Главная » Инвестиции » Хакеры в подземелье: как данные пользователей могут украсть через Wi-Fi в метро

Хакеры в подземелье: как данные пользователей могут украсть через Wi-Fi в метро

Если бы оператор озаботился защитой информации пользователя, то шифровал бы данные и злоумышленник не смог бы узнать ничего ценного. А в этом случае оператор зашифровал только номера телефонов, по которым происходит подключение (на них приходит SMS), но остальные данные остались в исходном виде.

Безальтернативный оператор

Утечка данных из бюро кредитных историй Equifax гремела не один месяц, последовало увольнение топ-менеджеров, судебные иски. В инциденте с Facebook хватило извинений. А о случае в метрополитене почти не было реакции в соцсетях и СМИ. Все смирились?

С одной стороны, персональные данные, которые могли быть украдены через беспроводную сеть в Московском метрополитене не несут особой ценности. Профили пользователей скорее всего есть (может быть частично) и у других агрегаторов, и даже с большим количеством данных. Кроме того, негативный эффект снижает то, что эти данные продавались различным рекламным агентствам и по другим каналам.

С другой стороны Московский метрополитен обрабатывает данные больше половины всех москвичей. Напомню про про туристов, в которых есть иностранные гости, а значит надо учитывать область действия закона ЕС о персональных данных — GDPR? Последствия могут быть далеко не локальными.

Найденная уязвимость вполне банальна, и должна была быть устранена на этапе тестирования бета-версии продукта или раньше, но почему-то о ней не знали. Это наводит на мысли о том, а насколько вообще нефинансовые организации пекутся о своей безопасности? Точнее о нашей.

Вот финансовая сфера живет в мире, который более чувствителен к киберугрозам, там серьезно занимаются безопасностью. На них «давят» регламенты, риски, пользовательское недовольство в конце концов, потому что там есть что потерять — деньги, измеримые деньги. В случае потери или утечек эффект будет прямой — возмещения, судебные иски и так далее.

В случае с персональными данными потери не так очевидны, а значит и не так страшны риски. Нет прецедентов крупных штрафов которые могут сильно навредить бизнесу. Вот в ЕС по GDPR предусмотрен штраф в размере 4% от годового оборота компании, но в России регламенты с похожими штрафами пока что не слишком популярны, и видимо зря. Оператора не особо заботит мнение пользователей, особенно в метро, где нет конкурентной борьбы — 3G/LTE практически не работает, выбора нет. Поэтому безопасность не в приоритете. Тем более, сейчас в мире столько информационного фона, что об этом забудут через несколько дней.

Памятка выжившего

Очень интересно в разных сферах рынка видеть различный уровень развития организаций в части ИБ. Кто-то всеми способами внедряет процессы безопасной разработки, тестирует приложения, проводит аудит безопасности, а в других сферах компании не озадачиваются даже простейшими тестами на проникновение. Например многие организации финансового сектора проходят множество аудитов на соответствие различным стандартам, проходят различные тестирования своих приложений на безопасность, и не только поддерживают требуемый уровень безопасности но и стараются его максимально улучшить.

Какие же выводы можно сделать? Пользователям повлиять было практически невозможно: хочешь интернет — держи Wi-Fi, все остальное не ловит. В результате и максимально возможная реакция: «Покричат немного, а потом забудут». Избежать повторения ситуации, когда персональные данные жителей столицы хранились в незашифрованном, можно только с помощью регулятора: путем введения правил, штрафов, санкций и всего того, что так не любят.

Пользователь может только запомнить, что подключение к публичным точкам Wi-Fi априори считается небезопасным. Так как получить все данные, которые вы передаете в незашифрованном виде, может как минимум хозяин точки доступа. Злоумышленник, получивший доступ к оборудованию или сымитировавший сеть, может перехватить и передаваемые персональные данные и даже файлы, в которых часто содержатся пароли.

Несмотря на многочисленные инциденты с утечками данных, взломами различных сервисов, найденными критическими уязвимостями в различном оборудовании и ПО, компании начинают заниматься безопасностью, когда риски достигают уровня в несколько раз превышающего стоимость внедрения этой самой системы информационной безопасности. В основном этот момент наступает после того, как происходит какой-то непоправимый инцидент. Нежелание учиться на чужих ошибках может дорого стоить, а пока непоправимой ситуации не произошло у нас любят полагаться на старый, добрый «авось». Не настало ли время переосмыслить подходы?

Читайте также

Мир в опасности: кто сможет защитить данные пользователей интернета