Великий куш: чому стаються витоки даних?

28.05.2025, 11:02 kunsht.com.ua

У березні 2025 року дослідник безпеки Трой Гант написав1 у блозі, що став жертвою фішингової атаки. Як наслідок, стався витік 16 тисяч електронних адрес його підписників на Mailchimp. Хоча масштаби не були критичними, випадок показовий: Гант — засновник сервісу HaveIBeenPwned і фахівець, який десятиліттями працює з темою витоків даних. Тож це хороше нагадування, що навіть досвідчені експерти можуть «повестися» на банальний фішинг, а ще — як людський фактор може зіграти ключову роль у кібербезпеці.

Тож з’ясуймо, чому і як відбуваються витоки даних, чи можна їм запобігти і що робити, якщо ваші дані вже опинились у зливі.

Здебільшого сервіси зацікавлені, щоб витоків даних не ставалося, адже це завдає їм як репутаційних, так і фінансових втрат. Утім, ніхто не застрахований, оскільки програмне забезпечення створюють і обслуговують люди. І саме на людську помилку зазвичай розраховують зловмисники. Тому важливо, як компанії підходять до захисту даних користувачів: які мають політики та практики безпеки, які технічні й фінансові ресурси залучають і як реагують у разі витоку.

Наприклад, у 2022 році стався витік у менеджера паролів LastPass, тож під загрозою опинилися акаунти мільйонів користувачів. Як це сталося? Ймовірно, через фішинг одного зі співробітників, який мав доступ до резервних копій баз із зашифрованими контейнерами з паролями та нотатками користувачів. Зловмисники також скопіювали інформацію з резервної копії, яка містила основні дані про акаунти клієнтів та метадані: назви компаній, імена користувачів, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси клієнтів.

Дані у сховищі були зашифровані за стандартом AES-256 і доступні лише через майстер-пароль — без нього зловмисники не могли переглянути вміст контейнерів. Тож усе залежало від того, наскільки сильний пароль мав користувач. Тому вже за кілька місяців після зламу вони почали розсилати фішингові листи2, щоб ці паролі виманити.

У вересні 2023 року3 дослідники з безпеки заявили, що цей витік сприяв викраденню понад 35 мільйонів доларів із криптогаманців понад 150 жертв, адже всі вони зберігали свою «seed-фразу» (цифровий ключ для доступу до криптовалютних активів) у LastPass.

Ще однією проблемою є те, що на витоки технологічних гігантів або з держструктур ймовірніше звертають увагу журналісти та суспільство загалом, а от маленькі сайти з кількома тисячами користувачів, які мають слабку безпекову інфраструктуру, залишаються без уваги. Тож значно ймовірніше, що ви дізнаєтеся про витік Facebook чи LinkedIn, а не місцевої піцерії, кінотеатру чи служби таксі. Але користувачеві, дані якого опинилися у зливі, все одно, чи це база даних на 10 тисяч користувачів, чи на 5 мільйонів.

Причина проста — гроші. Що більшу базу даних отримав зловмисник після витоку, то більше грошей він отримає. Великий масив даних про користувачів та їхню поведінку компанії, політики, хакери використовують для маркетингових досліджень, для подальших зламів і навіть впливу на вибори.

У цьому матеріалі ми зосередимося саме на зборі так званих credential stuffing — викрадення даних для входу в акаунти: пошт, номерів телефонів та паролів. Це відкриває доступ до широкого спектру подальших кібератак.

Наприклад, після зламу акаунта зловмисники часто розсилають фішингові повідомлення з проханням переказати гроші або шантажують власника, особливо якщо акаунт популярний чи адмініструє сторінки. Або ж дані з витоків можуть потрапити у відкритий продаж і використовуватися для цільових атак — зокрема проти журналістів, активістів чи жертв сталкінгу. Існують сервіси, які продають доступ до таких баз за кілька доларів.

Або ж, напевно, ви памʼятаєте скандал з Cambridge Analytica та Facebook? Тоді через додаток This is Your Digital Life незаконно отримали дані про поведінку 87 мільйонів користувачів Facebook. Якщо люди користувалися додатком, вони мали надати згоду про доступ до певних даних: дати народження, списку друзів, постів та навіть особистих повідомлень у Facebook. Окрім цього, компанія отримувала інформацію не лише про користувача, але і його друзів. Після цього Cambridge Analytica формувала психологічний портрет людей і на його основі створювала таргетовану політичну рекламу, аби сприяти підтримці виборчої кампанії Трампа4 чи виходу Британії з ЄС.

Будь-який сервіс, яким ми користуємось, збирає про нас дані для реєстрації, надання послуг, зручності користування та таргетованої реклами — згадаймо, скільки є конспірологічних теорій про те, як компанія Meta отримує цю інформацію.

Загалом дані бувають загальнодоступні або конфіденційні (тобто такі, що мають обмежений режим доступу). Цей поділ допомагає визначити, що потребує найбільшого захисту, як сервісам, які обробляють ці дані, так і регуляторним органам, які визначають правила обробки, а також санкції за недотримання правил.

Тема конфіденційності почала привертати увагу ще з 1990-х, коли технологічні компанії почали обробляти, зберігати та використовувати дедалі більше даних. Багато організацій стали впроваджувати заходи для захисту важливої інформації. Так почали зʼявлятися нормативні акти та регуляторні органи, які це контролюють.

Одним із ключових документів у сфері наразі є Загальний регламент про захист даних, відомий як GDPR. Він застосовується до будь-якого бізнесу, що обробляє дані громадян або резидентів ЄС, незалежно від того, де цей бізнес працює. Крім того, GDPR визначає зобовʼязання компаній у разі витоків даних і передбачає відповідальність за порушення, зокрема штрафи.

Наприклад, компанії, що обробляють дані резидентів ЄС, згідно з регламентом5 зобов’язані повідомити наглядовий орган про витік не пізніше ніж через 72 години після того, як дізналися про нього. Винятком є ситуація, коли він не несе ризику для прав і свобод людини. Крім того, компанії зобов’язані інформувати6 й самих користувачів про витік — зрозумілою мовою пояснити суть порушення та надати ключову інформацію про ризики й вжиті заходи.

Якщо цього не станеться, регламент передбачає штрафні санкції7. Залежно від серйозності порушення компанія буде змушена оплатити штраф «в розмірі до 10 мільйонів євро або 2% від світового річного доходу фірми за попередній фінансовий рік, залежно від того, яка сума вища» при менш серйозних порушеннях. А от серйозніші порушення, що «суперечать самим принципам права на приватність та права на забуття можуть призвести до штрафу в розмірі до 20 мільйонів євро або 4%».

Щодо українського законодавства, то у сфері персональних даних воно залишається застарілим порівняно з європейськими стандартами.

За словами юристки Лабораторії цифрової безпеки Тетяни Авдєєвої, українському законодавству бракує багатьох концепцій, які наразі присутні в GDPR: права на забуття, вимог щодо оцінки впливу певної діяльності на захист даних, обовʼязку призначати уповноважену із захисту даних особу всередині організації/компанії. Крім того, проблемним є правозастосування: чинний закон має надзвичайно низькі штрафи, що перетворюють санкції на «плату за порушення», а також не має незалежного наглядового органу, який може стежити за дотриманням закону різними гравцями.

«Водночас в Україні вже ухвалили в першому читанні законопроєкт 8153, який спрямований на імплементацію GDPR. Планується розробити й законопроєкт щодо діяльності регулятора із захисту даних, втім, наразі ведуться дискусії щодо варіантів дизайну такого наглядового/регуляторного органу», — каже Авдєєва.

У 2019 році Трой Гант виявив8 скомпільовану (зібрану з різних джерел) базу данних із 2,7 мільярдами записів, які містили 773 мільйони унікальних поштових адрес — один із найбільших витоків під назвою Collection#1.

Електронні пошти користувачів цієї бази Трой додав на свій сайт Haveibeenpwned?, щоб ті могли дізнатися, чи фігурують їхні дані у цьому зливі.

Після цього дедалі більше компаній та урядових структур по всьому світу почали співпрацювати з Гантом, щоб також повідомляти користувачів про зливи. Наприклад, Firefox інтегрував сервіс у браузер і сповіщає користувачів, якщо їхні збережені паролі є у зливах.

Google після того, як інтегрував збережені у Google Chrome паролі в Google Password Manager, дозволяє переглянути, чи фігурують паролі у зливах. Наразі ледь не кожен парольний менеджер має інтегровані системи моніторингу витоків та повідомляє користувачів, якщо їхні паролі там знаходять. Це зручніше, ніж Haveibeenpwned, адже дозволяє побачити, які саме паролі злиті.

Окрім цього, у 2023 році Google запустив функцію моніторингу «Звіт із темної мережі»9. Вона відрізняється від перевірки збережених паролів, адже тут можна перевірити, які дані є у витоках загалом, а також паролі, які не збережені в Google.

Якщо ви знайшли свої дані у зливі, насамперед не варто панікувати. Що старіша ваша пошта, що більше ви реєструєте її на певних сервісах, то більша ймовірність, що дані, повʼязані з нею, будуть у витоках.

Варто уважно подивитися, які саме дані під загрозою. Це може бути пошта і номер телефону — неприємно, але якщо ми активно використовуємо або те, або інше, це не є великим секретом. Часом у зливах можуть фігурувати дані про стать, дата народження, юзернейми тощо. Звичайно, їх зловмисники можуть використовувати для покращення своїх атак, додаткового пошуку інформації про вас тощо. Але нас цікавлять паролі.

Якщо пароль опинився у витоку, спершу визначте, що це за пароль та чи актуальний він. І якщо так, змінити його. Ось тут корисною є звичка створювати унікальні паролі, адже вам не доведеться пригадувати, де ж іще ви могли його використовувати. Та й змінювати пароль потрібно буде лише на одному сайті, а не на кількох.

Компанії не можуть гарантувати безпеку, а лише мінімізувати ризики. Крім цього, з моменту витоку можуть пройти місяці. Водночас повністю відмовитись від користування сервісом не завжди реалістично, адже на вибір впливають багато чинників, і безпека не завжди є вирішальною. Втім, і нехтувати нею не можна, тож важливо коректно налаштовувати сервіси, якими ви користуєтесь.

База, ґрунт, фундамент — це унікальний пароль10. Здавалося б, проста рекомендація, але така не

Читати повністю…