Недавно ставшая достоянием общественности история с кражей клиентских данных у Uber должна послужить важным уроком для тех, кто ведет разработку на сторонних платформах. Платформы типа Github Inc., GitLab и SourceForge часто используются программистами для совместной работы над проектами, выпуска бета-версий, тестированием на ошибки и т.д. Но такие ресурсы также являются целями кибервредителей.
«Открытые среды разработок для программистов, на самом деле, довольно проблемная история. Многие компании забывают вовремя удалять регистрационные данные разрабатываемых проектов, когда программисты завершают работу», - считает Крис Бойд, аналитик по кибербезопасности в компании Malwarebytes Inc.
Недавно производитель дронов DJI допустила такую непростительную с точки зрения безопасности оплошность – компания опубликовала на GitHub архив с закрытыми ключами для HTTPS-сертификатов *.dji.com, AES-ключами шифрования прошивок, а также паролями доступа к облачным окружениям в AWS и службе хранения Amazon S3. Более того, эти данные находились в открытом доступе от двух до четырех лет.
Как сообщается, содержимое архива позволяло злоумышленникам взломать всю инфраструктуру крупнейшего производителя дронов. Они могли проводить самые разнообразные атаки с целью кражи конфиденциальной информации и получения доступа к компьютеру пользователя. В рамках собственных экспериментов исследователю удалось получить доступ к записям полетных данных и идентификационным номерам дронов.
Сейчас ключи из архива отозваны, либо заменены на новые. Но самое интересное в этой истории то, что производитель пытался купить молчание исследователя. Говоря точнее, компания предложила исследователю денежное вознаграждения в рамках $30 тыс. в обмен на подписанное соглашение, одним из пунктов которого было неразглашение данной истории. Но исследователь решил отвергнуть предложение, предав все огласке.
Uber не первый раз забывает чувствительную информацию на сторонних сервисах. Так, в 2014-м Uber сообщила о взломе своей базы данных, содержащей информацию о номерных знаках и именах десятков тысяч водителей такси. В ходе расследования выяснилось, что при осуществлении взлома преступники использовали предположительно секретный пароль входа в систему, который содержался в нескольких gist-сообщениях, размещенных в общественном секторе GitHub.
Руководство Uber обратилось с просьбой к администрации портала для разработчиков передать ей IP-адреса всех пользователей, просмотревших сообщение в период с марта по сентябрь 2014 года, однако GitHub отказалась добровольно передать журналы доступа. В ответ на это Uber направила исковое заявление в суд с целью заставить GitHub предоставить требуемое. GitHub оспорила иск в суде Сан-Франциско, но проиграла.
Кибервредители периодически ищут уязвимости в открытых кодах проектов, пароли и ключи шифрования, оставленные по забывчивости разработчиками. И, судя по истории с Uber и другими крупными компаниями, часто хакеры находят, что искали.
С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Аналитики компании подсчитали, что более 93% данных, пострадавших от уязвимости системы защиты, пришлось на корпоративный сектор, в то время как правительственные данные составили 3%.
Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).
Абсолютными лидерами по числу успешных взломов стали США — там произошло свыше 1,3 тысячи утечек, в Британии всего 104, а замыкает список Канада, где хакеры провели всего 59 удачных атак.