Мільйони та мільярди 2018го: як наші з вами дані губили онлайн-сервіси, готелі та фітнес-додатки
2018й рік став відомим завдяки масштабним витокам даних і водночас спробою впровадити, хоча б у Європі, систему захисту приватних даних користувачів. Витоків було багато, а якщо врахувати неявні, як то таємна передача Facebook даних користувачів третім сторонам, то стаж очевидним, що ми уже практично не контролюємо наші дані, які плавають у океані під назвою інтернет і дрейфують від однієї компанії (сервісу) до іншої. Спроба запровадити регламент захисту даних (GDPR) у ЄС теж виявилась не особливо успішною. Ми стали частіше погоджуватися з cookies, а інших видимих змін ми не відчули.
Але повернемося до втрати даних. Мільйони та мільярди записів з персональними даними користувачів, або принаймні з їх мейлами, губилися компаніями, яким ці дані було довірено. Ось найбільші витоки 2018 року, які могли зачепити користувачів з України або в результаті яких було втрачено надзвичайно великі об’єми даних.
Відразу три кейси в моєму списку стосуються Facebook, хоча й кількісно ці кейси уступають іншим випадкам. Проте саме Facebook зберігає чи не найбільше даних про користувачів, тому навіть часткова їх втрата – це небезпека для всіх 1,5 млрд клієнтів соцмережі.
1. Facebook та Cambridge Analytica
Чим особливий цей випадок: перший приклад того, що наші дані з Facebook комусь цікаві і перша оприлюднена втрата мільйонів даних з Facebook
Без сумніву, це був найбільший скандал щодо втрати даних у 2018 році, хоча технічно він почався набагато раніше. 17 березня 2018 року декілька видань розповіли про те, як британська політична консалтингова фірма Cambridge Analytica зібрала дані принаймні 87 млн користувачів Facebook без їхньої згоди і продала ці дані на сторону (ніби то організаторам кампанії Дональда Трампа, які використали їх у своїй виборчій кампанії 2016 року).
Проблемою цього витоку був той факт, що насправді додатком, який отримував доступ до даних, користувалися декілька сотень тисяч людей, але через «дірку» в Facebook API додаток отримав доступ до даних про всіх їх друзів.
Цей витік показав, наскільки слабка у Facebook політика «захисту конфіденційності» для даних користувачів. Що є більш важливим, скандал називається «переломним моментом», який змусив широку громадськість усвідомити важливість своїх особистих даних, а також можливість їх використання для маніпулювання ними чи самими демократіями.
2. Facebook та 30 млн акаунтів
Чим особливий цей випадок: перший випадок використання вразливості Facebook для крадіжки даних
В кінці вересня стало відомо, що хакери використовували критичну вразливість у функції «Подивитись як» і викрали токени доступу біля 30 млн акантів. Facebook повідомила, що було викрадено імена, мейли, дати народження, номери телефонів, геолокаційні дані та інша інформація.
3. Facebook — Netflix, Microsoft та всі, всі, всі
Чим особливий цей випадок: вперше стало відомо, що Facebook передає дані користувачів іншим компаніям, не попереджаючи про це
Перед новим роком стало відомо, що Facebook декілька років передавала іншим компаніям дані про користувачів. У списку отримувачів даних – біля сотні компаній, серед яких Amazon, Bing, Yahoo!, Netflix та навіть «Яндекс». Користувачі не підозрювали про це, це ніде не повідомлялось.
4 .Фітнес-додаток Strava розкрив шляхи американських військових
Чим особливий цей випадок: звичайний додаток може розкрити військові секрети
Популярний фітнес-додаток Strava дозволив відстежувати користувачів, серед яких були військовослужбовці. Додаток дозволяв бачити імена військових, їхні переміщення і навіть те, де вони жили, в тому числі розташування військових баз за кордоном.
5. Aadhaar: мільярд даних індійців можна купити за невеликі гроші
Чим особливий цей випадок: персональні дані продаються і купити їх не так й складно. Держава не в змозі захистити дані громадян
Національна ідентифікаційна база даних 1,1 мільярда жителів в Індії була доступна для продажу в WhatsApp-групах за невеликі гроші.
Трохи більше 6 євро (500 рупій) коштував доступ не лише до імені та прізвища, але й до банківських даних.
Але це ще не все – згодом виявилось, що користувачі Aadhaar могли просто замінити в адресному рядку свій ID на інший та потрапити у інший профайл, для доступу до якого не буде запитуватися пароль (хоча мав би).
Цікаво, що влада Індії і в першому, і в другому випадку відмовлялась визнати факт витоку.
6. Marriott «загубив» дані 500 млн гостей своїх готелів
Чим особливий цей випадок: навіть великі компанії можуть не виявити відразу витік даних
У Marriott виявили, що з 2014 року в результаті зламу системи бронювання одного з готелів мережі компанія втратила дані біля 500 млн своїх клієнтів. І серед втрачених даних були й номери кредитних карток та дані їх документів.
7. Panera Bread: чи не гірше самого випадку зламу є його замовчування
Чим особливий цей випадок: компанії не хочуть повідомляти про витоки даних
Мережа ресторанів Panera Bread довго приховувала факт втрати даних біля 37 млн своїх клієнтів. Цікаво, що до того один з експертів з безпеки повідомляв компанію про «діри» і потенційну небезпеку. Проте компанія ніяк не відреагувала на це, більше того, вона 8 місяців замовчувала факт втрати даних.
8. Google: півмільйона, потім 50 мільйонів і прийшов кінець Google+
Чим особливий цей випадок: Google теж приховує витоки. Витік став причиною відмови від підтримки онлайн-сервісу
Представники Google вчинили майже так само, як і співробітники Panera Bread. Помилка в Google API дозволила розробникам отримати доступ до даних 500 тис користувачів соцмережі Google+. В Google про це знали, але приховували.
А через місяць Google виявила ще одну помилку, жертвами якої стали більше 50 млн користувачів. Після цього компанія вирішила закрити свою й так мертву соцмережу Google+ достроково.
Чи зміниться ситуація у 2019 році? Навряд чи. І історія з Collection #1 тому наглядний приклад. Дещо змінити ситуацію можуть самі користувачі, які обмежать використання своїх даних, але й це в нинішніх умовах видається малоймовірним.