7 Сентября, 2017

Сайты знакомств и корпоративная информационная безопасность

Panda Security в России


Прошло два года с момента самой громкой кибер-атаки в истории, но споры вокруг службы знакомств для внебрачных связей Ashley Madison не утихают до сих пор. Чтобы напомнить вам, Ashley Madison столкнулся с серьезной утечкой данных в 2015 году, когда было украдено свыше 300 ГБ пользовательских данных, включая реальные ФИО пользователей, банковские данные, операции по банковским картам, секретные сексуальные фантазии и многое другое… Самый худший кошмар для пользователей: представьте, что вся ваша самая ценная персональная информация стала опубликована в Интернете. Однако, последствия атаки были намного хуже, чем кто-либо мог себе представить. Ashley Madison прошел путь от захудалого сомнительного сайта до идеального примера недобросовестной практики управления.

Хактивизм как оправдание
После атаки на Ashley Madison хакерская группа «The Impact Team» отправила владельцам сайта сообщение с угрозами и критикой в недобросовестности компании. Впрочем, сайт не поддался на требования злоумышленников, которые потом опубликовали данные тысяч пользователей. Они оправдывали свои действия тем, что Ashley Madison обманывал пользователей и не защищал их персональные данные должным образом. Например, Ashley Madison утверждал, что пользователи могут полностью удалить свои персональные аккаунты за 19 долларов. Однако, по данным «The Impact Team», это не соответствует действительности. Еще одно невыполненное обещание Ashley Madison, по словам хакеров, было связано с удалением конфиденциальной информации по банковской карте. Подробности покупок не были удалены, как и не удалялись реальные имена пользователей и их адреса.
Вот лишь некоторые причины, по которым хакерская группа решила «наказать» компанию. Это наказание стоило Ashley Madison примерно 30 миллионов долларов США штрафов, обязанностью повысить уровень безопасности и требованием возмещения убытков.

Тяжелые и дорогостоящие последствия
Несмотря на время, прошедшее с момента атаки, и внедрение требуемых мер безопасности со стороны Ashley Madison, многие пользователи жалуются на то, что даже на текущий момент они до сих пор получают угрозы с попытками вымогательства у них денег. Группировки, не имеющие отношения к «The Impact Team» продолжают бомбардировать этих пользователей письмами с требованием заплатить им от 500 до 2000 долларов США за то, что они не будут отправлять членам их семей всю ту информацию, которая была украдена в Ashley Madison. Расследования компании и усиление мер безопасности продолжается до сих пор. Причем Ashley Madison не только вынуждена была потратить десятки миллионов долларов США, но также получило еще и расследование Федеральной торговой комиссии США – организации, которая заставляет применять жесткие и дорогостоящие меры безопасности для обеспечения безопасности персональных данных пользователей.
Что можно сделать в вашей компании?

Хотя многое о данной атаке неизвестно до сих пор, аналитики смогли сделать ряд важных выводов, которые необходимо принимать во внимание любой компании, которая хранит персональные и конфиденциальные данные.

1. Очень важно использовать надежные пароли
Как выяснилось после этой атаки, несмотря на то, что большинство паролей Ashley Madison были защищены с помощью алгоритма хэширования Bcrypt, набор из как минимум 15 миллионов паролей был хэширован с помощью алгоритма MD5 , который очень уязвим перед атаками типа bruteforce. Вероятно, это напоминание о том, как со временем развивалась сеть Ashley Madison. В итоге мы должны выучить важный урок: как бы тяжело это ни было, организации должны использовать все меры, необходимые для того, чтобы не допускать таких нелепых ошибок безопасности. Исследование аналитиков также показало, что несколько миллионов паролей к Ashley Madison были очень просты, а это говорит нам о том, что необходимо обучать пользователей применять хорошие практики безопасности.

2. Удалить – значит удалить
Возможно, один из самых спорных аспектов всего инцидента с Ashley Madison связан с удалением информации. Хакеры обличили огромное количество данных, которые предположительно должны были быть удалены. Несмотря на то, что компания Ruby Life Inc, стоящая за  проектом Ashley Madison, утверждала, что хакерская группа украла информацию за продолжительный период времени, правда заключается в том, что утечка информации не соответствует описанному периоду времени. Каждая компания должна принимать во внимание один из наиболее важных моментов в управлении персональными данными: при необходимости надо полностью и безвозвратно удалять такого рода информацию.

3. Обеспечение должного уровня безопасности – это постоянная обязанность
Если говорить про регистрационные данные пользователей, то очевидно, что организации должны поддерживать надежные протоколы безопасности и соответствующие практики обеспечения безопасности. Ashley Madison использовал протокол с MD5-хэшами для защиты паролей пользователей, что было очевидной ошибкой, хотя и не единственной, которую они допустили. Как показали последующие проверки вся платформа испытывала серьезные проблемы с безопасностью, которые не были решены, т.к. являются результатом работы предыдущей команды разработчиков. Другой аспект, который требуется рассмотреть, связан с инсайдерскими угрозами . Сотрудники проекта могли нанести непоправимый вред, а потому единственный способ предотвратить это – применять строгие протоколы для журналирования, мониторинга и аудита активности сотрудников.

Обеспечение безопасности организации – это постоянная ее обязанность, поэтому ни одной компании не следует упускать из вида важность обеспечения должной безопасности всех своих систем, т.к. это может привести к неожиданным и очень дорогостоящим последствиям.


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com
comments powered by Disqus