Один лишь факт того, что утечка базы данных не привела к потере личной
информации, не говорит о том, что конечный ущерб будет незначительным.
В каком же случае утечка базы данных это и не утечка вовсе? Если ты сторонник
буквы закона, то возможно, ты скажешь, что это утечка, которая не приводит к
разглашению регламентированной информации, такой как номера кредитных карт или,
скажем, номеров социального страхования. Но если твоя организация – жертва, на первый взгляд,
незначительной атаки, которая приводит к разглашению таких вещей, как e-mail и
пароли, которые легко можно переназначить, то проблем может возникнуть гораздо
больше, чем ты мог бы подумать.
"Одна из проблем заключается в том, что для многих понятие "утечка данных"
синонимично с потерей личных данных. Опыт показывает, что утечки данных иногда
действительно связаны с личной информацией. Однако большой процент случаев
потери данных связан с финансовыми махинациями или важными корпоративными
данными, вирирующимися от данных о клиентах с паролями и e-mail до торговых
секретах и результатах финансовой деятельности до того как они были оглашены", -
рассказал Алан Бриль, менеджер в Kroll. "В том время как
любая утечка данных может быть пагубной для организации, потеря важной
корпоративной информации может повлечь за собой серьезные проблемы с репутацией
и финансовый ущерб".
Возьмем недавнюю утечку из базы данных медицинского факультета St. George's
University of London. База данных включала в себя e-mail адреса докторов и
медсестер Великобритании, а также электронную библиотеку (PCEL). Тот, кто
взломал базу данных, отправил на полученные адреса оскорбительные письма.
Помимо этого хакер осуществил следующую рассылку: "Дорогие пользователи PCEL,
если вы когда-либо были нашим пациентом, мы со скорбью сообщаем Вам, что
библиотека закрыта ввиду СПИДА. Спасибо за внимание" и еще "Дорогие
пользователи… Вы все ****… Идите и F****-yourself".
И хотя это, конечно, неловкая ситуация, кражи личных данных при рассылке
подобных писем не было. Однако определенный ущерб, несомненно, был нанесен.
Подобного рода пограничные утечки случаются все время. Вспомни волну утечек в
декабре, которые коснулись Gawker и
Silverpop и также, как и в случае с PCEL, не
привели к потере личных данных. Согласно некоторым экспертам главная опасность
незначительных утечек заключается в том, что обычно они являются предвестником
больших корпоративных проблем.
"Если компании не обеспокоены защитой почтовых адресов и паролей, это первый
звоночек того, что они не обеспечивают надежную защиту как таковую", -
предупреждает Джон Силео, эксперт по утечкам данных и автор книги Privacy Means
Profit. "Они, конечно, могут сделать больше для защиты номеров кредитных карт
или номеров банковских аккаунтов, но главное не в этом, а в том, что нет
культуры безопасности. Они прилагают минимальные усилия для ее
развития, и эта проблема их пока мало интересует".
Проблема также заключатся в том, что украденные e-mail и пароли могут
подвергнуть информацию клиента риску, что в свою очередь подвергнет риску
репутацию и самой компании.
"Будут ли клиенты вам в дальнейшем доверять? Последствия могут ощущаться спустя
месяцы после утечки данных", - предупреждает Славик Маркович, технический
директор Sentrigo. "Почтовые адреса часто используются в качестве имени
пользователя, и очень часто на сайтах, где не хранится важная информация, люди
используют очень простые пароли. Зная список всех зарегистрированных
пользователей и имея немного времени для осуществления брутфорса, хакеры с большой
долей вероятности получат доступ к подобным аккаунтам, а с ним и к личным данным,
которые пользователь указал при регистрации. Получив логин и пароль в результате
утечки или брутфорса, хакеры в дальнейшем могут попытаться применить их и для
других популярных сайтов, где пользователь, возможно, использовал тот же
пароль".
Согласно Силео, подобные утечки - это не только показатель низкой культуры
безопасности, но и того, что компания предрасположена к более существенным
утечкам данных.
"Если вы видите компанию, которая теряет свои адреса и несерьезно к этому
относится, то можно с уверенностью сказать, что в следующие несколько лет у нее
будет более крупная утечка данных".
А с технической точки зрения подобные "изолированные" вмешательства в базы
данных на самом деле могут оказаться не такими изолированными, как полагают
компании их претерпевшие.
"До тех пор пока не известны детали того, как произошла утечка базы данных,
организациям нужно быть начеку. Если кто-то добрался до сервера с базой данных,
он может использовать идентичные приемы для использования слабых мест на более
важных системах", - поясняет Маркович. "В некоторых случаях если первоначальная
утечка дает привилегированные права доступа в базе данных, то с их помощью можно
получить доступ и к другим базам данных. Именно так и случилась крупнейшая
утечка в истории [Heartland Payment Systems]: хакеры сначала проникли в базы
данных с низкой защищенностью, а затем, через ряд других систем вышли на данные
о платежных картах".