За первые четыре месяца 2023 года количество утечек данных из российских компаний увеличилось в 1,5 раза, по сравнению с аналогичным периодом прошлого года. За это время было зафиксировано 75 инцидентов, утекшие данные принадлежали в основном крупным финансовым и страховым организациям, компаниям из ИТ-отрасли и госсектора. В этой статье Юрий Шабалин, ведущий архитектор Swordfish Security, поговорит о недавних инцидентах и разберется, как злоумышленники могут использовать утекшую информацию для нарушения безопасности мобильных приложений.
Утечки данных в 2023 году
По информации «Лаборатории Касперского», за период с января по май 2023 года в сети было опубликовано 197 млн строк пользовательских данных. В текущем году злоумышленники сместили фокус внимания на крупные компании — в 2022 году инциденты с утечками в основном касались малого и среднего бизнеса. Также изменился подход к публикации: всё чаще хакеры сообщают об утечках в Telegram-каналах, раньше они использовали для этого преимущественно теневые форумы. Злоумышленники по-прежнему стараются оперативно сделать данные публичными — около 50% сообщений были размещены в сети в течение месяца после получения информации.
Недавно произошла целая серия утечек данных из 12 крупных компаний, среди которых оказались торговые сети «Ашан» и Gloria Jeans, интернет-магазин Book24 — они уже подтвердили факт «слива». В число остальных организаций, подвергшихся утечке, предположительно, входят сети «Твой дом», Askona, «Леруа Мерлен», «ТВОЕ» и «Читай-город», сайты «Буквоед» и «Едим дома», платформы издательств «Эксмо» и «АСТ», курорта «Роза Хутор». Практически все «слитые» базы содержат уникальные email-адреса и номера телефонов в открытом или слабо защищенном виде.
Согласно данным «РТК-Солар», за первые четыре месяца текущего года в свободном доступе оказалось более 1,1 ТБ конфиденциальных данных россиян. В этот объем входят свыше 61 млн email-адресов и 144,3 млн телефонных кодов. В Роскомнадзоре утверждают, что в 2023 году утечки стали менее масштабными, по сравнению с инцидентами прошлого года, — снизилось среднее количество строк в базах. Но злоумышленникам всё равно хватит данных, чтобы «поломать» безопасность мобильных приложений и нанести ущерб тысячам пользователей.
Утекшие данные и безопасность мобильных приложений
Казалось бы, что тут такого: у компаний произошли утечки данных, они попросили пользователей сменить пароли, извинились, и со временем все забыли о случившемся. Но если посмотреть на эту ситуацию под другим углом, вскроются интересные детали. С помощью «слитых» баз злоумышленники могут сопоставить email-адреса пользователей и их пароли применительно к конкретным сервисам. Поскольку 59% россиян используют одинаковые пароли для разных аккаунтов, утекшие данные могут стать универсальным инструментом для взлома целого ряда учетных записей в приложениях, в которых зарегистрированы пользователи.
Весьма вероятно, что в утекших базах среди аутентификационных данных злоумышленникам встретится та самая пара, которая подойдет к облачному хранилищу Apple или Google. Получив доступ к «облаку», хакеры могут с помощью специального программного обеспечения завладеть большим объемом конфиденциальной информации, в том числе резервными копиями приложений. И это представляет большую опасность для пользователей.
Как мы уже не раз говорили, наиболее распространенной уязвимостью в мобильных приложениях является небезопасное хранение чувствительных данных. Во многих мобильных продуктах пароли, пин-коды, паспортные данные пользователей, сессионные идентификаторы и другая конфиденциальная информация содержатся в открытом виде. Как правило, всё это попадает в облачные резервные копии. Если злоумышленники доберутся до копий, вероятно, им станут доступны перечисленные данные. Это может грозить клиентам не только полной потерей аккаунтов, но и финансовым ущербом.
Динамичный рост уровня проникновения облачных технологий в цифровую среду, популярность и удобство синхронизации между разными устройствами полностью развеивают устоявшийся миф о том, что для реализации угроз безопасности в мобильных приложениях нужен физический доступ к смартфонам. Всё, что на самом деле требуется злоумышленникам, это рабочие инструменты, которыми, как мы уже выяснили, могут стать утекшие данные.
Рекомендации по безопасности
Для разработчиков. Многие сохраняют пользовательские данные в незащищенном виде в песочнице мобильных приложений с полной уверенностью в том, что это безопасно. Разработчики считают, что песочница находится под надежной защитой механизмов операционной системы, данные доступны только одному приложению, поэтому у посторонних нет возможности их извлечь. Но на самом деле есть множество способов, которые позволяют завладеть информацией, например, можно использовать те же самые облачные и локальные резервные копии. Кроме этого, не все технологии и инструменты шифрования способны обеспечить безопасное хранение данных на устройстве. Поэтому нужно обязательно защищать конфиденциальную информацию пользователей, чтобы злоумышленники не добрались до нее из-за ошибок в приложении или с помощью своих хитрых схем.
Для пользователей. Утечки данных в большинстве своем не зависят от поведения клиентов. Многие инциденты происходят в результате взлома баз данных сервисов или «слива» инсайдерской информации. Но если соблюдать несколько важных правил безопасности, это усложнит жизнь злоумышленникам и сделает последствия утечек менее болезненными. Во-первых, везде стоит устанавливать разные пароли, состоящие из сложных комбинаций букв, чисел и специальных знаков: в случае утечки хакеры смогут скомпрометировать только один аккаунт, а не все сразу. При этом пароли желательно обновлять каждые три месяца, ведь инциденты происходят постоянно, но не обо всех них пишут в новостях. Во-вторых, там, где это возможно, нужно использовать двухфакторную аутентификацию, она помешает злоумышленникам, даже если у них будут данные для входа. В-третьих, при регистрации в приложениях лучше заполнять только обязательные поля, например с логином и паролем. Чем меньше личной информации, тем сложнее злоумышленникам сопоставлять данные и идентифицировать конкретного пользователя.
Выводы
В условиях глобальной цифровизации конфиденциальные данные пользователей приобретают всё большую значимость. При поверхностной защите они становятся универсальным ключом от многих «дверей», значительную часть которых составляют мобильные приложения. Тенденция роста числа утечек данных и других инцидентов в очередной раз подчеркивает то, что компаниям-разработчикам пора пересмотреть свое отношение к безопасности и улучшить процессы обеспечения защиты. Сегодня это в одинаковой степени важно как для самих организаций, так и для их клиентов — ведь пользователи читают новости и хотят быть уверенными в том, что их данные в безопасности.
Автор: Юрий Шабалин, ведущий архитектор Swordfish Security.
