16 мая 2019, 21:25

Люди, деньги и закон. Как база данных с паспортами российских туристов оказалась в интернете

Читать 360tv в

Паспортные и другие данные клиентов российских турагентств оказались в открытом доступе. Все они содержались в базе сервиса «Слетать.ру». В настоящее время ее закрыли. Эксперты по информационной безопасности рассказали «360», как данные могут использоваться злоумышленниками и почему происходят утечки.

Утечку информации обнаружила компания DeviceLock, сообщает «Коммерсант». По словам основателя и техдиректора компании Ашота Оганесяна, в ней содержались логины и пароли нескольких сотен турагентств, сотрудничавших с сервисом. С их помощью можно было входить в личные кабинеты операторов и получать доступ к паспортным данным, билетам и 1,7 тысячи электронных адресов клиентов. Сведения были свежими — с марта 2018-го по май 2019-го года. 10 мая представители DeviceLock проинформировали об этом «Слетать.ру» и в тот же день базу закрыли.

В «Слетать.ру» и Ассоциации туроператоров России от комментариев отказались. В попавшей в Сеть информации не содержалось банковских данных клиентов. Однако директор Учебного центра SearchInform, специалист по информационной безопасности Алексей Дрозд пояснил «360», что базой могли заинтересоваться злоумышленники. Паспортные данные, в том числе могут использоваться для угона каршеринговых авто на разборку.

«Чтобы зарегистрироваться в каршеринге, мне надо предоставить определенный набор документов. Покупаете этот набор, фотошопите. Не все каршеринговые компании требуют личного прихода в офис для заключения договора. Я данные подделал, предоставил, угнал машину. А придут и начнут предъявлять владельцу документов», — уточнил эксперт.

Также чужие персональные данные используются для легализации виртуальных денег. Для этого мошенники по чужим документам регистрируются на сайтах онлайн-казино и прогоняют через них средства, добытые нелегальным путем. Еще один вариант — регистрация сайтов противоправной направленности.

Это уже не первый случай масштабной утечки персональных данных в сеть. В октябре 2018 года в интернете появились имена, адреса электронной почты и пароли примерно 420 тысяч сотрудников Сбербанка. В апреле 2019 года достоянием общественности стал черный список Центробанка. В него попадали те, кому регулятор отказал в обслуживании по «антиотмывочному» закону.

Как сообщал «Коммерсант», огласке предали базу данных пациентов скорой помощи пяти подмосковных городов. А в мае из государственных информационных систем в интернет утекли личные данные более, чем 2,5 миллиона россиян. В том числе, Анатолия Чубайса, Аркадия Дворковича первого зампреда Госдумы Александра Жукова, телеведущего Владимира Соловьева и губернатора Ивановской области Станислава Воскресенского.

16 мая в открытый интернет-доступ попала база данных российских космических аппаратов, создание и запуск которых общественности не афишировали. В компании-разработчике частей спутников подтвердили РИА «Новости» достоверность обнародованных сведений.

Как относятся, так и утекает

Хакер Александр Варской сообщил «360», что информация, в современном мире, представляет собой «кипящую кашу». Честь ее — выплескивается из кастрюли, это и есть те самые утечки данных. Не всегда компании подходят к безопасности сведений должным образом, поэтому сливов, со временем, станет больше. А чтобы снизить их количество необходимо постоянно устранять возникающие в системе безопасности недочеты.

«Люди открывают бизнес, а сметы на безопасность никакой не открывают, я вас уверяю. Поэтому происходят инциденты, а деньги тратятся, только чтобы эти инциденты прикрыть», — добавил Варской.

Хотя для усиления безопасности, отметил он, многие зарубежные компании используют замечательный инструмент — программу оздоровления. Руководство организации нанимает хакеров, которые выискивают уязвимости сайта. В России, по его словам, «вы в лучшем случае будете посланы».

«Bug Bounty программы не работают у нас в стране, либо работают по каким-то издевательским условиям. Ну, представьте себе, какой-то огромный банк назначает награду 500 долларов за найденную „дыру“», — сообщил хакер.

И до тех пор, пока к безопасности будет такое отношение, а для обслуживание всей информационной компании будут содержать одного системного администратора, уверен Варской, будут происходить утечки.

Люди, деньги и закон

Алексей Дрозд объяснил, что утечки происходят из-за нескольких факторов. Первый, как водится, человеческий. Сотрудники забывают что-то закрыть, отключить или поменять какие-то пароли.

«А по Сети хватает кучи энтузиастов, у них есть автоматические инструменты, которые ищут это дело вот такие базы данных и пробую стандартные пароли, которые всем известны», — добавил эксперт.

Во-вторых, по его мнению, люди задумываются о безопасности информации в самую последнюю очередь. Главное, открыть сделать сервис, открыть турагентство и зарабатывать деньги. А безопасность — дополнительные траты. Ее рассматривают по остаточному принципу, надеясь, на авось.

Третий фактор — пассивный и зависит от государства. Штраф, который за утечку может получить юрлицо, отметил Дрозд, не превышает 100 тысяч рублей. То есть его можно покрыть прибылью от одного или нескольких клиентов. Поэтому тратиться на безопасность никто не хочет. Тем более, будет утечка или нет, заметят ее или не заметят — неизвестно.

«То есть я могу пять лет проработать, потом у меня наступит час икс и скажут: „Ай-ай“. Прискачет Роскомнадзор с шашкой наголо, скажет: „Штраф этому хлопцу“. И вот заплачу я 50 тысяч, и все. Буду работать дальше. То есть у меня нет финансовой мотивации сделать ситуацию лучше, потому что наказание — смехотворное», — подчеркнул эксперт.

Зашифровать в «кашу»

Абсолютной безопасности, по мнению эксперта, быть не может, уязвимости будут, периодически, возникать. Главное, сделать так чтоб стоимость взлома превышала стоимость полученной выгоды. Если будет экономически не выгодно, этим не будут заниматься.

Можно повысить защиту, шифруя данные, хранящиеся в базе. То есть менеджер вводит текстовые данные и отправляет в базу. Система автоматически их шифрует, и в реестр они попадают уже в измененном виде. В этом случае, даже если произойдет утечка, в руки злоумышленников попадет мешанина данных.

«Даже если бы все утекло, не страшно. Потому что, реальных данных злоумышленник, который все скачал, все равно бы не получил. Там была бы каша. Например, запись „xy1113“. И что можно по ней сказать? Это имя? Фамилия? Или год рождения?» — заключил Дрозд.

Реклама

Реклама