По следам Робина Гуда

Дата: 20.11.2021. Автор: Андрей Дугин. Категории: Блоги экспертов по информационной безопасности
По следам Робина Гуда

Кто не в курсе, недавно у одного из брокеров по имени Robinhood произошла утечка информации. Некто получил доступ к списку email-адресов порядка 5 млн пользователей, полные ФИО еще 2 млн пользователей. Несколько тысяч записей содержали номера телефонов. При этом номера банковских карт и социальной страховки не утекали, реализации идеологии сказочного персонажа не произошло. К чести службы ИБ брокера, они заметили этот инцидент. Судя по информации от Robinhood, утечка произошла в результате социальной инженерии, которую применили к сотруднику саппорта. 

Я, как и преобладающее большинство, не в курсе всей ситуации, но считаю, что некоторые организационно-технические меры могли бы помочь:

1. Процесс открытия доступа. Должно быть нельзя просто так взять и кому попало по звонку получить доступ к данным пользователей. Пользователи, заказывающие глазки от необходимости согласования доступа, знайте: такие меры защищают ваши же данные.

data-original-height=628

2. Наличие 2го фактора аутентификации. Получение доступа к данным других пользователей должно быть невозможно без дополнительного фактора аутентификации: номер телефона, специальным образом защищённое устройство доступа, токен, zero trust доступ в сеть и т.п. Даже если сотрудник технической поддержки клюнул на удочку, доступа не будет.

data-original-height=630

3. Запрет копирования. Даже при организации доступа откуда угодно можно очень усложнить вынос данных, ограничив копирование. Вынос нескольких миллионов записей через фото экрана станет очень неприятной и длительной процедурой. А в совокупности с необходимостью использования второго фактора аутентификации — ещё и неосуществимой.

data-original-height=625

И это самые базовые наброски, которые могли бы сделать чуточку счастливее брокера, который с луком и яйцами, но не пирожок.

Если кто более в курсе ситуации — милости прошу в комментарии.


Источник — Блог Андрея Дугина «Практическая информационная безопасность и защита информации».

Андрей Дугин

Об авторе Андрей Дугин

Блог "Практическая информационная безопасность и защита информации" Андрея Дугина
Читать все записи автора Андрей Дугин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *