Tomasz Rot: Co się dzieje z danymi po wycieku?

Media coraz częściej donoszą o naruszeniach danych w dużych koncernach i agencjach rządowych, a w naszych skrzynkach pojawiają się wiadomości zatytułowane: „Zmień hasło”, „Dbamy o Twoje bezpieczeństwo” lub „Powiadomienie o naruszeniu danych”. W środku wiadomości najczęściej znajdziemy przeprosiny, po których następuje obietnica, że firma „poważnie podchodzi do kwestii bezpieczeństwa”. Dodatkowo załączana jest lista wszystkich typów danych osobowych, które firma utraciła.

W przypadku większości wycieków danych kradzież danych to często dopiero początek przestępstwa. Jeśli przestępcy nie mogą wykorzystać lub sprzedać danych w krótkim czasie po kradzieży, stają się one dość szybko bezwartościowe. Dlatego ważne jest, aby zrozumieć, co dzieje się z danymi po naruszeniu.

Od momentu, kiedy haker po raz pierwszy uzyska dane uwierzytelniające, do momentu, gdy są one następnie rozpowszechniane wśród innych podmiotów (sprzedane lub upubliczniane), skradzione dane uwierzytelniające najczęściej przechodzą przez kilka oddzielnych faz nadużycia. Z wewnętrznych analiz firmy Barracuda wynika, że połowa wszystkich organizacji potrzebuje od czterech do sześciu miesięcy na wykrycie naruszenia danych uwierzytelniających. W większości przypadków dzieje się to dopiero po tym, jak zewnętrzna firma lub osoba informuje dany podmiot o wykryciu utraconych danych w „darknecie”.

Cel: monetyzacja danych

W pierwszych dniach i tygodniach, następujących bezpośrednio po wykradzeniu danych uwierzytelniających, przestępcy odpowiedzialni za kradzież danych mają tendencję do wykorzystywania skradzionych informacji w bardzo dyskretny (tak aby nie zostać wykrytym), ale zarazem wysoce celowy sposób. Swoje działania koncentrują najczęściej na wykorzystaniu danych uwierzytelniających do uzyskania stałego dostępu do sieci i prób dalszego przejęcia kluczowych kont, przeprowadzenia rekonesansu oraz zebrania wszelkich dodatkowych informacji pozwalających np. uwiarygodnić przyszły, celowany na osobę decyzyjną w organizacji atak phishingowy (wykorzystując socjotechnikę). Są to pierwsze próby „monetyzacji” danych, ale zarabiają na nich bardzo ostrożnie, mając na uwadze konkretne cele. To właśnie w tym momencie długotrwałe szkody dla firmy są największe.

Kolejny etap to moment, kiedy skradzione dane uwierzytelniające są udostępniane innym członkom społeczności. W miarę jak dane stają się szerzej dostępne w darknecie, gwałtownie zaczyna rosnąć liczba ataków polegających na masowych próbach uwierzytelniania się wykradzionymi danymi na wybranych portalach i serwisach internetowych (tzw. credential stuffing). Ponieważ zwykle prowadzi to do wykrycia kradzieży danych uwierzytelniających, taka zwiększona aktywność trwa dość krótko – tylko około miesiąca.

Największe szkody biznesowe (np. utrata wiarygodności) i finansowe (m.in. w postaci kar regulacyjnych oraz finansowych) ponoszą firmy w momencie, gdy informacja o wycieku danych staje się publiczna. Na tym etapie użytkownicy w odpowiedzi zaczynają zmieniać hasła, a amatorzy hakerzy i crackerzy rzucają się, by użyć skradzionych nazw użytkownika i haseł w celu uzyskania dostępu do popularnych serwisów internetowych.

Po pewnym czasie skradzione dane uwierzytelniające nie mają już tak wielkiej wartości, jak na początku, ale nadal wykorzystywane są w atakach i to nawet z większą częstotliwością niż w pierwszej fazie. Wygląda to tak, że na pierwszym etapie wykradzione dane utylizowane są kilka do kilkunastu razy dziennie, w kolejnej fazie w miarę rozpowszechniania się informacji o wycieku prób tych jest nawet kilkaset dziennie, po czym liczba ta spada znowu do poziomu z pierwszego etapu. Jak widać, problem masowych prób uwierzytelniania się wykradzionymi danymi (tzw. credential stuffing) stanowi dla firm działających online poważny problem i ryzyko, którego nie należy bagatelizować.

Palący problem w czasach pandemii

Problem ataków na strony i serwisy internetowe przez masowe próby uwierzytelniania się wykradzionymi danymi (tzw. credential stuffing) jest coraz bardziej powszechny – zwłaszcza od początku pandemii Covid-19. W jednym z badań, opublikowanym w listopadzie ubiegłego roku, naukowcy z Arkose Labs odkryli, że z ponad 1 mld prób oszustw, które zaobserwowano w trzecim kwartale 2020 r., około 770 mln dotyczyło właśnie credential stuffingu. Inne badanie przeprowadzone przez Digital Shadows wykazało, że ponad 15 mld skradzionych lub w inny sposób ujawnionych danych uwierzytelniających jest dostępnych w darknecie.

Pozytywnym trendem, który zauważa w swoim corocznym raporcie Verizon, jest spadek liczby tzw. megawycieków danych, czyli incydentów bezpieczeństwa danych w organizacjach gromadzących znaczne ich ilości. Trend ten potwierdza średnia liczba wykradzionych tzw. rekordów, przypadająca na incydent naruszenia danych, która wg. badaczy IBM wynosi nieco ponad 25 tyś. Może to oznaczać, że większe firmy radzą sobie lepiej z ochroną danych. Niemniej jednak wg. tego samego raportu w samym 2020 r. odnotowano prawie 4 tys. publicznie zgłoszonych incydentów wycieku danych, a jak policzył IBM – średni całkowity koszt wycieku danych to prawie 4 mln USD.

Bez względu na branżę nie ma wątpliwości, że bezpieczeństwo i ochrona danych są bardzo cenne dla firm w dobie gospodarki cyfrowej, w której żyjemy. Aby nie stać się obiektem negatywnych statystyk naruszeń bezpieczeństwa oraz poprawić ogólne zachowanie w zakresie bezpieczeństwa biznesu, obowiązkowa jest ocena ryzyka cyberbezpieczeństwa firmy i wprowadzanie zmian odpowiadających obecnym zagrożeniom.

MATERIAŁ POWSTAŁ WE WSPÓŁPRACY Z BARRACUDA NETWORKS

Publicystyka