Взлом без взлома или семь способов найти утечку информации ресурса
Время на прочтение
4 мин
Количество просмотров 24K
Небольшое вступление
Многие считают, что бизнесом движут информационные технологии: управление складом, управление логистики, прогнозирование, ситуационное моделирование, оценка рисков, системная динамика и т.д. Но в большинстве своем бизнесом управляет информационное противоборство. Из двух компаний, производящих один товар, победит не та компания, что выполняет работу лучше, а та, что победит в тендере. То есть не важно, как хорошо и качественно ты производишь товар, а важно то как правильно используешь полученную информацию. Если грамотный руководитель получил правильную информацию и если эта информация правильно подготовлена, то тогда и навороченные аналитики не нужны. Всю нужную информацию он держит в руках.
В большинстве случаев утечка информации происходит из – за воздействия внутренних угроз – невнимательные сотрудники или неорганизованное и неаккуратное хранение данных. А раз существует утечка, то и существуют люди по специализирующиеся на ее поиске. Специалистам данной специальности приходиться просматривать в день более сотен ресурсов. И находить нужные данные, не прибегая к незаконным взломам. Хорошему специалисту по поиску информации хватает недели, чтобы получить все необходимые данные о предприятии. Сам процесс поиска подобной информацией называют конкурентной разведкой. Конкурентная разведка — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа). И важно именно то, что данный способ получения данных является абсолютно законным. Специалист данной сферы не взламывает никаких сайтов и не получает эту информацию любим другим уголовно наказуемым путем. Сам факт того, что компания допустила «ляп» в защите своей конфиденциальной информации, и ее кто-то заполучил, незаконным не является.
Итак, рассмотрим несколько приемов получения подобной информации:
Прием 1
Демаскирующий признак конфиденциальной информации является само наличие слово – конфиденциальный. Так же демаскирующим является ее гриф: Для служебного пользования.
Не хочешь, чтобы секретную информацию нашли не привлекай к ней внимание.
Давайте посмотрим, адекватно ли мы защищаем свою конфиденциальную информацию. Открываем браузер. Запускаем гугл и пытаемся посмотреть, нет ли утечек документов для служебного пользования на сайте Тамбовского государственного учреждения – 392 результата.
Команда site: –искать в пределах одного адреса сайта. Что бы найти определенную информацию ее надо записать в кавычках: «Для служебного пользования»
Прием 2
«Конфиденциально, Confidential»
Как вытянуть главное из кучи найденных файлов? Протоколы HTTPS. Придумывался для обмена между доверенными партнерами. Обмена сертификатами. Т.е. https- в адресе документа становиться демаскирующим признаком особо важных документов.
Демаскирующим признаком становиться документы с гифом — Конфиденциально. Ни одна компания не обеспечиваем регламентных проверок своей конфиденциальности информации. Многие компании не знают, что у них есть утечка, только потому что не проверяли. И даже если компания начла проводить периодические проверки, то не значит, что у их партнеров нет утечки.
Прием 3
«Секретно»
Есть грифы: Совершенно секретно, top secret и т.д…
Каждый из нас не задумывается, что поисковая система индексирует не только текст вашего документа, но и свойства этого документа. Если это офисный документ, то там еще содержаться буфера, которые использовались ранее.
Правило: Проверьте, нет ли у вас документов с гифом – Конфиденциально, которые видит Гугл или Яндекс.
Прием 4
Следующие файлы, которые нам нужны — это документы с грифом exls. Почему? Excel провоцирует человека на обобщение имеющейся информации конфиденциальной и не очень. В таких файлах могут быть списки клиентов их адреса, телефоны и особые пометки. В общем, очень хороший подарок для конкурентов.
Поисковики ведущих поисковых систем ведут себя как шпионы. Они залазят в те разделы, которые мы считаем конфиденциальными.
Давайте проверим:
Появляются файлы. Если откроем их сохраненную копию, то найдем очень много интересной информации. Т.е. xls – это подарок судьбы для хакеров.
Прием 5
Поиск документов в формате DOC. Почему? Если документ будет готов к тому, что его будут просматривать посторонние глаза, то он будет оформлен в формате PDF. Если документ все еще не закончен, то он скорей всего будет сохранен в формате DOC.
Ищем на заданном целевом ресурсе документы в формате DOC.
Прием 6
Попытка найти весь сервер ftp.
Очень часто компания оставляет его открытым. Попробуйте ввести адрес сайта: ftp.xxx.ru
Прием 7
Угадываемые имена
Всегда просматривая файл, старайтесь запомнить его адрес. Цифра 1711 на картинке показывает, что нам доступно 1711 файла. И изменяя эти цифры можно открыть и другие файлы.
На заметку
Статья 29, ч.4 Конституции Р.Ф. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию». Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами.
Ежели мы охотимся за государственной тайной какой-то страны, то мы нарушаем закон. Наказание последует незамедлительно. Если же в наши руки попала не государственная тайна и мы не использовали дорогостоящих, порицаемых методов, то оспорить не правомерность наших действий затруднительно. Раньше даже существовала статья, что, если информация была получено с помощью общедоступных методов, забудьте, что это коммерческая тайна. Предъявить какие-либо претензии тому, кто эту информацию получил невозможно. Вы действительно можете нарушить закон, если используете троянов или подбираете пароль. Либо если вы используете информацию неправильно – во вред. То тогда вы действительно нарушаете закон и понесете наказание.
Из всего этого следует, что всегда необходимо быть осторожным, даже если вы считаете свои действия законными.
В создании статьи использовались заметки с семинара «Взломать за 60 секунд» (Масалович А.И.).
Как понять, что мои персональные данные «утекли» в открытый доступ?
Соня Лебедева
3 октября 2019 · 174,1 K
Пиарщик и smmщик, отвечаю за digital-коммуникации в “Газпром-Медиа” · 3 окт 2019 ·
Достоверно выяснить, утекли ли ваши данные в интернет, очень сложно. Большинство утечек, как правило, компаниями скрываются. Те, утечки, о которых мы читаем в СМИ – лишь небольшая доля от всех инцидентов.
Существуют несколько сервисов по проверке своих данных на предмет утечек. Например, сайт www.haveibeenpwned.com. Но не спешите пользоваться ими. Специалисты предупреждают, что подобные сервисы тоже несут определенные угрозы. Таким способом злоумышленники могут подтверждать владельцев данных и тем самым повышать стоимость украденных баз. К примеру, вбивая на таких сайтах запрос, вы подтверждаете, что вы есть и вы живой. Данные о вас уходят в отдельную, более дорогостоящую базу.
Понять то, что ваши данные утекли в открытый доступ, можно по косвенным причинам. Например, оставив где-то определенные данные, вам тут же поступает коммерческое предложение, основанное на них. К примеру, купив автомобиль, на следующий день вам начинают поступать десятки звонков компаний с предложением оформить страховку, пройти тестовое сервис-обслуживание, записаться на бесплатную переобувку резины. В данном случае очевидно, что источник утечки – автосалон. Перепроверьте все документы, касающихся ваших взаимоотношений с ним, убедитесь, что вы не разрешали делиться данными с третьими лицами, и смело пишите жалобу в Роскомнадзор.
А вообще, чтобы не стать жертвой утечки, соблюдайте простые правила. Вот самые важные:
1) Заводите сложные пароли – желательно для каждого сервиса или сайта отдельный. Периодически обновляйте их.
2) При заключении договоров читайте условия обработки персональных данных. Если в договоре есть пункт о передачи данных третьим лицам по усмотрению организации – уточните, зачем это нужно. Цели использования ваших данных должны соответствовать конкретной услуге, оказываемой вам.
3) Не устанавливайте малоизвестные приложения, которые требуют предоставить доступ к данным смартфона. Тем более не регистрируйте в них личные кабинеты, используя логин-пароль от своих аккаунтов в соцсетях. Устанавливая красивую клавиатуру в стиле Iphone, имейте в виду, что все данные, которые вы будете вводить с ее использованием (пин-коды, пароли, личные сообщения) могут утекать в неизвестном направлении.
4) Не вводите логины-пароли, заходя в интернет в незнакомой Wi-Fi сети. Эти данные видны владельцу этой сети и, соответственно, могут утечь.
72,7 K
Спасибо большое “большой брат” за развернутую рекламу менджера паролей, пожалуй, воздержусь проверять свои данные… Читать дальше
Комментировать ответ…Комментировать…
Официальный представитель компании МегаФон · 11 дек 2020
Если кто-то попытался воспользоваться вашей банковской картой или на ваш телефон стало поступать подозрительно много звонков с незнакомых номеров, то высока вероятность, что ваши данные в чужих руках. Пользуйтесь несколькими лайфхаками, чтобы этого избежать:
✔️ Заведите специальную почту для рабочих переписок и не привязывайте все аккаунты к одному почтовому ящику.
✔️… Читать далее
2,7 K
Комментировать ответ…Комментировать…
Фрилансер.Делаю сайты, лендинги. Веду свой блог.
https://aruna.website/ · 31 окт 2019
Вы об этом сразу догадаетесь, у вас как правило будет взломан аккаунт вашей соц сети, а это неменуемая блокировка, но это ерунда,а вот если все ваши карты и доступы хранятся в электронном виде есть реальная угроза потерять деньги. Поэтому сейчас делают 2 -ю индефикацию не пренебрегайте защитой и все будет ОК! Кстати по этому поводу сделайте себе “маску ” почты, это… Читать далее
3,1 K
Комментировать ответ…Комментировать…
Николай Коваль,пенсионер 65+, сотни увлечений,десятки профессий,3 места работы,всего имел… · 2 дек 2019
На один вопрос ,тот же,ответили полноценно около двадцати человек. Необходимо читать ответы из архива,ведь нельзя же двадцать раз повторять одно и тоже!!! Личные данные могут попасть из любых приложений,где вы их сами выкладывание. Есть люди,которые продают эти данные хакерам. В банке предупреждают—- не говорите эти цифры,даже работнику банка,это пояснение всем,что не… Читать далее
4,3 K
Комментировать ответ…Комментировать…
Поищите в поисковиках по своим установочным данным ФИО года рождения и/или номер паспорта, в различных вариациях. Возможно вы очень удевитесь, найдя данные о себе в публичном доступе.
2,2 K
Вы хотите удивить тем,что знает весь Мир??? С момента рождения человек обременён огромным количеством информации… Читать дальше
Комментировать ответ…Комментировать…
Можно воспользоваться надёжными сервисами проверки своего пароля на предмет утечки. Да, это не особо поможет в сегодняшнем случае со Сбербанком, но позволит понять, на каких сервисах была компроментация пароля и что следует предпринять для своей защиты. Один из наиболее известных способов проверить это – обратиться к Firefox Monitor – https://monitor.firefox.com/… Читать далее
3,0 K
Твёрдо помнить,нет абсолютной защиты паролей и логинов от специалистов,программист вскроет любой сайт даже банка… Читать дальше
Комментировать ответ…Комментировать…
Информационная безопасность в жизни современного человека. · 16 янв 2020
Ваши персональные данные «утекли» в открытый доступ, значит стали доступны не тем кому они были доверенны. В большинстве случаев это значит, что их продают за небольшую сумму, по современным меркам.
По тому, что именно стало известно, можно косвенно предположить откуда произошла утечка. Например если стали известны ФИО, номер карты и транзакции это банк или кредитная… Читать далее
1,2 K
Комментировать ответ…Комментировать…
Для проверки персданных можно воспользоваться ботами “Telegram”:
0. @get_caller_bot — поиск по утечкам персональных данных и записным книгам абонентов, может найти ФИО, дату рождения, e-mail.
1. @GetPhone_bot — поиск номера телефона в утекших базах.
2. @Smart_SearchBot — найдет ФИО, дату рождения и адрес.
3. @AvinfoBot – делает отчет где есть данные из социальных… Читать далее
972
Комментировать ответ…Комментировать…
Могу сказать так. Если не хотите что бы ваши данные ушли в широкое пользование, никогда не пользуйтесь сервисами по проверке ваших данных, т.к. они и являются основными продавцами.
Ну и конечно банальная безопасность по вводу своих данных на различных интернет ресурсах. Не вводите данные, если не уверены в ресурсе. Например: на оф сайте сбербанка, заполняя заявку на… Читать далее
1,4 K
Комментировать ответ…Комментировать…
Самое страшное -это утечка не номера телефона и адреса эл. почты, а паспортных данных и особенно биометрических , последние активно собирает Сбербанк. Спам звонки – меньшее из зол. Есть много программ, которые определяют спам звонок , а от навязчивых писем можно отписаться )
есть рекомендации не указывать паспортные данные , где это не обязательно, а так же не оставлять… Читать далее
1,8 K
Верно!!! Нельзя оставлять никаким приложениям пароль и логин. Я оставил для мази ног и три года предлагают мазь от… Читать дальше
Комментировать ответ…Комментировать…
По отчёту Ponemon Institute «Финансовые потери из-за утечек данных в 2021 году» стоимость кражи информации выросла на 10% с 3,86 млн долл. в 2020 году до 4,24 млн долл. в 2021. Чаще крали персональную идентифицирующую информацию клиентов (PII).
Такая статистика — сигнал тревоги для бизнесов, а ещё мотивация к охране и защите клиентских данных. В статье рассмотрим, что такое утечка данных, как обнаружить и сообщить о краже информации и защитить бизнес.
Что такое утечка данных
Утечка случается, когда данные попадают к третьим лицам без разрешения. Обычно это служебная или конфиденциальная информация — личные профили сотрудников и клиентов, номера банковских карт, коммерческие тайны и так далее.
Типы утечек данных
- Кража информации, которая идентифицирует пользователей: имена, номера телефонов, адреса и другие.
- Утечка финансовых данных: банковской информации, номеров кредитных карт, email-адресов, паролей и логинов, которые мошенники используют, чтобы красть деньги с счетов клиентов банков.
Примеры утечек данных
В ноябре 2021 года в приложении для торговли акциями и инвестиций Robinhood случилась утечка данных: похищено пять миллионов адресов электронной почты пользователей. Хакеру удалось получить полные имена двух миллионов пользователей. Преступник потребовал деньги взамен на неразглашение данных.
Компания Robinhood сообщила о вымогательстве в правоохранительные органы и заключила контракт с Mandiant — топовой компанией по кибербезопасности, чтобы помочь устранить утечку данных.
Позже Robinhood связалась с владельцами счетов, чью информацию украли, и опубликовала заявление для аудитории по поводу утечки данных.
В июле 2022 году у онлайн-сервиса путешествий Tutu.ru случилась утечка данных. Сервис атаковали хакеры из-за рубежа. По заявлению сотрудников, платёжные данные клиентов не пострадали. Команда Tutu.ru оперативно сообщила пользователям об утечке и разобралась со сложившейся ситуацией.
Как происходят утечки данных
По отчёту the Verizon 2022 года расследования утечек данных популярный способ — криминальное хакерское вмешательство. Используются методы: фишинг, грубые атаки на серверы данных, шпионские и вредоносные программы.
Утечки происходят и внутри компаний. Например, когда сотрудник случайно читает информацию на компьютере коллеги без разрешения. Хотя доступ случайный, а «секрет» не передаётся дальше, такой инцидент считается нарушением безопасности данных. Также в компании может работать сотрудник, который намеренно получает доступ, чтобы использовать информацию недобросовестно.
Как распознать утечку данных
Признаки кражи данных:
- Внутренняя информация о компании появляется в сети.
- Случаются неавторизованные скачивания данных с корпоративной сети.
- Странные попытки входа в систему из неожиданных мест.
- Повышенная активность корпоративной сети в нестандартное время.
- Повторяющиеся сбои.
- Неожиданные смены паролей и блокировки учётных записей пользователей.
- Сбои платежей в электронной коммерции.
Как сообщить об утечке данных
Как только вы заметили утечку данных, немедленно сообщите об этом. Способ обращения зависит от локации бизнеса и клиентов. В США (по данным NCSL) в 50 штатах действует законодательство, по которому компания должна уведомлять клиентов о нарушении сохранности данных.
Если бизнес в Евросоюзе, то работает GDPR. По этому закону о нарушении данных нужно сообщить в DPA (организацию, которая отвечает за защиту данных) в течение 72 часов с момента получения информации об инциденте.
Как предотвратить утечки данных
Здесь работает правило «лучшая защита — нападение». Если делать профилактику, а не действовать на авось, уровень безопасности данных увеличится. Некоторые действия для защиты информации:
Ограничьте доступ к данным
Разделение и ограничение — популярная стратегия предотвращения утечки данных. Пусть сотрудники видят только информацию, которая нужна для работы. В случае кражи будет легко определить виновного.
Регулярно обновляйте программное обеспечение
С устаревшим ПО бизнес становится уязвимым для атак. Обновления устраняют дыры в безопасности из предыдущих версий программного обеспечения. Убедитесь, что вовремя обновляете софт компании.
Чаще меняйте пароль
Когда хакеры узнают пароли чужих учётных записей, то входят в них, когда захотят. Чтобы обезопасить данные, меняйте пароли каждые 90 дней и придумывайте сложные.
Защитите личные устройства сотрудников
Концепция BYOD (bring your own device) — использование для работы личных гаджетов в компаниях. Но устройства сотрудников — риск для данных бизнеса. Обезопасьте BYOD с антивирусами и VPN.
Защитите данные с Altcraft Platform
Доверьте бизнес-данные надёжной платформе для автоматизации маркетинга и контролируйте потоки информации. Altcraft Platform подстраивается под требования безопасности заказчика: возможно развёртывание платформы клиентских данных на сервере клиента. On-premise решение — это безопасность, быстрое внедрение. Также с Altcraft Platform нет ограничений на количество хранимых данных и отправки и не нужны сторонние вендоры.
Источник: Lytics
Узнать, что ваша конфиденциальная информация попала в Сеть, достаточно просто. Для этого достаточно воспользоваться поисковыми системами, вводя в них свои данные.
- Чтобы избежать утечки данных, не стоит их хранить в открытом доступе.
- Любые важные сведения должны быть запаролены и защищены 2FA.
- В хранилища с частной информацией нельзя заходить через общественные Wi-Fi.
Кувиков Денис, глава SafeNet НТИ, поделился с нами, как можно выявить утечку данных. По его словам, в этом пользователям помогут поисковики вроде Яндекса или Google. Что с ними нужно делать? Открыть поисковую систему и вбить ту информацию, которая могла оказаться в Интернете без вашего согласия. Например, свои ФИО или номер телефона. Если утечка имела место быть, вы увидите эти данные на различных площадках. Чтобы их удалить, напишите администраторам сайтов с соответствующей просьбой.
Похожие действия можно выполнить и с фото. В поисковиках есть функция поиска по фото. Выберите свой снимок и нажмите «Поиск»! Если вы увидите свое изображение на каких-либо ресурсах и при этом вы не давали разрешение на публикацию (в соответствии с законодательством), можете обращаться к владельцам и потребовать удалить фото.
А чтобы минимизировать риски утечки данных, необходимо пользоваться хорошим антивирусом, не переходить по сомнительным линкам и задействовать сложные пароли.
Выбирай.net – узнайте, почему домашний интернет удобнее и выгоднее с нами!
- How to
ADPASS рекомендует материал к прочтению
Altcraft
03.10.2022, 17:00
Утечки данных: как случаются и что с ними делать
В статье рассмотрим, что такое утечка данных, как обнаружить и сообщить о краже информации и защитить бизнес.
По отчёту Ponemon Institute «Финансовые потери из-за утечек данных в 2021 году» стоимость кражи информации выросла на 10% с 3,86 миллионов долларов в 2020 году до 4,24 миллионов в 2021. Чаще крали персональную идентифицирующую информацию клиентов (PII).
Такая статистика — сигнал тревоги для бизнесов, а ещё мотивация к охране и защите клиентских данных.
Что такое утечка данных
Утечка случается, когда данные попадают к третьим лицам без разрешения. Обычно это служебная или конфиденциальная информация — личные профили сотрудников и клиентов, номера банковских карт, коммерческие тайны и так далее.
Типы утечек данных
-
Кража информации, которая идентифицирует пользователей: имена, номера телефонов, адреса и другие.
-
Утечка финансовых данных: банковской информации, номеров кредитных карт, email-адресов, паролей и логинов, которые мошенники используют, чтобы красть деньги с счетов клиентов банков.
Примеры утечек данных
В ноябре 2021 года в приложении для торговли акциями и инвестиций Robinhood случилась утечка данных: похищено пять миллионов адресов электронной почты пользователей. Хакеру удалось получить полные имена двух миллионов пользователей. Преступник потребовал деньги взамен на неразглашение данных.
Компания Robinhood сообщила о вымогательстве в правоохранительные органы и заключила контракт с Mandiant — топовой компанией по кибербезопасности, чтобы помочь устранить утечку данных. Позже Robinhood связалась с владельцами счетов, чью информацию украли, и опубликовала заявление для аудитории по поводу утечки данных.
В июле 2022 году у онлайн-сервиса путешествий Tutu.ru случилась утечка данных. Сервис атаковали хакеры из-за рубежа. По заявлению сотрудников, платёжные данные клиентов не пострадали. Команда Tutu.ru оперативно сообщила пользователям об утечке и разобралась со сложившейся ситуацией.
Как происходят утечки данных
По отчёту the Verizon 2022 года расследования утечек данных популярный способ — криминальное хакерское вмешательство. Используются методы: фишинг, грубые атаки на серверы данных, шпионские и вредоносные программы.
Утечки происходят и внутри компаний. Например, когда сотрудник случайно читает информацию на компьютере коллеги без разрешения. Хотя доступ случайный, а «секрет» не передаётся дальше, такой инцидент считается нарушением безопасности данных. Также в компании может работать сотрудник, который намеренно получает доступ, чтобы использовать информацию недобросовестно.
Как распознать утечку данных
Признаки кражи данных:
-
Внутренняя информация о компании появляется в сети.
-
Случаются неавторизованные скачивания данных с корпоративной сети.
-
Странные попытки входа в систему из неожиданных мест.
-
Повышенная активность корпоративной сети в нестандартное время.
-
Повторяющиеся сбои.
-
Неожиданные смены паролей и блокировки учётных записей пользователей.
-
Сбои платежей в электронной коммерции.
Как сообщить об утечке данных
Как только вы заметили утечку данных, немедленно сообщите об этом. Способ обращения зависит от локации бизнеса и клиентов. В США (по данным NCSL) в 50 штатах действует законодательство, по которому компания должна уведомлять клиентов о нарушении сохранности данных.
Если бизнес в Евросоюзе, то работает GDPR. По этому закону о нарушении данных нужно сообщить в DPA (организацию, которая отвечает за защиту данных) в течение 72 часов с момента получения информации об инциденте.
Как предотвратить утечки данных
Здесь работает правило «лучшая защита — нападение». Если делать профилактику, а не действовать на авось, уровень безопасности данных увеличится. Некоторые действия для защиты информации:
-
Ограничьте доступ к данным. Разделение и ограничение — популярная стратегия предотвращения утечки данных. Пусть сотрудники видят только информацию, которая нужна для работы. В случае кражи будет легко определить виновного.
-
Регулярно обновляйте программное обеспечение. С устаревшим ПО бизнес становится уязвимым для атак. Обновления устраняют дыры в безопасности из предыдущих версий программного обеспечения. Убедитесь, что вовремя обновляете софт компании.
-
Чаще меняйте пароль. Когда хакеры узнают пароли чужих учётных записей, то входят в них, когда захотят. Чтобы обезопасить данные, меняйте пароли каждые 90 дней и придумывайте сложные.
-
Защитите личные устройства сотрудников. Концепция BYOD (bring your own device) — использование для работы личных гаджетов в компаниях. Но устройства сотрудников — риск для данных бизнеса. Обезопасьте BYOD с антивирусами и VPN.
Защитите данные с Altcraft Platform
Доверьте бизнес-данные надёжной платформе для автоматизации маркетинга и контролируйте потоки информации. Altcraft Platform подстраивается под требования безопасности заказчика: возможно развёртывание платформы клиентских данных на сервере клиента. On-premise решение — это безопасность, быстрое внедрение. Также с Altcraft Platform нет ограничений на количество хранимых данных и отправки и не нужны сторонние вендоры.
P.S. Подписывайтесь на наш Telegram-канал. Всегда актуальные новости в области digital-маркетинга, полезные статьи и интересные исследования. Будьте в теме вместе с нами.
Источник: Lytics