5 і 6 ліпеня ў Беларусі адбыўся выцек кліенцкай базы крамаў «Бусьлік» і «Востраў чысьціні», 10 ліпеня аб’ектам атакі стала інфармацыйная сыстэма сэрвісу вытворцы дзьвярэй «Юркас». Агулам у крамы «Бусьлік» скралі дадзеныя 220 тысяч карыстальнікаў — імёны і прозьвішчы, нумары мабільных тэлефонаў і адрасы электроннай пошты.
З крамы «Востраў чысьціні» выцягнулі зьвесткі 730 тысячаў кліентаў. Гэта таксама імёны, адрасы — электронныя і фізычныя. У сэрвісу вытворцы дзьвярэй «Юркас» выцек закрануў дадзеныя больш як 45 тысяч чалавек.
Як узламалі базу
Нацыянальны цэнтар абароны пэрсанальных дадзеных Беларусі паведаміў у сваім тэлеграм-канале, што выцек дадзеных адбыўся праз «уразьлівасьць міжсайтавых сцэнараў інфармацыйнай сыстэмы „Бітрыкс“». Яе выкарыстоўваюць, каб наладзіць працу кампаніі. Простай мовай — гэта такі ўнутраны рэсурс з магчымасьцю камунікацыі, званкоў, плянаваньня, базаў дадзеных ды іншага.
Як расказалі Свабодзе спэцыялісты ў галіне кібэрбясьпекі, доступ да такой сыстэмы можна было атрымаць, бо яна дазваляе загружаць на сэрвэры староньнія файлы. Таксама выцек мог адбыцца праз тое, што на сэрвэры несвоечасова ўсталёўвалі абнаўленьні.
Апроч гэтага, мог адбыцца ўнутраны ўзлом. Гэта калі дадзеныя проста выносіць супрацоўнік кампаніі, без узлому сыстэмы звонку.
Навошта ламаць такую базу
Самім хакерам, на думку спэцыялістаў у кібэрбясьпецы, такая база патрэбная хіба для продажу. Яе выстаўляюць у так званым даркнэце (закрытым, цалкам ананімным сэгмэнце інтэрнэту. — РС) і прадаюць. Купленую базу можна выкарыстоўваць па-рознаму. Самы просты спосаб, пра які кажуць спэцыялісты, — гэта выманьваньне грошай.
«У базе ёсьць зьвесткі: імя, прозьвішча, імя па бацьку, тэлефон, дата нараджэньня. Пасьля, калі база куплена, ёю могуць скарыстацца махляры. Пазваніць, прадставіцца супрацоўнікам ці супрацоўніцай банку і спрабаваць выманіць грошы. Па базе лёгка выбраць і людзей больш сталага веку, якія лягчэй могуць павесьціся на такі развод», — тлумачаць спэцыялісты.
Ёсьць і менш шкодныя спосабы выкарыстоўваць узламаную базу. Напрыклад, рабіць спам-рассылку па паштовых адрасах. У такім выпадку карыстальніку будуць дакучаць электронныя лісты.
Ёсьць адмысловыя сэрвісы, каб спраўдзіць, ці трапіла ваша паштовая скрыня ва ўзламаныя базы. Напрыклад, haveibeenpwned.com. Уводзім сваю пошту і бачым, ці трапіла яна ў сьпіс. Калі трапіла, вам пакажуць таксама, у якога сэрвісу скралі базу дадзеных з вашай поштай і калі. У такім выпадку варта памяняць пароль ад пошты і абавязкова наладзіць двухфактарную аўтэнтыфікацыю, калі яна ў вас яшчэ ня ўключаная.
Ці можна на скрадзеныя дадзеныя ўзяць крэдыт у банку?
Зьвестак са скрадзенай базы ня будзе дастаткова, каб аформіць крэдыт ці растэрміноўку на чалавека безь ягонага ведама. У Беларусі для афармленьня крэдыту пакуль патрэбны арыгінал пашпарта. Скрасьці грошы наўпрост з карткі таксама, хутчэй за ўсё, не атрымаецца. У банках ёсьць ідэнтыфікацыя на перавод грошай праз СМС.
Спэцыялісты раяць кліентам тых сэрвісаў, якія ўзламалі, памяняць паролі ад акаўнтаў і пошты, а таксама ўважліва ставіцца да званкоў з псэўдабанкаў ды іншых званкоў зь незнаёмых нумароў.
Можна паклапаціцца пра бясьпеку асабістых дадзеных і загадзя. У розных сэрвісах, дзе патрэбная рэгістрацыя, не абавязкова ўводзіць сапраўдныя імя і прозьвішча, іх можна выдумаць. Таксама лепш выкарыстоўваць розныя паролі для розных сэрвісаў і сацыяльных сетак. Для іх стварэньня можна карыстацца папулярнымі сэрвісамі і мэнэджарамі пароляў.
Па магчымасьці ў інтэрнэце трэба ўстрымлівацца ад агучваньня тых дадзеных, якія вы хочаце пакінуць канфідэнцыйнымі.
Кампаніям, якія зьбіраюць дадзеныя карыстальнікаў, экспэрты ў кібербясьпецы раяць наймаць добрых спэцыялістаў для абароны дадзеных, у час ставіць новыя абнаўленьні і больш уважліва ставіцца да кібэрбясьпекі.
Летась у Беларусі зафіксавалі 13 541 злачынства, зьвязанае з кампутарнай бясьпекай і кампутарнай інфармацыяй, падлічыў Белстат. Гэта на 1962 злачынствы менш, чым у 2021 годзе. Пры гэтым колькасьць злачынстваў, зьвязаных з махлярствам, вырасла за той жа год да 7384 — або на 2640 выпадкаў.