Недавно я наткнулся на отчет, описывающий «мать всех утечек» – а точнее, слив огромной подборки данных, украденных во время ряда атак на различные компании и онлайн-сервисы, включая LinkedIn и Twitter (теперь X). Сообщалось, что в кэше данных было поразительное количество — 26 миллиардов записей, содержащих широкий спектр конфиденциальной информации, включая правительственные данные и логины пользователей.
Хотя это не первый случай, когда огромный массив пользовательских данных становится доступным для кражи, само количество скомпрометированных записей превосходит предыдущие известные утечки (и их компиляции). Просто подумайте: печально известная утечка данных Cam4 в 2020 году раскрыла почти 11 миллиардов различных записей, а взлом Yahoo в 2013 году затронул все три миллиарда пользовательских аккаунтов. И не будем забывать: aptly named Collection No. 1, которая появилась в интернете в 2019 году, раскрыла 773 миллиона логинов и паролей, ранее украденных из различных организаций, а всего через несколько недель за ней последовали еще четыре «коллекции» такого рода.
Что это значит для нас? Возможно, главное, что нужно понять: даже если вы соблюдаете строгие меры личной безопасности, ваши учетные данные все равно могут попасть в такие коллекции, в основном из-за взломов крупных компаний. Это наводит на вопрос: как узнать, были ли ваши учетные данные скомпрометированы? Читайте дальше.
Раскрытие информации компаниями
Компании могут подпадать под действие конкретных нормативных требований, обязывающих их раскрывать информацию об инцидентах взлома и уязвимостях, которые не были исправлены. Например, в США публичные компании обязаны сообщать о «существенных» киберинцидентах в Комиссию по ценным бумагам и биржам США (SEC) в течение 96 часов, или четырех рабочих дней, с момента их возникновения.
Как это помогает обычным людям? Такая прозрачность может не только помочь укрепить доверие клиентов, но и информировать их о том, были ли скомпрометированы их аккаунты или данные. Компании обычно уведомляют пользователей об утечках данных по электронной почте, но поскольку отчеты SEC являются публичными, вы можете узнать о таких инцидентах из других источников, возможно, даже из новостных репортажей.
Have I been pwned?
Пожалуй, самый простой способ проверить, были ли какие-либо ваши данные, такие как адрес электронной почты или пароли, раскрыты в результате утечки данных, — это посетить haveibeenpwned.com. На сайте есть бесплатный инструмент, который может сообщить, когда и где появились ваши данные.
Просто введите свой адрес электронной почты, нажмите «pwned?» и вуаля! Появится сообщение, информирующее вас о статусе безопасности ваших учетных данных, а также о конкретной утечке, в которой они были обнаружены. Для тех, кому повезло, результат будет зеленым, сигнализируя об отсутствии компрометации, а для менее удачливых сайт станет красным, перечисляя, в каких утечках данных появились ваши учетные данные.
Веб-браузеры
Некоторые веб-браузеры, включая Google Chrome и Firefox, могут проверять, были ли ваши пароли включены в какие-либо известные утечки данных. Chrome также может рекомендовать более надежные пароли через свой модуль управления паролями или предлагать другие функции для повышения безопасности ваших паролей.
Однако, возможно, вы захотите улучшить свою игру и использовать специализированный менеджер паролей, который имеет проверенную репутацию в области обеспечения безопасности данных, в том числе с помощью надежного шифрования. Эти инструменты также часто поставляются в комплекте с надежным многоуровневым программным обеспечением безопасности.
Менеджеры паролей
Менеджеры паролей бесценны, когда дело доходит до управления большой коллекцией учетных данных, поскольку они могут не только надежно хранить их, но и генерировать сложные и уникальные пароли для каждого из ваших онлайн-аккаунтов. Само собой разумеется, однако, что вам нужно использовать надежный, но запоминающийся мастер-пароль, который держит ключи от вашего королевства.
С другой стороны, эти хранилища паролей не застрахованы от компрометации и остаются привлекательными целями для злоумышленников, например, в результате атак на подстановку учетных данных или атак, использующих уязвимости программного обеспечения. Тем не менее, преимущества – включая встроенные проверки на утечку паролей и интеграцию со схемами двухфакторной аутентификации (2FA), доступными сегодня на многих онлайн-платформах – перевешивают риски.
Как предотвратить (последствия) утечек учетных данных?
Теперь, что касается предотвращения утечек в первую очередь? Может ли обычный интернет-пользователь защитить себя от утечек учетных данных? Если да, то как? Действительно, как сохранить свои аккаунты в безопасности?
Во-первых, и мы не можем это достаточно подчеркнуть, не полагайтесь только на пароли. Вместо этого убедитесь, что ваши аккаунты защищены двумя формами идентификации. Для этого используйте двухфакторную аутентификацию (2FA) для всех служб, которые ее поддерживают, в идеале в виде выделенного ключа безопасности для 2FA или приложения-аутентификатора, такого как Microsoft Authenticator или Google Authenticator. Это значительно затруднит злоумышленникам несанкционированный доступ к вашим аккаунтам – даже если они каким-то образом получили ваши пароли.
Связанное чтение: Microsoft: 99,9% взломанных аккаунтов не использовали MFA
Что касается безопасности паролей как таковой, избегайте записи логинов на бумаге или хранения их в приложении для заметок. Также лучше избегать хранения учетных данных в веб-браузерах, которые обычно хранят их в виде простых текстовых файлов, делая их уязвимыми для извлечения данных вредоносным ПО.
Другие базовые советы по безопасности учетных записей включают использование надежных паролей, что затрудняет мошенникам проведение атак перебора. Избегайте простых и коротких паролей, таких как слово и число. Если сомневаетесь, используйте этот инструмент ESET для генерации надежных и уникальных паролей для каждого из ваших аккаунтов.
Связанное чтение: Как часто следует менять пароли?
Также хорошей практикой является использование парольных фраз, которые могут быть безопаснее, а также легче запоминаются. Вместо случайных комбинаций букв и символов они состоят из серии слов, которые начинаются с заглавных букв и, возможно, специальных символов.
Аналогично, используйте разные пароли для каждого из ваших аккаунтов, чтобы предотвратить атаки, такие как подстановка учетных данных, которая использует склонность людей повторно использовать одни и те же учетные данные на нескольких онлайн-сервисах.
Новый подход к аутентификации основан на входе без пароля, таком как пасс-ключи, а также существуют другие методы входа, такие как токены безопасности, одноразовые коды или биометрия для проверки владения аккаунтом на нескольких устройствах и системах.
Предотвращение на стороне компании
Компании должны инвестировать в решения безопасности, такие как программное обеспечение для обнаружения и реагирования, которое может предотвращать взломы и инциденты безопасности. Кроме того, организации должны проактивно сокращать свою поверхность атаки и реагировать, как только будет обнаружено что-то подозрительное. Управление уязвимостями также имеет решающее значение, поскольку отслеживание известных программных лазеек и своевременное их исправление помогает предотвратить их использование киберпреступниками.
Между тем, вездесущий человеческий фактор также может привести к компрометации, например, когда сотрудник открывает подозрительное вложение в электронном письме или переходит по ссылке. Именно поэтому нельзя недооценивать важность обучения осведомленности о кибербезопасности и безопасности конечных точек/почтовой безопасности.
Связанное чтение: Укрепление самого слабого звена: 3 основные темы осведомленности о безопасности для ваших сотрудников
Любая компания, которая серьезно относится к безопасности данных, также должна рассмотреть решение о предотвращении потери данных (DLP) и внедрить надежную политику резервного копирования.
Кроме того, обработка больших объемов клиентских и корпоративных данных требует строгих методов шифрования. Локальное шифрование учетных данных может защитить такие конфиденциальные данные, затрудняя злоумышленникам использование украденной информации без доступа к соответствующим ключам шифрования.
В общем, не существует универсального решения, и каждая компания должна адаптировать свою стратегию безопасности данных к своим конкретным потребностям и адаптироваться к меняющемуся ландшафту угроз. Тем не менее, сочетание лучших практик в области кибербезопасности поможет в значительной степени предотвратить взломы и утечки данных.