Весь світ дізнався про подружні зради 30 млн людей. Як хакери викрадають те, що люди найбільше приховують

Розказати про подружню зраду всьому світу

Влітку 2015 року прізвище 43-річного американця Марка (ім'я змінено) з’явилося у вільному доступі в мережі серед мільйонів інших відвідувачів сайту Ashley Madison. Цей ресурс існував для знайомств та сексуальних зв’язків одружених людей. Кілька тижнів Марк чекав погроз від хакерів, гуглив своє прізвище та думав, що сказати дружині, коли вона про все дізнається.

Того літа хакери зламали базу даних сайту Ashley Madison та виклали її у відкритий доступ. 30 млн людей, зареєстрованих на сайті, в одну секунду стали відомими.

Марк був одружений з 19 років. Проте після двох десятиліть шлюбу вирішив урізноманітнити своє життя. Він переписувався із сотнею жінок, з кількома мав реальні зустрічі.

"Я не пишаюся тим, що я зробив. Я обманув дружину… Проте ті хлопці, які зламали сайт, не мали права робити те, що вони зробили".

Марк був дуже обережним, використовуючи Ashley Madison. Він зареєстрував для сайту окрему електронну скриньку, послуги ресурсу оплачував за допомогою подарункових pre-paid-карт. Завдяки цим елементарним правилам безпеки, чоловік був впевнений, що про його зради не дізнається ніхто. Проте хакери, які зламали Ashley Madison, думали по-іншому.

У довгому маніфесті, який хакерська група Impact Team опублікувала разом із зламом, було сказано, що зловмисників надихнули на хакерську атаку псевдо-моральні цінності, які пропагує Ashley Madison та заяви компанії про недоторканність приватних даних користувачів.

Читайте також: Українські хакери перевірили, як захищені сайти держустанов. Спойлер - ніяк

Серед цих жертв були мер міста Хартселла, окружний прокурор з Флориди Джеф Ештон, багато відомих осіб. Деякі жертви ще й постраждали від вимагачів, які просили викуп за нерозголошення даних.

Троє користувачів покінчили життя самогубством, серед них – пастор з Нового Орлеану Джон Гібсон, який страждав на депресію.

На момент, коли була опублікована остання стаття про історію жертви Ashley Madison дружина Марка не дізналась про його захоплення.

Після судового рішення за колективним позовом Ashley Madison заплатила жертвам зламу більш як $11 млн. У цій історії цікавим є ще один нюанс. Адміністрація Ashley Madison брала плату в розмірі $19 з тих, хто хотів повністю видалити свої приватні дані з сайту. Злам показав, що навіть після такого платного видалення ці дані зберігалися на серверах компанії.

Бюро кредитних історій

Історія з Ashley Madison водночас показова й повчальна. Прихильники сімейних цінностей можуть вбачати у ній певний варіант кармічної розплати. Але на місці жертв Ashley Madison міг бути будь-хто.

Тепер інтимні деталі нашого життя зберігаються на смартфонах і в хмарних сервісах, а дані з соціальних мереж передаються рекламодавцям. На серверах ІТ-компаній розміщуються не лише дані про наші ранкові пробіжки та маршрути пересування по місту, але й відбитки пальців, номери кредиток та історії платежів.

Часто говорячи про вразливість онлайн-даних, згадують шахрайство з кредитними картами. Але ці дані – це лише вершина айсбергу персональних даних, які є в мережі і які можна використати. Уявіть собі базу даних з деталями ваших переміщень чи переміщень ваших дітей. Чи хотіли б ви, щоб була опублікована у вільному доступі інформація про те, коли ви їздите зазвичай за місто чи коли ваші діти повертаються зі школи?

Наприклад, восени цього року хакери зламали базу даних сервісу Equifax – американського бюро кредитних історій.

Було викрадено дані 145 млн американців – повні імена, номера соцстрахування, адреси, дати народження, а поруч з ними – і дані більш як 200 млн кредитних карт.

Бюро кредитних історій Equifax існує з 1899 року і працює з даними майже мільярда користувачів. Цього разу не пощастило американцям та канадійцям. Equifax втратила більше $87 млн, ліквідуючи наслідки витоку даних лише за перший місяць після нього, надалі їй доведеться витратити ще близько $100 млн.

І це без потенційних судових витрат - проти Equifax  ведеться більше 240 судових процесів. А ще стало відомо, що коли керівництво компанії дізналося про витік даних, воно в терміновому порядку продало акції компанії.

Оцінити репутаційні втрати наразі не береться ніхто. Хоча експерти однозначні - Equifax потрібно буде дуже сильно переконувати своїх клієнтів в тому, що вони вирішили свої проблеми з безпекою і їй можна довіряти дані.  

Історія про сайт Ashley Madison чи Equifax не зачепила українців. Проте хибно вважати, що витік даних нам не загрожує. Можливо, ми не є настільки залежні від цифрової інформації, як американці, але й про нас в мережі є дуже багато інформації.

Yahoo, Dropbox, Uber

Ми активно користуємося популярними закордонними онлайн-сервісами. А їх злам та публікація викраденого (зазвичай це логіни або електронні адреси та паролі доступу) означає, що такі дані уже не є безпечними. Хоча всі знають принципи парольного захисту щодо використання різних паролів доступу, цих правил дотримуються одиниці. І пароль, пов’язаний з е-мейлом, який десь "засвітився", ставить під загрозу інші акаунти, в яких використовувалась ця електронна адреса.

Ось декілька історій масових зламів акаунтів, які увійшли у список найбільших за числом постраждалих.

Yahoo

Три мільярди акаунтів електронної пошти на Yahoo були зламані хакерами. Це вартувало компанії великих репутаційних втрат та меншої аніж планувалось ціни її поглинання з боку Verizon. Цю втрату даних вважають чи не найбільшою в історії інтернету

LinkedIn

У 2012 році було зламано більш як 165 млн акаунтів ділової соцмережі. Про це стало відомо лише в 2016 році.

Dropbox

Дані 68 млн акаунтів були викрадені у 2012 році. Компанію врятувало те, що зламані паролі були опубліковані не у відкритому вигляді – у Dropbox вони зберігаються лише зашифровано і хакерам не вдалось розшифрувати їх.

Evernote

Більш як 50 млн даних користувачів цього популярного сервісу збереження заміток були втрачені у 2013 році. Компанія підкреслила, що фінансові дані не були викрадені.

Uber: $100 тисяч за мовчання

Один з найсвіжіших масових зламів стосується сервісу Uber. Наприкінці листопада стало відомо, що Uber приховала витік даних 57 млн користувачів – 50 млн клієнтів та 7 млн водіїв компанії. Витік стався більше року тому, в компанії знали про це, та вирішили не повідомляти. Декілька країн світу розпочали власні розслідування цього масового зламу, в результаті чого на Uber можуть чекати штрафи та санкції, проти компанії подали колективні позови до суду.

За два тижні після першого повідомлення з’явилась інформація про те, що Uber заплатила хакеру, який викрав дані, $100 тис за мовчання – за те, що той видалить дані і приховає факт їх витоку.

Що робити

Об’єми даних, доступних онлайн, з кожним роком збільшуються і процес цей не спинити. Електронна пошта, файлові хостинги, соцмережі стали сервісами повсякденного використання. Захист їх даних залежить від компанії-власника сервісу. Ці компанії часто вкладають великі гроші у шифрування та захист даних, проте їм не завжди вдається зберегти вашу інформацію.

Відмовлятися від їх використання теж не вихід. Масові атаки на сайти, а також розповсюдження вірусів мають й позитивний бік – компанії стали більше звертати уваги на захист персональної інформації своїх клієнтів, розуміючи, що втрата даних може перетворитися й на знищення всього бізнесу.

Історія, описана на початку статті, сталася два роки тому. Проте на початку грудня цього року сайт Ashley Madison став фігурантом ще однієї історії про витік даних. Фахівці з безпеки виявили "діру" на Ashley Madison, завдяки якій будь-хто міг переглянути фотографії користувачів сайту. Ці фото доступні для перегляду навіть без реєстрації та навіть тоді, коли користувачі закрили їх приватним ключем.

Очевидно, що знайти фото серед мільйонів завантажених на сайт складніше, аніж знайти прізвище у списку, опублікованому в мережі. Однак те, що хакери двічі зламали один і той самий сайт, зайвий раз показує крихкість онлайн-даних і їх вразливість до зовнішніх втручань.