В последние годы количество скомпрометированных данных неуклонно растет. Практически каждый день в новостях появляются новые заметки об утечках и взломах, а мы все больше пишем о необходимости использования защиты — сейчас она актуальна как никогда.
Сегодня погрузимся в историю и вспомним про самые громкие и крупные утечки данных. Сколько и какой информации было слито, как пострадали пользователи и многое другое — в этом материале.
Оглавление
1. RockYou2024
Коротко: хакеры собрали данные из старых утечек и выкатили самую большую компиляцию реальных пользовательских паролей — 10 млрд записей!
Когда произошла утечка: в 2024 году.
Кто пострадал: пользователи без надежной защиты по всему миру.
RockYou2024 — король утечек и настоящий бич всех, кто думал, что он хакерам не интересен. В июле 2024 года киберпреступники на тематическом форуме выложили гигантскую подборку паролей: 9 948 575 739 уникальных записей. Даже несмотря на то, что RockYou2024 — это компиляция на основе старой утечки RockYou2021, результат все равно ошеломляет.
Наш эксперт Алексей Антонов проанализировал эту утечку и выяснил, что 83% содержащихся в утечке паролей могли бы быть подобраны умным алгоритмом менее чем за час и лишь 4% утекших пользовательских паролей (328 млн) можно признать стойкими — их подбор займет более года с помощью умного алгоритма. Как работает умный алгоритм — мы писали в исследовании стойкости паролей, которое совместно с анализом новой утечки наглядно доказывает, что большинство пользователей по-прежнему крайне легкомысленно относятся к созданию паролей.
При разборе новой утечки эксперт отфильтровал все нерелевантные записи и работал с оставшимся массивом из 8,2 млрд паролей, которые хранились в открытом виде, — это, конечно, не 10 млрд, но все еще много.
2. CAM4
Коротко: на сайте для взрослых CAM4 неправильно настроили сервера хранения базы данных с 11 млрд записей о клиентах — чувствительная информация оказалась в открытом доступе.
Когда произошла утечка: в 2020 году.
Кто пострадал: пользователи сайта для взрослых CAM4.
Эта история интересна по двум причинам: какая информация и как утекла. Помимо тривиальных данных — имя, фамилия, адрес электронной почты, журналы платежей, — в утечку попали и куда более интимные сведения: гендерные предпочтения и сексуальная ориентация. Каждый пользователь должен был указать эти данные при регистрации на сайте — без них наслаждаться контентом стриминговой платформы для взрослых нельзя даже в 2024 году.
Утечка произошла из-за использования незащищенной базы данных Elasticsearch, и, если собрать воедино все публикации об утечках из-за использования этой БД, может получиться увесистая книга, в которой история с CAM4 займет небольшую, но важную главу «Как могла случиться, но не случилась, крупнейшая утечка данных в истории». К счастью, база данных была отключена в течение получаса после обнаружения ошибки, а позднее переехала во внутреннюю локальную сеть. Персональные данные пользователей были удалены.
3. Yahoo
Коротко: Хакерская атака затронула все 3 млрд пользователей платформы, но в Yahoo признались в этом лишь спустя три года.
Когда произошла утечка: в 2012, в 2013… А может, и в 2014 году — в Yahoo не знают точной даты.
Кто пострадал: все пользователи Yahoo.
Больше десяти лет назад компания Yahoo столкнулась со взломом (все началось с фишингового письма), повлекшим за собой серию новостей об утечках данных. Сначала говорили про пару сотен миллионов взломанных аккаунтов, после — про 500 млн, а уже в 2017 году, накануне сделки с Verizon, выяснилось, что пострадали все 3 млрд аккаунтов. Хакеры получили доступ к именам, адресам электронной почты, датам рождения и номерам телефонов. Но главное — как минимум три года злоумышленники имели доступ к аккаунтам пользователей, которые годами не меняют пароли. Теперь понимаете, почему так важно регулярно менять пароли и удалять старые профили?
Эта история — очередное подтверждение того, что даже крупнейшие компании неправильно хранят пользовательские данные. В случае с Yahoo злоумышленники обнаружили базу незашифрованных контрольных вопросов, а некоторые аккаунты и вовсе не имели двухфакторной аутентификации. Так что в вопросе безопасности личных аккаунтов не полагайтесь на механизмы социальных сетей или онлайн-платформ. Придумывайте или генерируйте надежные пароли и храните их в Kaspersky Password Manager. А если переживаете, что ваши данные уже могли утечь, — установите любое из наших защитных решений для домашних пользователей: в версиях Kaspersky Standard и Kaspersky Plus вы можете указать все адреса электронной почты — ваши и ваших близких, —используемые для входа в онлайн-сервисы. Приложение будет регулярно проверять их и сообщать об утечках данных аккаунтов, привязанных к этим e-mail.
В версии Kaspersky Premium, помимо списка e-mail, вы можете указать еще и номера телефонов: обычно их используют для идентификации пользователей в более «серьезных» — например, банковских — онлайн-сервисах. Приложение будет искать эти номера и адреса в свежих базах утечек, а при обнаружении предупредит вас и даст совет о дальнейших действиях (подробнее о том, как мы помогаем бороться с утечками ваших персональный данных в Интернет или даркнет).
4. UIDAI (Aadhaar)
Коротко: хакеры выставили на продажу биометрические данные почти всех граждан и резидентов Индии.
Когда произошла утечка: в 2018 году.
Кто пострадал: 1,1 млрд индийцев.
Система идентификации граждан и резидентов Индии UIDAI — крупнейшая в мире система биоидентификации, хранящая анкетные данные, отпечатки пальцев и фотографии радужной оболочки глаза более чем 1 млрд индийцев. Уникальный персональный номер, присваиваемый системой, называется Aadhaar.
Пока во многих странах мира только планируют внедрять идентификацию личности по биометрии, в Индии такая система действует уже больше десяти лет. UIDAI была создана, чтобы абсолютно все жители Индии могли иметь официальное единое государственное удостоверение личности — Aadhaar.
На деле же оказалось, что данные почти всех индийцев в результате многочисленных утечек данных были украдены хакерами — в 2018 году киберпреступники продавали доступ к базе всего за 500 рупий (около $6 по текущему курсу). Масштабная утечка данных была и в 2023 году — тогда пострадали 815 млн индийцев.
Банки и правоохранительные органы по-прежнему рекомендуют жертвам утечек заблокировать возможность распоряжаться деньгами с помощью биометрии. Но и это не гарантия безопасности — киберпреступники могут владеть номерами паспортов, именами, фамилиями, фотографиями, отпечатками пальцев и другой информацией.
5. Facebook*
Коротко: компания не уведомила пользователей об утечке данных, хотя знала о ней два года.
Когда произошла утечка: в 2019 году.
Кто пострадал: 533 млн пользователей Facebook*.
Стоящие рядом слова «Facebook*» и «утечка» уже давно никого не удивляют. Платформа регулярно становится жертвой то хакерских атак, то внутренних утечек. Мы же сегодня вспоминаем самую крупную утечку в истории Facebook* — в руки киберпреступников попали имена, номера телефонов и данные о местоположении 533 млн пользователей соцсети. Хакеры опубликовали эти данные на специализированном форуме, и любой желающий мог бесплатно загрузить их. Помимо данных обычных пользователей, в Сеть утекли и данные аккаунтов публичных персон, например комиссара юстиции Евросоюза Дидье Рейндерса и тогдашнего премьер-министра, а ныне — министра иностранных дел Люксембурга Ксавье Беттеля.
Если вы подозреваете, что также могли пострадать от утечки данных Facebook*, воспользуйтесь нашим сервисом Password Checker — он покажет, встречался ли ваш пароль в этой или других утечках.
В утечку попали данные, актуальные на 2018–2019 годы, хотя информация о ней появилась только в 2021 году. Как так получилось? Дело в том, что хакеры эксплуатировали уязвимость в 2019 году, тогда же в Facebook* ее и пропатчили, но рассказать эту историю своим пользователям забыли — или просто не захотели. Так Meta** в очередной раз получила не только шквал критики, но и штраф на €265 млн (примерно $276 млн в 2021 году).
Чему нас учат все эти утечки?
Красной нитью сквозь все эти истории проходит мысль: «На большие компании надейся, а сам не плошай» — за безопасность своих данных в первую очередь ответственны мы сами, а не Facebook*, Yahoo или даже правительство. Важно самостоятельно защищать аккаунты, придумывать или генерировать надежные пароли, хранить их в безопасном менеджере паролей и с особым трепетом относиться к своим биометрическим данным.
Используйте разные пароли. Если вы приверженец тактики «один пароль на все случаи жизни» и пользуетесь Интернетом хотя бы несколько лет — у нас для вас плохие новости…
Проверьте, скомпрометированы ли ваши пароли. Если вы пользуетесь нашей защитой, достаточно указать список проверяемых адресов электронной почты в разделе «Поиск утечки данных». Пользователи Kaspersky Premium могут также добавить проверяемые номера телефонов в раздел «Оповещение о краже личности». Приложения будут проверять эти данные на появление в новых утечках автоматически. А в нашем менеджере паролей достаточно выбрать в меню или нажать на таскбаре «Проверку паролей» (иконка с ключом), и все хранящиеся пароли будут проверены на сложность, уникальность и утечки. Все остальные могут воспользоваться нашим бесплатным сервисом Password Checker.
Используйте двухфакторную аутентификацию (2FA) везде, где это возможно.
Не храните пароли в браузерах. Используйте менеджер паролей, сгенерируйте с его помощью уникальные криптостойкие пароли для всех ваших важных аккаунтов, и вам останется придумать и запомнить лишь один — главный — пароль, который станет ключом ко всем остальным паролям. Им будет защищено и зашифровано ваше хранилище паролей и других важных данных.
* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.
** Компания Meta признана экстремистской организацией в Российской Федерации.
Блог Касперского