Топ-7 утечек на Западе: штрафы и последствия

Yahoo: 2013–2014

Обстоятельства утечки. В 2013 и 2014 годах Yahoo дважды пострадала от хакеров. В сеть утекли имена, адреса электронной почты, номера телефонов, контрольные вопросы и незашифрованные пароли от всех 3 млрд учётных записей пользователей.

Компания признала эти факты только в 2016 году, не забыв занизить размер утечки до 1 млрд учётных записей. Истинный масштаб проблемы раскрыла Verizon после покупки Yahoo в 2017 году: на самом деле пострадало 3 млрд аккаунтов.

Юридические последствия. Комиссия по ценным бумагам и биржам США оштрафовала Yahoo на 35 млн долларов за нарушение пункта 503(c) Положения S-K. По нему Yahoo была обязана раскрыть данные об утечках, чтобы не вводить в заблуждение инвесторов, которые рискованно вкладывали деньги в небезопасную компанию.

Федеральная торговая комиссия США указала на нарушения раздела 5(a) Закона о Федеральной торговой комиссии, касающегося обманных методов обеспечения безопасности. Кроме того, компания получила 41 коллективный иск в соответствии с Законом о хранении сообщений (18 U.S.C. § 2701), где Yahoo обвиняли в халатности при защите пользовательских данных. По ним компания выплатила 55 млн долларов в качестве компенсаций.

Изменения в безопасности. После покупки компания Verizon обязала Yahoo внедрить:

• аппаратные ключи безопасности для всех привилегированных учётных записей;
• протоколы шифрования с квантовой устойчивостью;
• мониторинг прозрачности сертификатов в режиме реального времени;
• автоматизированные системы проверки целостности резервных копий.

Equifax: 2017

Обстоятельства утечки. В сентябре 2017 года стало известно о масштабной утечке в Equifax — одной из крупнейших кредитных организаций США. Хакеры воспользовались уязвимостью Apache Struts (CVE-2017-5638) и похитили персональные данные 145,5 млн человек: имена, даты рождения, адреса, платёжные карты, номера соцстрахования, данные водительских удостоверений.

Проникновение заметили только 76 дней спустя, когда служба ИБ начала штатную проверку инфраструктуры и обнаружила нетипичные команды в зашифрованном трафике. А системы обнаружения вторжения не сработали, потому что срок действия сертификата истёк за 10 месяцев до инцидента, соответственно, всё это время трафик не инспектировался.

Об утечке компания официально сообщила лишь через несколько месяцев после взлома, что вызвало серьёзную волну общественного недовольства и судебных исков.

Юридические последствия. В 2019 году Equifax признали виновной в нарушении:

1. Раздела 5(a) Закона о Федеральной торговой комиссии, который запрещает «несправедливые или обманные действия или практики» в коммерческой деятельности.
2. Закона о кредитных отчётах, который обязывает организации, собирающие и обрабатывающие кредитные данные, применять надлежащие меры безопасности для защиты информации, а также оперативно раскрывать информацию об утечках, которые могут повлиять на права граждан.
3. Закона о защите личной информации, который требует, чтобы финансовые организации разрабатывали, внедряли и поддерживали комплексную программу по защите личной информации клиентов.

В результате компания выплатила 700 млн долларов в рамках мирового соглашения с Федеральной торговой комиссией США (FTC), с Комиссией по ценным бумагам и с прокуратурами нескольких штатов. Из них 425 млн — в качестве компенсаций пострадавшим.

Изменения в безопасности. Кроме финансовых санкций и массовых исков пострадавших, Equifax обязали провести комплексную модернизацию систем безопасности, результатом которой стало:

• развитие внутренних процессов реагирования на инциденты;
• внедрение обязательных автоматических обновлений критических систем;
• централизованный мониторинг уязвимостей;
• проведение регулярных тренингов по вопросам безопасности персонала;
• усиление контроля за поставщиками и подрядчиками, имеющими доступ к данным.

Aadhaar: 2018

Обстоятельства утечки. Национальная система идентификации Индии, использующая собственный сервис Aadhaar, подверглась взлому через незащищённые конечные точки API сайта государственной коммунальной компании Indane.

В результате злоумышленники получили доступ к данным 1,1 млрд граждан, включая имена, адреса, фотографии, номера телефонов, электронные адреса, а также биометрию. Из-за того, что биометрические данные нельзя изменить, хакеры ещё два месяца продолжали массово красть личную информацию пользователей.

Юридические последствия. Нарушение соответствовало статьям 43A и 72A Закона Индии об информационных технологиях, но Aadhaar не понёс по ним ответственности. Компанию лишь обязали модернизировать ИБ.

Изменения в безопасности. Конфиденциальность была признана основным правом в соответствии со статьёй 21 Конституции Индии ещё в 2017 году. Но Управление по уникальной идентификации Индии (UIDAI) только после утечки обязало Aadhaar внедрить:

• мультимодальную биометрическую аутентификацию;
• генерацию виртуального идентификатора для сторонней проверки;
• ограниченный KYC (Know Your Customer) в рамках архитектуры расширения возможностей и защиты данных.

First American: 2019

Обстоятельства утечки. Уязвимость IDOR (Insecure Direct Object Reference — «Незащищённая прямая ссылка на объект») в корпоративном приложении страховой компании First American Financial раскрыла для злоумышленников доступ к 885 млн документов с записями о клиентах.

Файлы, хранившиеся на сайте компании, содержали номера банковских счетов, банковские выписки, записи об ипотеке, налоговые документы, квитанции о переводах и номера социального страхования, датированные 2003 годом.

Департамент финансовых услуг Нью-Йорка выявил 23 нарушения правил кибербезопасности, связанных с реализацией принципа наименьших привилегий, ведением журналов аудита для доступа к документам и проведения тестирований на проникновение.

Юридические последствия. За нарушение раздела 23 свода правил и норм, регулирующих требования к кибербезопасности, компания выплатила штраф в размере 1 млн долларов, а также обязалась соблюдать установленные стандарты кибербезопасности.

Изменения в безопасности:

• Внедрили архитектуры нулевого доверия (Zero Trust), при которой ни одной системе, пользователю или устройству не доверяют по умолчанию и постоянно проверяют.
• Стали проводить ежегодные аудиты SOC 2 (System and Organization Controls 2), которые проверяют эффективность внутренних контролей и процессов организации в течение определённого периода.

Фейсбук: 2019

Обстоятельства утечки. Злоумышленники использовали API для импорта контактов Фейсбука* с помощью автоматизированных инструментов для сбора данных, скомпрометировав 533 млн пользователей. Всё произошло в 2019 году, но известно об утечке стало только в 2021 году, когда архив с данными появился на хакерском форуме в открытом доступе.

Кроме номеров телефонов, утекли идентификаторы Фейсбука, полные имена, местоположения, даты рождения и в некоторых случаях адреса электронной почты, работодателей, пол и статусы отношений. Интересно, что среди пострадавших оказалось и руководство соцсети: сам Марк Цукерберг и соучредители Крис Хьюз и Дастин Московиц.

Юридические последствия. Штраф в размере 265 млн евро по GDPR (General Data Protection Regulation — «Общий регламент по защите данных»), который регулирует правила обработки и защиты персональных данных на территории Европейского союза.

Изменения в безопасности:

• Внедрили обязательные ежегодные аудиты.
• Стали проводить проверки конфиденциальности всех новых функций.

LinkedIn: 2021

Обстоятельства утечки. Злоумышленники провели обратный инжиниринг API LinkedIn, используя безголовые браузеры и резидентные прокси-сети. И получили доступ к 700 млн профилей пользователей, содержащих полные имена, информацию о зарплате, геолокации и рекомендациях по навыкам.

Взлом продемонстрировал уязвимости в структуре REST API LinkedIn, которые позволяли перечислять идентификаторы пользователей с помощью предсказуемых последовательностей UUID.

Юридические последствия. В соответствии с Законом о борьбе с финансовыми преступлениями (18 U.S.C. § 1030), никаких финансовых санкций наложено не было, так как утёкшие данные размещались на страницах пользователей в открытом виде и были общедоступными.

Однако инцидент повлиял на положения Закона ЕС о цифровых услугах, касающиеся предотвращения «тёмных схем». Теперь запрещено использование дизайна, манипулирующего принятием решений. Например, вводящие в заблуждение кнопки вроде «Подтвердить», когда пользователь на самом деле подписывается на что-то другое.

Изменения в безопасности:

• Внедрили поведенческую биометрическую аутентификацию для доступа к API.
• Внедрили GraphQL API с детализированными разрешениями на уровне полей.
• Стали проводить непрерывный адаптивный скоринг рисков для подозрительных запросов.
• Отравили наборы данных с водяными знаками для предотвращения дальнейшего скрейпинга.

Гугл: 2024

Обстоятельства утечки. В марте 2024 года автоматизированный инструмент компании «Гугл» случайно опубликовал в общедоступный репозиторий на GitHub внутреннюю документацию из 2500 страниц. Среди обнародованных файлов оказались детали архитектуры поисковых алгоритмов, классификаторы спама, а также фрагменты системы ранжирования сайтов.

Это были конфиденциальные данные, из которых стало ясно, что Гугл вводила в заблуждение владельцев и создателей сайтов об особенностях ранжирования страниц в поиске. Например, стало известно, что на поисковую выдачу влияет срок создания сайта, хотя компания утверждала обратное.

А в июне 2024 года в сети всплыли отчёты сотрудников о происшествиях с 2013 по 2018 год. И мир узнал, что Гугл «случайно» записала голосовые данные около 1000 детей, использующих Google Ассистент в YouTube Kids. По официальной версии, это произошло из-за неправильной работы ассистента. Данные быстро удалили, а неисправность устранили.

Хотя голоса несовершеннолетних так и не попали в открытый доступ, но каждый хакер на планете понял: даже Гугл уязвима.

Юридические последствия. Утечки вызвали волну обсуждений в индустрии, в том числе поднялся вопрос о соответствии Гугла нормам GDPR и корпоративной ответственности за сохранность внутренних данных. Компания инициировала внутреннее расследование, публично признала факты и заявила об устранении причин происшествий.

Изменения в безопасности:

• Провели масштабный аудит информационной безопасности всех подрядчиков Гугла.
• Переработали соглашения об использовании корпоративных серверов.
• Усилили процессы аутентификации и сегментации доступа к критическим данным.

Как не стать жертвой утечек

Несмотря на огромные штрафы и имиджевые потери компаний, главными пострадавшими от утечек всегда являются обычные люди. При этом оценить масштабы экономического и психологического ущерба, который нанесён пользователям, невозможно.

Личная информация, попавшая к злоумышленникам, может использоваться для кражи личности, кибербуллинга, киберсталкинга и разного рода мошеннических схем.

Несмотря на то что государство уделяет большое внимание проблеме персональных данных, не стоит перекладывать на третью сторону всю ответственность за свои же данные. Важно следовать трём простым правилам:

• Не принимайте никаких решений под давлением. Попросите перезвонить через пару минут. Их бывает достаточно, чтобы обсудить вопрос с окружающими и понять, какие есть нестыковки в мошеннической схеме.
• Киберучения — эффективный метод подготовки к противодействию кибератакам, который можно проводить даже у себя дома. Обсудите с близкими, что вы будете делать в случае подозрительного звонка.
• В группе риска находятся не только дети и пожилые люди, но и те, кто убеждён, что с ним такого никогда не случится. Помните, что попасть может каждый, даже кибербезопасник. Поэтому, когда видите звонок с незнакомого номера или подозрительное письмо в своей почте, будьте бдительны и не выключайте внимание.

Как компаниям защищаться

Для повышения безопасности компании могут внедрить:

• политику минимального доступа: сотрудники должны иметь доступ только к тем данным, которые необходимы для выполнения их работы;
• обучение персонала: курсы по кибергигиене для сотрудников всех уровней и киберучения для развития навыков ИБ-специалистов;
• сторонний аудит: диагностика развития уровня SOC, ежегодные проверки независимыми экспертами;
• сценарные риски: постоянное тестирование будущих продуктов на возможные уязвимости.

*Деятельность компании Meta Platforms Inc., которой принадлежит указанная соцсеть, признана экстремистской и запрещена в РФ.