Хакер #305. Многошаговые SQL-инъекции
По сведениям Маркуса Уиттингтона, главного операционного директора компании
SentryBay, которая занимается предотвращением кражи идентификационных данных,
свыше четырех тысяч так называемых “законопослушных” сайтов продают информацию о
своих подписчиках или посетителях без их ведома.
Предоставленная им статистика основана на анализе всеобъемлющей базы данных,
составляемой организацией Lucid Intelligence. Эксперты Lucid занимаются в тем,
что составляют списки скомпрометированных данных пользователей, торговля
которыми осуществляется на “черном рынке”. В общей сложности, в базе содержатся
сведения о более чем сорока миллионах людей, чья персональная информация была
украдена подобным образом.
Уиттингтон отмечает, что во многих случаях данные, содержащиеся в базе Lucid,
явным образом указывают на источник утечки, которым зачастую являются те или
иные легитимные сайты, в частности – крупные новостные ресурсы. В
пользовательских соглашениях таких порталов мелким шрифтом указано, что они
имеют право предоставлять полученную от пользователей информацию третьим лицам.
Рано или поздно через побочные каналы подобные данные оказываются в руках
преступников или в открытом доступе.
Эксперт подчеркивает, что в последнее время крупные киберпреступные банды
прибегают к таким махинациям, при которых знание номеров и кодов кредитных карт
жертв уже не является необходимостью. Посредством кейлоггеров, фишинговых атак и
покупки пользовательских баз они собирают достаточно информации, чтобы создавать
для получения наживы достоверно выглядящие цифровые образы вымышленных людей.