Раскрытие информации о 50 млн пользователей Facebook не стало самым масштабным случаем в истории. Количество утечек будет только расти, считают эксперты. Причем, ни одна из отраслей не застрахована от хакерских атак или халатности сотрудников. В марте 2018 года одной из центральных тем в мировых СМИ стала утечка данных из американской компании Facebook. Пользователи социальной сети узнали, что компания без уведомления передавала их конфиденциальные данные для обработки, анализа и использования в коммерческих целях британской фирме Cambridge Analitica. Скандал не только спровоцировал многомиллиардное падение капитализации Facebook, но и привлек фокус общественного внимания к проблеме обеспечения конфиденциальности пользовательских и корпоративных данных в современном цифровом мире.
Раскрытие информации о 50 млн пользователей Facebook не стало самым масштабным случаем в истории. Напомним, что в 2017 году в результате хакерской атаки были скомпрометированы персональные данные более 145 млн американцев, хранившиеся в бюро кредитных историй Equifax. Таким образом, злоумышленники завладели домашними адресами и номерами социального страхования примерно половины населения США, что было приравнено к угрозе экономической безопасности всего населения страны.
По официальным данным количество утечек из американских органов власти и несанкционированного раскрытия государственной информации в 2017 году превысило сумму аналогичных инцидентов за предыдущие три года. В аналитическом центре InfoWatch изучили десятилетнюю ретроспективу публичных случаев утечек данных из крупнейших американских компаний, государственных органов и практик ведущих разработчиков средств защиты — DLP-вендоров (data leak prevention, предотвращение утечек информации).
Утечки в коммерческих компаниях
Американский бизнес в целом оказался не готов противостоять киберугрозам последнего десятилетия, которые связаны с кражей секретных данных. Помимо Facebook, почти две трети из ста американских компаний с крупнейшей годовой выручкой, которые возглавляют рейтинг Fortune 500, допускали утечки конфиденциальной информации: от лидера рейтинга — сети магазинов оптовой и розничной торговли Walmart, до производителя авиационной, космической и военной техники корпорации Boeing.
Один из крупнейших участников рынка медицинского страхования в США компания Anthem в 2015 году пострадала от утечки данных примерно 80 млн клиентов и сотрудников фирмы. Хакеры похитили имена клиентов, их даты рождения, номера медицинского страхования, адреса проживания и электронной почты, а также данные о доходах. В 2017 году страхования компания испытала новую компрометацию данных своих клиентов.
Сотрудник Bank of America, у которого был доступ к конфиденциальной информации клиентов банка, передал злоумышленникам имена клиентов, их адреса, номера социального страхования, телефонные номера, номера банковских счетов, водительских прав, адреса электронной почты, даты рождения и даже PIN-коды и информацию о состоянии счетов. Преступники выводили средства клиентов, используя чеки на подставных лиц. С помощью данной схемы удалось похитить более $10 млн.
Американский гигант Walmart сообщил об утечке данных клиентов канадского подразделения компании, которые пользовались услугами онлайн фотоцентра с июня 2014 по июль 2015 года. Злоумышленниками были похищены данные о кредитных картах пользователей и другая личная информация, которую клиенты предоставляли при размещении заказа, включая имена, адреса электронной почты и пароли учетной записи.
Сотрудник концерна Boeing стал виновником утечки персональных данных 36 тысяч коллег. Он по ошибке переслал своей супруге по электронной почте корпоративные документы. В отправленном файле содержались имена, информация о месте и дате рождения, идентификационные номера сотрудников Boeing, а также коды бухгалтерских отделов и номера карт соцстрахования.
В результате масштабной утечки конфиденциальных данных в компании Сoca-Cola были скомпрометированы данные 74 000 сотрудников, подрядчиков и поставщиков крупнейшего в мире производителя безалкогольных напитков. Злоумышленники похитили из офиса компании ноутбуки, где хранилась незашифрованная информация, в частности имена, адреса, номера социального страхования и водительских удостоверений сотрудников компании в США и Канаде. Также на устройствах содержались сведения о размерах заработных плат и этнической принадлежности персонала.Утечки в госсекторе
Как показало исследование, за последнее десятилетие утечки информации происходили во всех ветвях государственной власти США. Наиболее показательным случаем стали президентские выборы 2016 года, результат которых во многом определила утечка служебной переписки кандидата от Демократической партии. В 2017 году регулярные утечки информации из кабинета избранного президента легли в основу широкой общественно-политической кампании уже против действующего главы Белого дома.
Исследователь Крис Викери, который специализируется на поиске информации подобного рода, обнаружил в облачном хранилище Amazon Web Services (AWS) базу данных, принадлежащую компании Election Systems & Software (ES&S), поставляющей Чикаго машины для электронного голосования. Из-за ошибок конфигурации база данных была доступна любым желающим. Она содержала номера удостоверений личности и водительских прав, имена, адреса проживания, номера телефонов и последние 4 цифры номеров социального страхования 1,8 миллиона жителей Чикаго.
Организация Deep Root Analytics, работавшая на Национальный комитет Республиканской партии США, оставила в открытом доступе базы данных, содержащие информацию о 198 миллионах американских избирателей. Оказавшиеся в свободном доступе списки избирателей содержали их имена и адреса. Кроме того, открытыми были результаты ряда исследований, проведенных Deep Root Analytics в период президентских выборов 2016 года по заказу республиканского Национального комитета. С января 2015 по ноябрь 2016 года республиканцы заплатили компании в общей сложности почти миллион долларов, говорится в статье.Ведущие DLP-вендоры и их клиенты
По данным аналитического агентства Gartner лидерами рынка защиты от утечек корпоративной информации признаются компании из США. В отчете Magic Quadrant for Enterprise Data Loss Prevention в сегменте лидеров, например, располагаются такие компании как Symantec, Forcepoint и Intel Security. Информация о клиентах крупнейших DLP-вендоров чаще всего остается закрытой, но о ряде случаев утечек, которые произошли с заказчиками услуг указанных компаний, все-таки стало известно.
Компания Deloitte, входящая в «большую четверку» мировых консалтинговых и аудиторских компаний, пострадала от утечки информации о своих сотрудниках. Данные попали в так называемый DarkNet в результате хакерской атаки на другую крупную компанию — Sony Pictures. Сотрудник HR-отдела кинокомпании несанкциони- рованно хранил у себя на рабочем компьютере служебный файл бывшего работодателя, компании Deloitte. В результате в руки хакеров попала информация о заработной плате более 30 тысяч сотрудников консалтинговой компании.
Документы с конфиденциальной информацией клиентов компании Toyota в Атланте, США, в нарушение политик безопасности были вывезены сотрудником из офиса и украдены из его машины. В документах можно было найти такие личные данные, как номер социального страхования, дату рождения, адрес и расчетный счет в банке.
Конфиденциальные данные клиентов индийского оператора сотовой связи Reliance были опубликованы на стороннем ресурсе в интернете. В утекшей базе содержалось более 100 млн записей, включая имена, электронную почту и номера телефонов пользователей.
Автомобильный концерн Hyundai допустил утечку персональных данных клиентов бразильского подразделе- ния, включая идентификационные карты пользователей, имена, номера телефонов, адреса электронной почты и другую информацию.