DLBI: исследование утечек данных

--> Дата: Июл 25, 2022 68

Российский сервис разведки утечек данных и мониторинга даркнета DLBI представил результаты исследования крупнейших утечек данных 2022 г. В рамках исследования были проанализированы резонансные кейсы утечек, связанных с компаниями «Яндекс.Еда», СДЭК, «Гемотест» и Школой управления «Сколково», а также более полутора десятков менее масштабных утечек информации из российских компаний и интернет-сервисов.

По данным DLBI, основной тенденцией, качественно отличающей ситуацию этого года, стало доминирование нового источника утечек – взлома серверов баз данных, дампы (копии баз данных) которых хакеры выставляют на продажу. В общем числе утечек доля таких взломов составила 68%, а в общем объеме похищенных данных – 83%. При этом само число значимых утечек клиентских данных сохранилось на прежнем уровне (около 20 за полгода).

Вследствие изменения вектора атаки почти на порядок увеличился объем утечек (61 млн уникальных записей за 6 мес. 2022 г. против 6 млн за тот же период 2021 г.), а также резко выросло количество похищенных неуникальных данных (информация о транзакциях, логи действий) – оно достигло уже 2,4 млрд записей, что беспрецедентно для российской сферы инфобезопасности. По данным DLBI, через взлом серверов баз данных были похищена, в частности, информация о клиентах «Яндекс.Еды», СДЭК, Delivery Club и школы «Сколково», а также пользователей сети порталов Rugion.ru.

Похищенные данные, по мнению экспертов DLBI, пока используются для экспериментального обогащения баз данных и обычного фишинга. Однако объединение баз нескольких крупных сервисов, например СДЭК и «Яндекс.Еды», с данными операторов связи позволяет получить действительно конфиденциальную информацию о пользователях, такую как реальное место жительства, платежеспобность, круг знакомств и многое другое, что может стать основой для новых мошеннических схем.

Как поясняют в DLBI, доступ к серверам баз данных хакеры получают множеством способов: от заражения рабочих мест ИТ-специалистов стиллерами (специализированным ПО, ориентированным на кражу паролей и сессионных cookie) до поиска и эксплуатации уязвимостей в системах удаленного доступа (RDP и VPN-подключений), а также в самих SQL-серверах или CMS-системах. Кроме того, все активнее используется анализ проектов компаний, выложенных на GitHub, в которых также нередко можно найти данные для доступа к внутренним ресурсам. При таком подходе, отмечают эксперты, опасности подвергаются в первую очередь крупные компании, со множеством сотрудников ИТ-служб и обширной инфраструктурой с большим числом серверов и точек удаленного доступа.