического ключа безопасности лучше, чем тип, основанный на отправке вам кода в текстовом сообщении. Выполнив эти задачи, было бы неплохо вернуться и включить MFA для каждой учетной записи, которая его поддерживает.
Простые трюки, чтобы запомнить безумно безопасные пароли
Торговые сайты и подобные им не могут раскрывать личные данные, которых у них нет. Да, удобно позволить сайту сохранять информацию о доставке и кредитной карте, но если есть выбор, откажитесь от этого удобства. Вы всегда можете использовать свой менеджер паролей, чтобы заполнить эти данные по мере необходимости. И если поле не помечено как обязательное, оставьте его пустым.
Если вы не прервете все контакты с цифровым миром, ваша личная информация будет разбросана по сети. Некоторые сайты, на которых хранятся ваши ценные данные, не защищают их должным образом, что часто приводит к взлому. Вы не можете предотвратить это, но вы можете свести к минимуму воздействие, следуя нашим советам, и максимизировать свои шансы на восстановление, обратив внимание на нарушение и немедленно приняв меры.
