Які заходи ми повинні вжити, щоб запобігти витоку даних?

Автор: Certik

У сучасному суспільстві, незалежно від того, працюємо ми чи живемо, Інтернет уже давно невіддільний від життя людей. Вам не обов’язково брати з собою гаманець, але ви повинні взяти з собою мобільний телефон, коли виходите на вулицю. Немає фізичної картки як способу оплати, і навіть вуличні жебраки почали використовувати Інтернет для переказу та збору грошей QR-коди.

Неважко уявити, що більшість загроз, з якими зараз стикаються окремі особи, підприємства, організації та їхні клієнти, насправді походять від мережевих вразливостей і атак. У наш час конфіденційність даних і особиста конфіденційність, якими турбуються люди, стали надзвичайно важливими. Щороку існує незліченна кількість випадків втрати конфіденційних даних через уразливості.

В історії Web3.0 траплялися численні серйозні інциденти безпеки, починаючи від втрати закритих ключів централізованих бірж і закінчуючи крадіжкою особистих даних інвесторів. І ці дані можуть роками зберігатися на хакерських онлайн-форумах і в даркнет-маркетах, а це означає, що витік даних надовго поставить під загрозу цих користувачів.

Аналіз CertiK розглянув 74 інциденти безпеки, які сталися в централізованих об’єктах Web 3.0. 23 з цих інцидентів призвели до тривалого високого ризику втрати даних, і з цих 23 інцидентів 10 пакетів все ще доступні для покупки на темних форумах.

Серія правоохоронних кампаній проти хакерських форумів може запобігти вилученню певних даних, але такі заходи є лише паліативними.

У цій статті ви дізнаєтеся про: класифікацію інцидентів витоку даних Web3.0 і заходи, які ми повинні вжити для захисту наших даних.

фон

Зломи, експлойти, програми-вимагачі та всі загрози кібербезпеці зростають у розмірах і серйозності. Екосистема Web 3.0 унікальна тим, що надає зловмисникам різноманітні вектори атак, яких немає в інших технологіях, включаючи вразливості в смарт-контрактах і нові методи фішингу.

Однак історія інцидентів безпеки Web 3.0 тісно пов’язана з ситуацією в інших галузях. У зонах, які не належать до Web 3.0, відсутні ті самі типи прогалин у безпеці, які централізовані проекти та компанії не можуть усунути.

Ми хотіли ближче розглянути історію інцидентів у сфері кібербезпеки щодо цілей Web 3.0 і оцінити, чи становлять минулі інциденти постійний ризик для членів спільноти сьогодні.

Для цього потрібен ретельний аналіз того, чим інциденти безпеки в цьому звіті відрізняються від уразливостей, викликаних використанням протоколів смарт-контрактів.

З 2011 року ми вивчили багато інцидентів проти компаній Web3.0, і їх можна приблизно розділити на дві категорії:

• Зловмисна експлуатація протоколу: події, які використовують коди смарт-контрактів для отримання економічної вигоди
• Уразливість: інцидент, під час якого зловмисник компрометує внутрішню мережу цільової організації та використовує отримані привілеї для викрадення даних або коштів компанії

Існує кілька важливих відмінностей між двома категоріями щодо короткострокового та довгострокового ризику.

Зловмисне використання протоколу відбувається протягом визначеного періоду часу, починаючи з моменту, коли зловмисник виконує експлойт, і закінчується, коли він вичерпує всі доступні кошти, закінчується паливо або спричиняє припинення цільового проекту. Деякі з цих подій можуть тривати годинами або днями, а переговори після події ще більше подовжують цей часовий проміжок, а також були випадки закриття проектів відразу після цього. Однак ключовим є те, що ці атаки мають чіткі початкові та кінцеві вузли.

Уразливості, навпаки, кваліфікуються як постійні інциденти (зловмисник отримує доступ до мережі та залишається там протягом тривалого часу). Порушення зазвичай визначається як викрадання даних, які використовуються під час атаки або згодом продаються в даркнеті чи онлайн-форумах.

Злом мережі також може призвести до серйозних фінансових втрат. Більшість організацій Web 3.0 є фінансовими установами з великим потоком грошей, що робить їх природною мішенню для хакерів.

Порушення даних може бути руйнівним, і ризик може тривати роками, особливо якщо під час порушення буде втрачено особисту інформацію (PII).

Зважаючи на це, ми зібрали вибірку з 74 минулих інцидентів, які ми класифікуємо як порушення, що становлять постійний ризик для членів спільноти (включає лише інциденти, коли внутрішня мережа компанії була скомпрометована, і не включає дані про використання протоколу).

Ми вважаємо, що необхідно розрізняти інциденти, під час яких втрачаються конфіденційні дані, та інциденти, у яких втрачаються лише кошти. Щоб краще оцінити постійний ризик цих порушень, ми висвітлимо порушення, дані яких все ще доступні для продажу або вільно доступні в даркнеті чи інших областях чистої мережі, і висловимо свої міркування щодо доступності цих платформ.

Порушення даних і втрата коштів

Щоб оцінити постійний ризик, пов’язаний із цими подіями, ми згрупували їх у такі визначені події:

1. Події втрати даних, які теоретично можна відновити, включаючи ідентифікаційну інформацію та внутрішні бази даних тощо.
2. У разі втрати коштів або даних дані більше не можуть бути відновлені.

Друга категорія інцидентів безповоротної втрати даних складається переважно з порушень, які призводять лише до втрати коштів або закритих ключів. У таких випадках втрачені кошти зазвичай безповоротні.

Незвичайні події включають випадки, коли викрадені дані ніколи не оприлюднюються, не повертаються або не використовуються для інших цілей. Наприклад, у червні 2020 року була атакована японська централізована біржа Coincheck, і до рук зловмисників потрапила ідентифікаційна інформація понад 200 клієнтів. Зловмисники зламали мережу Coincheck, а потім розіслали фішингові листи з внутрішньої електронної адреси компанії, вимагаючи від клієнтів ідентифікаційну інформацію. Але в цьому інциденті не було втрачено жодної конкретної бази даних, а втрачені дані стосувалися лише даних клієнтів, які відповіли на електронні листи.

Під час іншого інциденту в червні 2020 року канадська централізована біржа Coinsquare також зазнала зламу, коли 5000 адрес електронної пошти, номерів телефонів і домашніх адрес було виточено та втрачено.

Після стрибків між Coinsquare і назад зловмисники сказали, що використовуватимуть дані в атаках із заміною SIM-карт, але не намагатимуться продати їх, щоб «ловити рибу протягом тривалого часу». Цей тип події також класифікується як другий тип непоправної події.

З 74 інцидентів, які ми ідентифікували, 23 можна було класифікувати як інциденти з можливістю отримання даних, або приблизно 31%. Решта 51 інцидент були або описаними вище аномальними інцидентами, або такими, які просто призвели до втрати коштів.

Графік: відновлювані та невідновлювані дані для подій, що відбулися між 2011 і 2023 роками (Джерело: CertiK)

Ми можемо побачити кілька моментів:

① Після 2019 року значно збільшилася кількість подій із даними, які, ймовірно, будуть отримані або відновлені. Це прямо пропорційно збільшенню кількості хакерських атак і випадків витоку даних у різних галузях під час епідемії.

② Зростання державної допомоги протягом цього періоду, частину якої було введено в екосистему Web3.0, у поєднанні зі зростанням ринку у 2021 році може надати зловмисникам більше можливостей для продажу програм-вимагачів і даних.

**Куди поділися вкрадені дані? **

Darknet і Telegram

Втрачені дані часто продаються або викидаються в темну мережу (сайти .onion) або чисту мережу. Якщо передбачається, що дані мають певну економічну цінність (ІПІ та інші дані, що використовуються для шахрайства), вони часто з’являтимуться на ринках даркнету або навіть у каналах Telegram. Якщо вимоги зловмисника (програми-вимагачі) не виконуються, дані просто скидаються на веб-сайти або хакерські форуми.

**Те, де дані потраплять, визначає довгостроковий ризик, який вони становлять для свого початкового власника. **

Порівняно з даними, які можна придбати лише в темній мережі, дані, розміщені на хакерських форумах за дуже низьку ціну або безкоштовно, мають вищий ризик витоку.

Постійна доступність таких сайтів також «допомагає» довгостроковому ризику витоку даних жертви. Нижче ми глибше розглянемо продажі даних Web 3.0, знайдені на цих майданчиках.

Онлайн форум

З роками з’явилися хакерські онлайн-форуми. Враховуючи зростання кількості інцидентів із відновлюваними даними після 2019 року, лише кілька форумів заслуговують на те, щоб розглядати тематичні дослідження в цьому контексті. Ці форуми включають Raid Forum, Breach Forum і Dread Forum.

Численні зловмисники вибрали форум Raid одним із кращих форумів для скидання та продажу зламаних даних. Рейдовий Форум стартував у 2015 році і вже кілька років працює у відкритому Інтернеті. Однак у 2022 році домен Raid Forum був захоплений правоохоронними органами США у співпраці з Європолом.

Зображення: правоохоронні органи США та Європи видалили повідомлення на веб-сайті Raid Forum

Заснований у 2015 році Dread Forum, схоже, буде активним до кінця 2022 року, хоча в соціальних мережах багато вказівок на те, що він також може припинити роботу. Ми спробували отримати доступ до даркнету (.onion) і IP2-версій цього форуму, але вони також не працюють.

Форум Breach запрацював одразу після закриття форуму Raid.

Форуми Breach забезпечують розумне місце для проживання для користувачів, які були «переміщені» через закриття форумів Raid.

Він має інтерфейс, схожий на Raid Forum, систему підрахунку репутації учасників, і високу активність, коли користувачі досягають 60% початкової бази користувачів Raid Forum (приблизно 550 000 користувачів). Лише через рік, у березні 2023 року, ФБР заарештувало Конора Брайана Фіцпатріка, який керував форумом Breach, і після хвилі внутрішньої драми щодо перерозподілу сайту сайт завалився.

Менш ніж через тиждень після краху форуму Breach з’явилася інша заміна, нібито керована самопроголошеним колишнім анонімним хакером на ім’я Пірата (@_pirate18). Але в ньому лише 161 учасник, а це означає, що цього разу заміна не змогла поглинути старих гравців форуму.

Під час цієї перерви (останні кілька тижнів березня) з’явилося багато інших форумів. Деякі з них було видалено як типово образливі форуми, тому розумно припустити, що решта може бути маскуванням правоохоронних органів.

Зображення: список форумів VX-Underground після закриття форуму Breach (Джерело: Twitter)

Ми можемо лише підтвердити, що деякі дані Web3.0 існують на одному з форумів.

Повідомляється, що форум ARES поглинув певну активність інших закритих форумів, але неясно, наскільки. Форум, який, як стверджується, пов’язаний з групами програм-вимагачів та іншими зловмисниками, також керує загальнодоступним каналом Telegram, який рекламує продажі даних у своєму заблокованому VIP-каналі продажу. Канал почав працювати 6 березня, показуючи сотні оголошень (включно з публікаціями в двох централізованих базах даних, пов’язаних з обміном).

Зображення: реклама каналу Telegram Centralized Exchange Data на форумі ARES (Джерело: Telegram)

Загалом спільнота форумів хакерства та викиду даних зараз функціонує досить хаотично. Оскільки немає чіткої заміни традиційним форумам і міжнародні правоохоронні органи посилюють репресії проти цих груп, майже впевнено, що форуми не будуть місцем будь-яких серйозних порушень даних (включно з Web 3.0) найближчим часом. Бажаний шлях.

Dark Web – витоки даних на сайтах .onion

Темні веб-ринки та форуми вже давно є місцями, де люди скидають або продають свої дані.

Ці екосистеми також стикалися з репресіями з боку правоохоронних органів, хоча ці репресії стосувалися більше ринків, які сприяють продажу наркотиків. Тим не менш, навіть на менш відомих ринках витоки даних, здається, відбуваються дуже часто або, принаймні, рекламуються. Різниця тепер різко відрізняється від онлайн-форумів, які також зберігають дані, але їх повністю закрито.

Зображення: дані клієнтів Ledger для продажу на ринку темної мережі (Джерело: Digital Thrift Shop)

Підсумовуючи, 23 із 74 порушень у нашій вибірці виявлених порушень даних стосувалися даних, які мали певний шанс отримати. З цих 23 ми змогли знайти 10 активних оголошень з продажу даних (43%). Такі зразки виділені зеленим кольором у попередній таблиці:

Графік: підтверджені випадки продажу витоку даних на ринках даркнету виділені зеленим (Джерело: CertiK)

Збільшення продажів платних даних на цій діаграмі свідчить про кілька речей. По-перше, ми не маємо доступу до джерел даних про будь-які порушення, які сталися після 2021 року.

Виходячи з характеру цілі до 2022 року, існує розумна ймовірність того, що дані могли з’явитися на форумі, якого більше не існує.

Однак це важко довести, особливо коли ці набори даних не з’являються на жодному з форумів, які б замінили Raid і Breached. По-друге, ці набори даних також помітно відсутні на будь-якому з ринків даркнету, які ми можемо спостерігати з 2019 року та раніше — ймовірно, тому, що ринки, з яких ми отримали ці дані, дуже старі та маловідомі. Ми не можемо оцінити, чи дійсно ці дані все ще доступні через цих постачальників, але ці рекламні оголошення доступні.

**Чи є ці витоки даних довгостроковим ризиком? **

Важко спробувати кількісно визначити довгостроковий ризик, але принаймні ви можете порівняти ризик втрати даних із подіями, не пов’язаними з даними, у цій вибірці. Зауважте, що ми можемо класифікувати ризики подій невідповідності, які призводять лише до прямих фінансових втрат, як менший ризик, оскільки:

Втрата миттєва, ми можемо виміряти вплив у термінах втрати фіатної валюти або валюти Web3.0

Усі дані, втрачені під час цього процесу, можна замінити. У разі зламу приватні ключі, паролі та привілейовані точки доступу до мережі необхідно змінити, щоб вирішити проблему.

Порушення, які призводять до втрати конфіденційних даних, особливо даних клієнтів, створюють більший довгостроковий ризик

Значна частина цих даних продається або вільно доступна в темній або чистій мережі, що розширює їх довгострокову доступність.

Особисті дані клієнтів, тобто номери телефонів, ім’я/прізвища, адреси та дані транзакцій, важко або неможливо змінити. Таким чином, навіть якщо хтось змінить свою особисту інформацію в результаті порушення, усі дані інших осіб, причетних до порушення, все одно знаходяться під загрозою.

Вплив цього порушення важко або неможливо виміряти. Залежно від втрачених даних, жертва може бути або не бути ціллю кількох шахраїв.

Ми знайшли дані для продажу через порушення в 2014 році. Ця конкретна точка даних є ще одним доказом труднощів вимірювання довгострокового ризику. Злом 2014 року, який атакував уже неіснуючу криптобіржу BTC-E, яку правоохоронні органи США вилучили у 2017 році, насправді має набагато менший ризик, пов’язаний із втратою даних, ніж інші.

Однак, щоб було зрозуміло, зберігається ризик того, що ці дані можуть збігатися з даними нових взломів, тим самим збільшуючи довгостроковий ризик осіб, які беруть участь у Web 3.0 протягом цього періоду.

Дивлячись на простір загалом, дані, втрачені після 2019 року (особливо дані, які все ще легко доступні для продажу на ринках даркнету), швидше за все, становлять найвищий поточний довгостроковий ризик. Починаючи з 2022 року, постраждалі майже напевно зіткнуться зі значним ризиком того, що їхні дані можуть бути використані для шахрайства (навіть якщо їх неможливо фізично знайти). Незважаючи на закриття багатьох онлайн-форумів, ми маємо припустити, що всі втрачені дані, особливо внаслідок нещодавніх витоків даних, ймовірно, все ще десь доступні та можуть з’явитися знову в будь-який момент.

Напишіть в кінці

Реальність така, що прогалини в безпеці неможливо усунути на 100%. Коли дані зберігаються та обробляються централізованою організацією, більшість користувачів, які постраждали від витоку даних, мають обмежені засоби усунення.

Однак ми можемо зменшити ризики ризику, обмеживши використання централізованих служб, зокрема централізованих бірж. Особи також повинні використовувати двофакторну автентифікацію, коли це можливо, щоб запобігти небажаній активності обмінного гаманця або використовувати ідентифікаційну інформацію для доступу або зміни даних облікового запису.

Залежно від характеру порушення, ми можемо навіть спробувати змінити частину інформації, яка викрита під час порушення, наприклад адреси електронної пошти чи номери телефонів.

А в разі витоку даних Web 3.0, якщо ви збираєтеся працювати анонімно, ваша особистість зіткнеться з додатковою загрозою розголошення.

Існують інші кроки, які люди можуть зробити для захисту даних та інвестицій. Наприклад, зменшення інвестиційного та фінансового ризику шляхом розподілу активів у гаманці із самоохороною та жорсткі гаманці.

Звичайно, дані також можна захистити:

1. Зменшіть кількість централізованих інвестиційних установ або бірж Web3, які надають вам ваші особисті дані
2. Кросплатформенність Не використовуйте повторювані паролі
3. Увімкніть двофакторну аутентифікацію для всіх облікових записів
4. Відстежуйте сайти, які повідомляють про витоки даних, щоб повідомити вам, чи була ваша адреса електронної пошти залучена до витоку
5. Використовуйте Послуги кредитного моніторингу, щоб відстежувати спроби викрадення особистих даних і шахрайства, пов’язані з банком