Хакер продает данные 1 млрд китайских и 127 млн американских пользователей

хакер под псевдонимом DoubleFlag продает в даркнете огромный массив данных пользователей крупных китайских и американских операторов связи.

Первыми хакер выставил на продажу базы данных ряда китайских интернет-гигантов, в том числе NetEase, Tencent и Letter Network Information Technology. Дамп, названный продавцом «Большая азиатская утечка» (The Big Asian Leak), содержит данные более 1 млрд пользователей и является одним из крупнейших, выставленных на продажу в даркнете.

Как сообщается в описании товара, некоторые учетные данные хранятся в открытом виде, а некоторые пароли захэшированы с помощью MD5 – алгоритма, который легко взломать. Этот же дамп содержит учетные данные пользователей Yahoo.co.jp, Yahoo.com.cn, yahoo.com.tw, Gmail.com, китайского Hotmail, MSN и Live.

Помимо данных китайских пользователей, DoubleFlag выставил на продажу информацию порядка 127 млн граждан США, похищенную у крупного американского оператора связи United States Cellular Corporation (U.S. Cellular). По заверению хакера, представленные данные актуальны на январь 2017 года и никогда раньше не продавались в интернете. Дамп содержит такие сведения, как полные имена и фамилии пользователей, адреса проживания и номера телефонов. Стоимость товара составляет $500.

Сотрудники издания HackRead попытались связаться с U.S. Cellular и подтвердить (или опровергнуть) факт утечки данных ее клиентов, но безуспешно.

Алексей Кондрашов, исп. директор Директ ИНФО

Думаю, такая база интересна в первую очередь спамерам занимающимся SMS рассылкой (скорее всего за пределами США). Чисто теоретически, если соединить ее с другими базами данных включающих такие параметры как соц. дем, она может быть интересна и рекламных агентам занимающимся прямыми телефонными продажами. Указанная сейчас стоимость (500 долларов) более чем доступна и скорее всего данная цена будет в последующем падать. По поводу заинтересованности спецслужб - почему бы и нет. Как доп источник информации она интересна всем. Как вариант - может быть мы увидим веб проекты выкладывающие информацию из этой базы в открытом доступе и живущих на рекламу с этого.

Владимир Княжицкий, генеральный директор компании «Фаст Лейн» в России и СНГ

Сами базы данных пользователей не представляют особого интереса без деталей. Только фамилия имя - это неинтересно.

Важно понимать, какая именно база предлагается в каждом конкретном случае. Судя по открытой информации в интернете, хакер продает базу Experian всего за 600 долларов (цена указана в биткоинах, разумеется). Это довольно содержательная база, которая включает в себя полное имя, адрес, номер квартиры, город, штат, почтовый индекс, пол, номера телефонов, дату рождения, семейное положение, адрес почтовой доставки, данные о доме или квартире, классификацию доходов, детали дохода, кредитный рейтинг, сведения о национальности, религии, сведения о языке и другие данные.

Такие базы, конечно, нужны коммерческим компаниям для точной фокусировки рекламы на целевую аудиторию, но как раз коммерческие компании, скорее всего, не захотят пачкать руки использованием такой информации. А вот для мошенников эта база очень привлекательна тем, что с ее помощью можно получить представление о состоятельности будущей жертвы и далее, используя методы социальной инженерии, произвести атаку, которую у нас называют "разводка".

Помимо этого, ряд сервисов, в том числе, платежных, иногда помогают пользователю восстановить пароль по телефону, уточняя разные детали его личных данных. Особенно это популярно в США. Атаки методом звонка в службу поддержки со словами "Я забыл пароль" - частое явление. И, зная указанную информацию о жертве, относительно просто ввести в заблуждение оператора и получить пароль.

Морковчин Александр, старший консультант по информационной безопасности Центра информационной безопасности компании Инфосистемы Джет

Тема масштабных утечек информации и «монетизации» персональных данных уже не первый год является «горячей» для зарубежных и отечественных СМИ. Ежегодно публикуемая статистика показывает, что каждый новый год бьет рекорды предыдущего по количеству утечек информации, что говорит об общемировой тенденции к увеличению числа утечек и объемов скомпрометированных данных.

Безусловно, выставленная на продажу хакером DoubleFlag база персональных данных является, пожалуй, крупнейшей утечкой личных данных за последнее время, однако в общемировой статистике таких примеров можно вспомнить немало.

Согласно аналитическому отчету InfoWatch по глобальному исследованию утечек конфиденциальной информации только в первом полугодии 2016 года в мире было зафиксировано 23 «мега утечки», в результате каждой утекло более 10 млн персональных данных, а в общем счете было скомпрометировано более миллиарда записей. В распределении утечек по регионам Россия уже более трех лет занимает «почетное» второе место после США.
Интересно отметить, что покупателями личных данных на «черном рынке» являются не только мошенники, но и крупные корпорации, преследующие не совсем благородные цели: отправка таргетированной рекламы, обзвон потенциальных клиентов и др.

Высокая периодичность утечек персональных данных, а также растущая ценность такой информации на «черном рынке» стали причиной планируемых в начале 2017 года в КоАП РФ новых составов административных правонарушений для компаний – операторов персональных данных. Так 11 января успешно прошло второе чтение законопроекта об увеличении штрафов в части нарушения требований по защите персональных данных. После принятия новых поправок размеры штрафных санкций для компаний, не обеспечивающих должную защиту личных данных, будут увеличены в несколько раз.

Озабоченность относительно сохранности личных данных инициировало масштабную реорганизацию законодательства о защите информации в Европе. Весной 2016 года Еврокомиссия приняла документ Global Data Protection Regulation (GDPR), который заменит устаревшие общеевропейские законы о приватности (принятые в 1995 году) и станет обязательным для всех стран Евросоюза (вступает в силу 4 мая 2018 года). Изменения в GDPR включают более серьезные санкции для компаний-нарушителей законодательства ЕС о приватности и могут привести к штрафу в размере до 20 млн. евро.

Михаил Пиняев, маркетолог аналитик «МФИ Софт»

Утечки подобных баз данных, к сожалению, не редкость. В данном случае примечателен не объём данных, а количество источников — лот является компиляцией данных различных интернет-компаний, входящих в конгломераты — NetEase inc и Yeah.net.

Можно предположить, что данные были получены в результате либо атаки на дата-центры компаний, либо в результате крупного инсайда.

В базах данных содержатся логины и пароли, часть из них — в формате открытого текста, другая часть зашифрована, но содержит MD5 хеши, а значит, расшифровать их несложно.

В результате мы имеем колоссальную по своим размерам базу данных учётных записей с паролями от различных сервисов, которые могут использоваться злоумышленники в совершенно различных целях.

Кто является покупателем таких баз?

Покупателями таких баз могут выступить организаторы спам-рассылок, как рекламных, так и вирусных – с целью создания ботнетов или проведения рассылок ransomware. Покупка доступа к почтовым ящикам может интересовать и злоумышленников с криминальным мотивом – для сбора компромата, хищения данных с дальнейшим шантажом их владельца и т.д.

Сколько может стоить такая база на черном рынке?

Стоимость баз данных напрямую зависит от обогащённости и количества записей. Вполне вероятно, что из всего массива могут быть получены небольшие, но ценные базы данных, содержащие информацию, например, о представителях бизнеса или политики. Согласно результатам исследования «Черного рынка» баз данных http://www.mfisoft.ru/analyst/events_92.html , в России ценник за такую информацию может достигать 10 руб. за одну запись. В целом же, стоимость информации в нелегальных базах обычно крайне мала, может падать до 0,004р. за запись, если мы говорим о содержании информации в виде «ФИО — электронная почта».

Заинтересованы ли спецслужбы других стран в покупке подобных баз?

Небольшая вероятность такого интереса есть. Не исключено, что в таком большом объёме данных может встретиться информация о лицах, представляющих повышенный интерес для разведки, но для этого придётся искать иголку в стоге сена, поэтому для этих целей покупка этой базы не очень эффективный шаг. А вот использование баз для распространения различного вредоносного ПО так называемыми правительственными хакерами, — вполне возможно.

Денис Суховей, руководитель департамента развития технологий, компания "Аладдин Р.Д."

Угрозы утечек информации из баз данных являются на сегодняшний день наиболее катастрофичными по масштабам последствий.

Крайне важно отметить то, что данные утекают даже из СУБД, которые защищены комплексными системами информационной безопасности (КСИБ), которые прошли сертификацию по ISO 27001. В чем причины такого повсеместного проникновения злоумышленников в базы данных? Как всегда, таких причин несколько.

Технологическая сложность СУБД

Современные информационные системы построены на сложной, многоуровневой бизнес-логике, поэтому информационная модель, построенная в СУБД такой системы, имеет еще большую технологическую сложность. Вследствие этого СУБД становится «черным ящиком». При возникновении вопросов обеспечения защиты данных в такой СУБД у владельцев информационной системы возникает паника и отторжение – «вдруг все сломается!»

Загруженность современных СУБД

Объемы обрабатываемых в современных СУБД данных очень большие, количество транзакций (обращений к базе данных) только возрастает. Крупная информационная система, использующая свои технические ресурсы менее чем на 60% на сегодняшний момент большая редкость. Все это порождает опасения использования накладных средств защиты информации в СУБД – «Ведь СУБД и так загружена, если установить защиту вообще все перестанет работать».

Организационные сложности

Администратор СУБД в современной организации является «неприкасаемой персоной», от которой зависит непрерывность бизнес-процессов, стабильность и эффективность процессов обработки данных. При этом администраторы СУБД практически бесконтрольны в своих действиях при доступе к информации в базах данных. Любые предложения по применению средств защиты информации в СУБД встречают аргументы типа – «Установленные средства защиты и политики безопасности будут препятствовать нормальному администрированию СУБД и снизят эффективность настроек базы данных». Админы СУБД не желают попадать под мониторинг службы безопасности, даже если нет преступных намерений.

Банальный дефицит информации и решений на рынке

Рынок ИБ сегодня «обходит» тему защиты информации в СУБД, при этом актуальность угроз (см. выше) и востребованность защиты от подобных случаев крайне высокая. Зачастую у владельцев информационных систем нет даже минимального представления о методах защиты информации в СУБД и решениях, которые реализуют такую защиту.

По моему глубокому убеждению, без обеспечения криптографической защиты конфиденциальной информации в СУБД любая современная информационная система находится под угрозой утечки ценных данных. Одним из примеров обеспечения надежной защиты конфиденциальности данных в СУБД является отечественный продукт компании "Аладдин Р.Д." – "Крипто БД". Продукт позволяет наложить выборочную криптографическую защиту на самые ценные и критичные данные в СУБД, при этом решается множество попутных задач защиты информации:

- защита от Админа СУБД;

- обеспечение независимой и защищенной регистрации событий доступа к информации в СУБД;

- предоставление третьим лицам тестовых массивов данных (с соблюдением конфиденциальности);

- двухфакторная аутентификация и разграничение прав доступа пользователей при работе с защищаемой информацией.