Утечка из облака Dow Jones раскрыла данные миллионов подписчиков – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Утечка из облака Dow Jones раскрыла данные миллионов

Неправильно сконфигурированный облачный сервер, принадлежащий Dow Jones, материнской компании The Wall Street Journal, оставил незащищенными личные и финансовые данные миллионов подписчиков. Утечка, обнаруженная фирмой по кибербезопасности UpGuard, является доказательством того, как простая ошибка может иметь масштабные последствия.

Облако и значок сломанного замка наложены на логотип Dow Jones

Что произошло

Все началось по уже знакомому сценарию. Крупная корпорация, владелец некоторых из самых уважаемых финансовых изданий в мире, оставляет дверь где-то в облаке настежь открытой. На этот раз на сцене Dow Jones & Company, материнская компания таких изданий, как The Wall Street Journal и Barron's. Исследователи кибербезопасности обнаружили, что один из ее контейнеров хранения Amazon Web Services (AWS) S3 был полностью незащищен и общедоступен. Это означает, что любой, кто знал правильный адрес, мог получить доступ к конфиденциальной информации миллионов подписчиков, не встречая никаких препятствий, даже не вводя пароль.

Инцидент был предан огласке фирмой по кибербезопасности UpGuard, известной своей работой по сканированию подобных открытых серверов. Во время своих плановых проверок исследователи наткнулись на это огромное хранилище данных. Давайте проясним: это была не хакерская атака. Никто не писал сложный код для взлома систем Dow Jones. Ситуация гораздо проще и, возможно, поэтому более трагикомична: кто-то неправильно настроил один параметр. Сервер был помечен как «публичный» вместо «приватного», и никто этого не заметил. Пока исследователи UpGuard не постучались в дверь.

Утечки такого рода — одна из самых распространенных, но и самых предотвратимых проблем в мире кибербезопасности. Компании, сосредотачиваясь на гибкости и мощи переноса своих данных в облако, могут упускать из виду самые основные протоколы безопасности. Один неверный щелчок мыши разработчика или системного администратора может оставить данные миллионов людей на всеобщее обозрение в интернете. Случай с Dow Jones — хрестоматийный пример этого. Миллионы долларов на бюджеты безопасности, программное обеспечение, консультантов... все это, кажется, стало бесполезным из-за одной-единственной ошибки в конфигурации.

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →

Какие данные были раскрыты

Так что же именно находилось в этом незапертом цифровом сейфе? Список довольно длинный и, учитывая клиентуру гиганта финансовой прессы, весьма ценный. Согласно отчету UpGuard, утекшая база данных содержала информацию о 2,2-4 миллионах подписчиков. Вот некоторые из этих данных:

  • Персональные данные (PII): Полные имена, домашние и рабочие адреса, адреса электронной почты и номера телефонов. Это основной арсенал, необходимый мошенникам для нацеливания на конкретного человека.
  • Детали подписки: Информация о том, на какое издание они подписаны (The Wall Street Journal, Barron's, MarketWatch и т.д.), тип подписки и сколько они заплатили.
  • Информация об учетной записи: Имена пользователей и другие идентификаторы, связанные с учетной записью. Одним из наиболее тревожных аспектов, хотя и не указанных в отчете, является вероятность того, что пароли в таких утечках часто плохо защищены (например, хешированы с помощью старого алгоритма, такого как MD5).
  • Частичные финансовые данные: Возможно, самая конфиденциальная часть. Утекшие данные также включали последние четыре цифры кредитных карт клиентов. Хотя это и не полный номер карты, эта информация может стать мощным оружием в сочетании с другими личными данными. Когда мошенники звонят вам и говорят: «Мистер Смит, возникла проблема с вашей картой, заканчивающейся на 1234», эта информация делает их гораздо более убедительными.

Совокупность этих данных представляет собой нечто большее, чем просто утечку. Это сокровищница, которую можно использовать для создания подробных профилей некоторых из самых влиятельных бизнесменов, инвесторов и политиков мира. Информация о том, кто какие финансовые новости читает, где живет и какой адрес электронной почты использует, может быть использована для изощренных фишинговых атак и даже шантажа. Раскрытие домашнего адреса и номера телефона генерального директора в сочетании со знанием его интереса к определенному финансовому анализу создает риски безопасности, гораздо большие, чем можно себе представить.

Как произошла атака

Техническая сторона дела на удивление проста. Dow Jones использовала сервис Amazon S3 для хранения данных. Можно представить S3 как гигантский цифровой склад в интернете. Эти склады называются «бакетами» (buckets), и у каждого бакета есть настройки доступа. По умолчанию эти бакеты являются приватными, то есть доступ к ним имеют только авторизованные лица. Однако пользователь может изменить эту настройку и сделать бакет «публичным». Именно здесь и началась катастрофа.

Похоже, что разрешения как минимум для одного из бакетов S3 Dow Jones были настроены так, что не требовали аутентификации. Это означало, что любой, кто знал URL-адрес бакета или обнаружил его с помощью инструментов сканирования, мог просматривать и загружать находящиеся в нем файлы. Была ли это человеческая ошибка? Скорее всего. Сотрудник мог изменить настройку для временного обмена файлами и забыть вернуть ее обратно. Или автоматизированный скрипт мог быть неправильно сконфигурирован, сбросив настройки безопасности. Какова бы ни была причина, результат один: данные миллионов людей были оставлены в незапертом сейфе.

Этот инцидент еще раз подчеркивает «модель разделенной ответственности» в облачной безопасности. Облачные провайдеры, такие как Amazon, несут ответственность за безопасность *облака* — физическую безопасность серверов, сетевую инфраструктуру. Однако клиент — в данном случае Dow Jones — несет ответственность за безопасность *в облаке*. Это означает правильную настройку безопасности данных и приложений, которые они размещают в этой инфраструктуре. Dow Jones не смогла правильно использовать инструменты безопасности, предоставленные Amazon, что и привело к этой масштабной утечке. Короче говоря, винить некого хакера. Есть только зеркало.

Кто пострадал

Жертвами этой утечки стали миллионы людей, которые платят за публикации Dow Jones и доверяют компании свои данные. Список довольно обширен:

  • Подписчики The Wall Street Journal: Читатели одной из крупнейших в мире деловых и финансовых газет. Эта аудитория состоит из генеральных директоров, топ-менеджеров, инвесторов и ученых — все это ценные цели для кражи личных данных и фишинговых атак.
  • Подписчики Barron's: Еще одно престижное издание, ориентированное специально на инвесторов и профессионалов рынка. Их финансовые активы и интерес к рыночным движениям делают их главными целями для мошенников.
  • Пользователи других ресурсов Dow Jones: Пользователи популярных сайтов финансовых новостей, таких как MarketWatch, или корпоративных сервисов, таких как Factiva, также могут быть в опасности. Хотя полный масштаб утечки еще не ясен, безопаснее всего предположить, что потенциально затронут любой, кто подписан на какой-либо сервис под эгидой Dow Jones.

И это не только текущие подписчики. В соответствии с политикой хранения данных компаний, данные миллионов людей, отменивших подписку в прошлом, все еще могли находиться на этих серверах. Так что, даже если вы прекратили подписку на WSJ много лет назад, ваши данные все еще могут быть частью этой утечки, что еще больше расширяет ее потенциальное воздействие.

Что вы можете сделать

Если вы являетесь или были подписчиком издания Dow Jones, сейчас время не паниковать, а действовать разумно. Вот несколько нешаблонных шагов, специально разработанных для этой утечки:

1. Приоритизируйте свои пароли: Легко сказать «смените все свои пароли», но это нереалистично. Сделайте так: вы используете пароль от своих учетных записей Dow Jones где-либо еще, особенно для критически важных сервисов, таких как электронная почта или банковские приложения? Если да, сначала смените пароли для этих критически важных сервисов. Злоумышленники возьмут эти утекшие пароли и с помощью автоматизированных инструментов попробуют их на других платформах. Эта техника называется 'credential stuffing' (подстановка учетных данных), и она очень эффективна. Пароль от вашей учетной записи Dow Jones может быть вашим вторым приоритетом.

2. Будьте параноиком в отношении фишинга: В ближайшие несколько месяцев будьте особенно бдительны к сообщениям, которые вы получаете по телефону и электронной почте. Мошенники теперь знают, на какое издание вы подписаны, ваш адрес и последние четыре цифры вашей кредитной карты. Вы будете получать очень персонализированные и убедительные поддельные электронные письма, например: «Уважаемый Иван Петров, мы не смогли продлить вашу подписку на The Wall Street Journal с вашей карты, заканчивающейся на 4567. Пожалуйста, нажмите здесь, чтобы обновить вашу информацию». Помните: Dow Jones никогда не попросит ваш пароль или полный номер кредитной карты в электронном письме. Если вы получили подозрительное письмо, не переходите по ссылкам в нем. Вместо этого откройте браузер и вручную введите wsj.com или адрес соответствующего сайта, чтобы войти в свою учетную запись.

3. Следите за выписками по кредитным картам и банковским счетам: Хотя полные номера кредитных карт не утекли, эта информация может быть объединена с данными из других источников для совершения мошенничества. В ближайшие месяцы просматривайте выписки по кредитным картам строка за строкой. Даже небольшая, незнакомая транзакция может быть признаком того, что данные вашей карты проверяются. Немедленно свяжитесь с вашим банком.

Что говорит компания

Первоначальная реакция Dow Jones была, как и ожидалось, выдержана в корпоративном стиле. Представитель компании подтвердил, что они были уведомлены UpGuard и что доступ к указанному серверу был немедленно закрыт. В заявлении говорилось: «Безопасность данных наших клиентов является для нас высшим приоритетом. Мы начали расследование для выяснения обстоятельств инцидента и принимаем меры для уведомления затронутых клиентов».

Однако компания оставила без ответа ключевые вопросы, например, как долго данные были открыты или кто мог получить к ним доступ за это время. Они также попытались преуменьшить серьезность ситуации, заявив, что утекшие данные не включали «полные номера кредитных карт, номера социального страхования или другую конфиденциальную личную информацию». Хотя технически это правда, это не меняет того факта, что сочетание утекших персональных данных и частичной финансовой информации может быть чрезвычайно опасным. Ожидается, что в ближайшие дни компания выпустит более подробное заявление и свяжется с затронутыми пользователями напрямую. На данный момент кажется, что лучший курс действий для клиентов — взять свою безопасность в свои руки.

Источник

https://www.upguard.com/breaches/cloud-leak-dow-jones

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Утечка в Charter Communications может затронуть 5 млн Следующая статья → Компания APIsec Допустила Утечку Данных Своих Клиентов

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.