В эпоху интернета утечкой информации становится все более сложно
кого-либо удивить. Все, что плохо лежит моментально попадает в сеть
и становится достоянием общественности. Кто же в этом виноват — сами
пользователи, поисковые машины и сервисы, недобросовестные хакеры,
которые выкладывают данные? Как показывает практика, никто
не застрахован от подобных ситуаций.
Сентябрь 2014. Яндекс.Почта, Gmail и Mail.ru
Не так давно российская интернет-общественность замерла — в открытом
доступе оказались миллионы паролей от почтовых аккаунтов трех популярных
в Рунете сервисов.
Первым оказался
Яндекс, система безопасности которого сразу же подверглась жесткой
критике. Компания с таким положением вещей не согласилась и выдвинула
свою версию произошедшего — сами пользователи виноваты в утечке данных!
Пароли и логины от аккаунтов Я.Почты, оказавшиеся в сети, собирались
в течение нескольких лет с помощью троянских программ и фишинговых
сайтов. Также Яндекс заявил, что большая часть аккаунтов со «слитыми»
логинами-паролями давно на особом счету у Яндекса — они считаются
неактивными.
В аналогичной ситуации с почтовыми аккаунтами Mail.ru и Gmail сервисы также заявили, что большая часть слитой базы содержит данные для доступа к неактивным аккаунтам.
Сентябрь 2014. Apple
В сентябре также в сети появились фотографии (в том числе интимного
характера) из личных архивов популярных актрис, моделей и певиц. Как
выяснилось данные «утекли» из сервиса iCloud. Представители Apple
заявили, что хакеры получили доступ к информации путем подбора паролей
и ответов на секретные вопросы, но не взламывали сервисы корпорации.
Январь 2013. Mail.ru
В начале 2013 года выяснилось, что к файлам, которыми обмениваются
пользователи сервиса ICQ, принадлежащего Mail.ru Group, не так
уж и сложно получить доступ. Причиной стала новая схема передачи файлов,
введённая разработчиками после приобретения сервиса у AOL: раньше файлы
передавались напрямую от пользователя к пользователю, теперь же файл
сохранялся на сервере Mail.ru, а получателю отправлялась лишь ссылка для
скачивания. При этом скачать файл по прямой ссылке мог кто угодно.
Сами ссылки имели определённый вид и отличались 6-значным кодом.
Соответственно задача получения файлов свелась к перебору этих кодов
в известном диапазоне. Одновременно с новостью в интернете появился
и простейший скрипт для автоматизированной генерации ссылок и скачивания
файлов. Пользователи наперебой начали выкладывать коллекции
заинтересовавших их файлов: фотографии интимного характера, тексты
договоров, сканы паспортов и других документов.
Июль 2012 года. Yahoo!
В июле 2012 года компания заявила об утечке 450 тысяч паролей.
По словам Yahoo!, злоумышленникам удалось получить доступ к так
называемому «устаревшему» файлу из сервиса для публикации контента
Yahoo! Contributor Network. Помимо паролей от Yahoo, файл содержал
сведения от Google и Facebook, с помощью учётных записей которых также
можно пользоваться Yahoo.
Официально было заявлено, что из украденной базы паролей по-прежнему
рабочими оставались лишь менее 5% — остальные были сменены хозяевами
за время, прошедшее с момента создания захваченного файла.
Июнь 2012 года. LinkedIn
Летом 2012 года на одном из российских хакерских сайтов появился
файл, содержащий шесть с половиной миллионов паролей от LinkedIn.
Соцсеть официально подтвердила утечку в сообщении корпоративного блога. По словам представителей LinkedIn, часть опубликованных паролей была действующей, но ее величину в компании не озвучили.
Ноябрь 2011. ВКонтакте
В 2011 году в поиске соцсети можно было найти
20 000 документов — копии паспортов, свидетельства регистрации
юридических лиц, резюме, сканы удостоверений и водительских прав,
документы с данными доступа к Skype, Google и других веб-серисов. Данные
стали публичными благодаря сервису Документы, с помощью которого
пользователи подгружали к сообщениям текстовые файлы.
Пресс-служба ВК объяснила произошедшее невнимательностью самих
пользователей — доступ к файлам определялся элементарными настройками
приватности ВКонтакте, и по умолчанию файлы, прикрепленные к публичным
постам, могут видеть все пользователи соцсети. Тем не менее, через
некоторое время ВК изменили настройки приватности — прикрепленные
к сообщениям документы стали доступны только друзьям пользователей.
Июль 2011. Утечка данных интернет-магазинов в Рунете
В июле 2011 при вводе в строку поиска определенного кода Яндекс выдавал несколько тысяч страниц со статусами заказов
в онлайн-магазинах книг, игр, секс-товаров и т.д. По ссылкам
с результатов поиска можно было увидеть ФИО, адрес и контактные данные
клиента магазина, IP-адрес, наименование его покупки, дату и время
заказа. Причиной утечки стал некорректно составленный файл robots.txt.
Июль 2011. Мегафон
Летом 2011 года более 8 тысяч SMS-сообщений, отправленных пользователями через сайт компании «МегаФон»,
попали в выдачу Яндекса. При вводе определенного запроса пользователи
могли увидеть текст сообщений и номера абонентов, на которые они были
отправлены.
Заместитель генерального директора «МегаФона» Валерий Ермаков
заявил, что причиной публичного доступа к данным могло стать наличие
у клиентов «Яндекс.Бара», который считывал информацию и отправлял
поисковому роботу Яндекса.
У Яндекса было другое объяснение:
Еще раз можем подтвердить, что страницы с SMS с сайта МегаФона
были публично доступны всем поисковым системам... Ответственность
за размещение информации в открытом доступе лежит на том, кто
её разместил или не защитил должным образом...
Особо хотим отметить, что никакие сервисы Яндекса не виноваты
в утечке данных с сайта МегаФона. Ни Яндекс.Бар, ни Яндекс.Метрика
не скачивают содержимое веб-страниц. Если страница закрыта для
индексации в файле robots.txt или защищена логином и паролем, то она
недоступна и поисковым роботам, то есть информация, размещенная на ней,
никогда не окажется в какой-либо поисковой системе.
В результате Арбитражный суд Москвы наложил на Мегафон штраф
в размере 30 тыс. рублей. О каких-либо мерах в отношении Яндекса речь
не заходила.
Май-июль 2011. Facebook
В июле 2011 года американцы признались, что ненавидят Facebook
за ненадежность в том, что касается хранения персональных данных.
В мае-июле того года в соцсети произошли сразу две крупные утечки пользовательской информации, а разработчики этого даже не заметили.
Июнь 2011. ВКонтакте
В 2011 году соцсеть неожиданно изменила настройки приватности списков
друзей участников ВКонтакте — они стали открыты для просмотра всем
посторонним пользователям. Лимит на «скрытых друзей» составил
15 человек. Но так как более половины пользователей (52%) предпочитали
скрывать свой список друзей от других пользователей до запуска
нововведения, особой радости оно все же не вызвало.
Апрель 2011. WordPress
В 2011 году сервис подвергся масштабным DDoS-атакам, в результате
которых несколько самых популярных плагинов были заражены троянским
софтом. Последствия взлома хакеров потребовали от сервиса сбросов всех
паролей и восстановление всех плагинов. Размер утечки сервис не стал
раскрывать, но предположительно это более 18 млн записей (исходный коды,
API-ключи доступа, логины и пароли).
Февраль 2010. Google
Сервис Buzz, который Google представил в 2010 году, никто не оценил.
А все из-за функционала сервиса, благодаря которому все пользователи,
с которыми человек общался в Google Talk, попадали в открытый список
друзей на Buzz. За распространение личной информации пользователей
Google предъявили коллективный судебный иск, и в результате компания
выплатила пострадавшим компенсацию в размере $8,5 млн.
| 
