По следам Робина Гуда

По следам Робина Гуда

Кто не в курсе, недавно у одного из брокеров по имени Robinhood произошла утечка информации. Некто получил доступ к списку email-адресов порядка 5 млн пользователей, полные ФИО еще 2 млн пользователей. Несколько тысяч записей содержали номера телефонов. При этом номера банковских карт и социальной страховки не утекали, реализации идеологии сказочного персонажа не произошло. К чести службы ИБ брокера, они заметили этот инцидент. Судя по информации от Robinhood , утечка произошла в результате социальной инженерии, которую применили к сотруднику саппорта. 

Я, как и преобладающее большинство, не в курсе всей ситуации, но считаю, что некоторые организационно-технические меры могли бы помочь:

name='more'>

1. Процесс открытия доступа. Должно быть нельзя просто так взять и кому попало по звонку получить доступ к данным пользователей. Пользователи, заказывающие глазки от необходимости согласования доступа, знайте: такие меры защищают ваши же данные.


2. Наличие 2го фактора аутентификации. Получение доступа к данным других пользователей должно быть невозможно без дополнительного фактора аутентификации: номер телефона, специальным образом защищённое устройство доступа, токен, zero trust доступ в сеть и т.п. Даже если сотрудник технической поддержки клюнул на удочку, доступа не будет.


3. Запрет копирования. Даже при организации доступа откуда угодно можно очень усложнить вынос данных, ограничив копирование. Вынос нескольких миллионов записей через фото экрана станет очень неприятной и длительной процедурой. А в совокупности с необходимостью использования второго фактора аутентификации - ещё и неосуществимой.


И это самые базовые наброски, которые могли бы сделать чуточку счастливее брокера, который с луком и яйцами, но не пирожок.

Если кто более в курсе ситуации - милости прошу в комментарии.

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed