Недавно весь мир и в особенности жителей США всколыхнула новость об утечке данных о кредитной истории 15 миллионов абонентов международного сотового оператора T-Mobile. Примечательным в этой истории стало то, что информация была похищена не непосредственно из базы данных самой компании, а с серверов ее партнера Experian. Рассмотрев этот пример более подробно, можно получить ценный урок кибербезопасности, что мы сейчас и сделаем.
Не зря популярная пословица гласит «Один в поле не воин», ведь задачу любой сложности легче решать сообща. Не у всех и не всегда есть возможность, время и необходимые знания, чтобы подойти к конкретному вопросу лично и комплексно. Поэтому, крупные компании для успешного ведения бизнеса зачастую сотрудничают с другими фирмами, которые предоставляют им определенные виды услуг. В зависимости от типа желаемых услуг, для такого сотрудничества среди прочей информации многие фирмы требуют предоставить регистрационные данные компании или же личные данные ее сотрудников и клиентов. Следует отметить, что компания Protectimus, предоставляющая услуги двухфакторной аутентификации, к числу подобных партнеров не относится. При проведении аутентификации Протектимус не требует передачи личных данных пользователей. Это очень разумно, ведь часто мы вводим запрашиваемую информацию автоматически, не уделяя должного внимания тому, как и где будут храниться эти данные, в чьи руки они могут попасть и к каким последствиям это может привести.
Как были похищены данные пользователей T-Mobile
Наглядным примером такой неосторожности и стало сотрудничества компании T-Mobile, работающей в области мобильной связи, и глобальной информационной службы Experian, которая занималась оценкой кредитной истории клиентов перед заключением договора с T-Mobile. Результат такого партнерства обернулся грандиозным скандалом — личная информация 15 миллионов клиентов T-Mobile была украдена неизвестными злоумышленниками с сервера Experian. Похищенные данные включают имена, даты дней рождения, адреса клиентов, а также шифрованные номера социального страхования, паспортные данные и номера водительских удостоверений лиц, которые воспользовались или намеревались воспользоваться услугами T-Mobile в период с 01 сентября 2013 года по 16 сентября 2015 года. Это нашумевшее событие ярко продемонстрировало основной урок кибербезопасности — о безопасности данных должны заботиться все и каждый, потому как хакеры – люди хитрые, и если не смогли найти брешь в системе одной компании, то найдут ее у партнера и все равно выведают всю необходимую им информацию. Следовательно, все должны задуматься: в безопасности ли данные, которые хранятся у меня, не подставляю ли я своего партнера, не подведет ли меня мой партнер?
Итак, мы выяснили, что главный урок кибербезопасности заключается в том, что обе стороны партнерских отношений обязаны должным образом заботиться о защите данных, которыми они располагают, и хранили ее на ресурсах, которые надежно защищены от компрометации. Так, ошибка Experian повлекла за собой цепочку неприятностей для ее ни в чем не повинного партнера и его клиентов.
До сих пор точно не известно, каким образом хакерам удалось получить доступ к серверам Experian и более того, получить доступ к зашифрованным файлам T-Mobile. Но абсолютно очевидно, что компания не до конца позаботилась о безопасности конфиденциальной информации, которую должна была хранить под семью замками. В связи со сложившейся ситуацией, считаем своим долгом напомнить, что одним из одним из ключевых элементов защиты данных является двухфакторная аутентификация пользователя с использованием аппаратных токенов или специальных приложений для смартфонов, генерирующих одноразовые пароли для прохождения двухфакторной авторизации. Использование 2FA – это серьезная преграда для злоумышленника, которую достаточно трудно обойти, разве что ему удастся завладеть одним из токенов сотрудников компании.
Какие меры необходимо принять пострадавшим
Узнав о взломе, генеральный директор T-Mobile Джон Легере выступил с заявлением о том, что он крайне серьезно относится к защите данных существующих абонентов и потенциальных пользователей компании, поэтому во избежание новых хакерских атак, намерен основательно пересмотреть их деловые отношения с Experian. В свою очередь Experian взяла на себя всю вину за случившиеся и предложила клиентам два года кредитного мониторинга. При этом, обе компании утверждают, что украденная информация не содержала номеров кредитных карт и банковских данных пользователей.
Правда, для жертв атаки уже нет большой разницы, кто виноват в случившемся, ведь перед ними стоит куда более серьезная задача – как уберечь себя от «кражи личности» (“identity theft”). По последним данным, сотрудники компании Trustev обнаружили на черном рынке в продаже данные (в частности и номера социального страхования), которые по типу и времени публикации соответствуют похищенной информации клиентов T-Mobile. Использование таких данных в мошеннических целях может повлечь за собой серьезные проблемы для клиентов T-Mobile – от незаконно оформленных кредитов до криминальных преступлений, совершенных «двойниками», завладевшими их данными.
Чтобы обезопасить себя от «кражи личности» пострадавшим от хакерской атаки предлагают воспользоваться услугами замораживания доступа к кредитной истории в одном из трех кредитных бюро – Equifax, Experian или TransUnion. Принцип заморозки состоит в том, что никто не сможет просмотреть вашу кредитную историю без вашего на то разрешения, что воспрепятствует открытию счетов или оформлению кредитов на ваше имя.
В то же время, ограничение доступа к кредитной истории имеет ряд отрицательных моментов, которые коснутся лиц, воспользовавшихся заморозкой:
- Стоимость. Установление такого ограничение обычно бесплатно, но загвоздка в том, что каждый раз, когда появится необходимость получить доступ к кредитной информации, нужно будет оплатить комиссионный сбор за снятие запрета. Согласитесь, что достаточно накладно отдавать по 12 долларов всякий раз, когда устраиваешься на новую работу, снимаешь жилье или оформляешь рассрочку на покупку мобильного телефона.
- Если мошенник уже успел воспользоваться данными, то заморозка – это бесполезная трата времени и денег. Если же «кража личности» уже успешно состоялась, и расчетные счета на имя жертвы уже были открыты, то все что ей остается делать – это обратиться в полицию, уведомить обслуживающие финансовые учреждения о возможности проведения финансовых махинаций по ее счетам, воспользоваться технологиями двухфакторной аутентификации для входа в свои аккаунты, поменять существующие пароли, регулярно проверять свою кредитную историю и внимательно следить за балансовыми отчетами.
Стоит всегда помнить, что хакерскую атаку легче предотвратить, чем исправить все ее негативные последствия. Если вы не уверены в надежности защиты информации, хранящейся у вас или у вашего партнера, воспользуйтесь помощью третьей компании, специализирующейся на предоставлении услуг по защите данных от несанкционированного доступа. Одним из эффективных методов защиты станет внедрение двухфакторной аутентификации, которая в разы снижает риск компрометации хранилищ информации. Комплексный подход и совместные усилия компаний могут существенно повысить уровень кибербезопасности личных данных и оградить ваших клиентов и партнеров от горьких разочарований.
Источник фото — www.technobuffalo.com
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!