Так называемые эксперты и ведущие СМИ последние несколько дней были в шоке от сообщений о колоссальной утечке данных, в результате которой были раскрыты более 16 миллиардов учётных записей — масштаб кражи, который должен заставить защитников схватиться за перлы. Есть только одна неудобная деталь: в оригинальном отчёте на удивление мало реальных доказательств, подтверждающих это сенсационное заявление.
Атаки, затрагивающие миллиарды аккаунтов, часто попадают в заголовки газет и заставляют отрасль обсуждать способы предотвращения подобных атак. Однако опубликованная в пятницу Cybernews статья , которая в последние несколько дней была подхвачена и воспроизведена во всех СМИ , вызвала недоумение у экспертов по кибербезопасности из-за её необычных и сомнительных выводов.
Поток контента представляет раскрытые данные как недавнюю, единичную и, в конечном счёте, крупнейшую утечку данных в истории. Многочисленные специалисты по реагированию на инциденты, исследователи и эксперты по кибербезопасности, с которыми общался CyberScoop, либо открыто оспорили эти заявления, либо поставили под сомнение данные и анализ, на которых они основаны.
«Эти масштабные сбросы данных анонсируются уже много лет, и они всегда представляют собой переработанную кучу учетных данных с добавлением нескольких новых», — сказал Честер Вишневски, директор и руководитель глобальной полевой службы информационной безопасности компании Sophos.
Вся эта история — ещё один пример того, как бизнес-интересы в сфере кибербезопасности питаются страхом — как мнимым, так и реальным. Подобные истории часто распространяются со скоростью лесного пожара, поскольку они отражают реальные проблемы и устоявшееся в отрасли восприятие.
Даже если подробности пятничной истории преувеличены, кража учётных данных — реальная и повсеместная угроза. По данным Verizon, злоупотребление учётными данными стало основным первичным вектором взлома в прошлом году. В прошлом году с помощью программ-инфокрадов было украдено 2,1 млрд учётных данных , что составляет почти две трети из 3,2 млрд учётных данных, украденных у всех организаций, говорится в мартовском отчёте Flashpoint.
Тем не менее, ограниченные доказательства — всего три скриншота, — предоставленные Cybernews и Бобом Дьяченко, которому приписывают «обнаружение» утечки учётных данных, являются решающим камнем преткновения. В ответ на просьбу прокомментировать ситуацию Дьяченко признал, что эти данные представляют собой совокупность записей, обнаруженных с начала года, а не отражают единичную утечку данных.
«Ни один из наших источников в CTI не смог подтвердить, что это что-то новое», и нет никаких необработанных файлов или проверенных потоков данных, которые исследователи могли бы проанализировать, сказал Роб Ли, руководитель исследований и руководитель факультета в Институте SANS.
«В мире разведки недопустимы преувеличения», — сказал он. SANS не отрицает полностью доклад, но Ли отметил: «Это не выдерживает никакой проверки».
Разведка киберугроз опирается на глубокие знания, широко распространенные в отрасли. Данные или выводы, не имеющие практического применения, не способствуют продвижению сообщества, сказал Ли.
Аналогичного мнения придерживались и другие эксперты.
«То, что мы наблюдаем, — это не единичный, вызвавший большой резонанс инцидент в крупной технологической компании. Этот кэш, содержащий около 16 миллиардов учётных данных, отражает примерно 30 отдельных баз данных, журналы похитителей, собиравшиеся годами, — множество дублирующих друг друга данных, многие из которых старые», — заявил Кристиан Бик, старший директор по анализу угроз в Rapid7.
В результате получается «переработанный, раздутый набор данных, создающий страх», — сказал Бик. «Вредоносное ПО для кражи информации продолжает постоянно собирать учётные данные, и эти агрегированные дампы перерабатываются и публикуются на различных форумах и платформах».
Влияние содержимого набора данных, который Бик описал как «набор страхов», зависит от того, какая часть данных является новой или использованной.
Аллан Лиска, аналитик по анализу угроз в Recorded Future, пришёл к такому же выводу. «Сравнив опубликованные образцы данных с предыдущими утечками учётных данных, мы видим, что большинство, если не все, эти учётные данные были получены из ранее опубликованных дампов паролей. Некоторые из них были получены много лет назад», — сказал он.
«Судя по формату утечки, вполне вероятно, что все эти данные относятся к предыдущим кампаниям по краже информации. Они не привязаны ни к одной кампании; вместо этого пароли были собраны из сотен различных кампаний», — сказал Лиска.
«Воинственные крики приводят к самоуспокоенности», — сказал Вишневски.
Лиска сказал: «Когда подобные заголовки забирают весь кислород в комнате, реальным историям о безопасности становится сложнее привлечь необходимое им внимание».
«Главный урок, который следует извлечь из этого, — это распространённость вредоносного ПО для кражи информации и то, как люди и организации должны защищаться от этого типа вредоносного ПО», — продолжил он. «Тот факт, что кому-то удалось собрать 16 миллиардов записей, по сути, из обрывков данных, показывает, насколько серьёзна эта проблема».
Хотя выводы отчёта вызывают сомнения, можно без преувеличения предположить, что большинство учётных данных уже украдено в той или иной форме. Пароли уже давно не используются, и подобные истории подчёркивают важность многофакторной и беспарольной аутентификации.
«Мы должны воспользоваться любой возможностью, чтобы привлечь внимание общественности к вопросам онлайн-гигиены», — сказал Вишневски. «Люди ошибочно полагают, что с ними этого не может произойти, не произойдет или не произошло, а эти истории подчёркивают, что это происходит со всеми нами, и необходимо действовать».
Менеджер паролей Keeper Security опубликовал комментарий на LinkedIn, в котором назвал «подтвержденной» «крупнейшую утечку паролей в истории» и повторил утверждение о том, что были раскрыты 16 миллиардов учетных данных с крупнейших технологических платформ, включая Google и Apple.
Компания Keeper Security заявила, что придерживается политики не комментировать подробности любых атак без достаточной информации, и осталась при своем мнении.
Представитель Google сообщил CyberScoop, что проблема не связана с утечкой данных. Apple не ответила на запрос о комментарии.
«В частности, коммуникации в сфере безопасности «сильно зависят от FUD (страха, неуверенности и сомнений) и преследования за скорой помощью, и я думаю, что именно это вы видите в этой истории», — рассказала CyberScoop Кейлин Тричон, директор по маркетингу компании Edera.
«Мы должны быть настолько экспертами в своей области, насколько это возможно, особенно в сфере, где информация и её подтверждение так важны», — сказала она. «Для специалиста по коммуникациям очень важно знать, когда сказать «нет», когда сказать: «Это не наша борьба, сейчас не тот момент, чтобы извлекать из этого выгоду».
Говоря о проблемах с коммуникациями в целом, а не о реакции какой-либо конкретной компании или руководителя, Трихон отметил, что детали играют решающую роль в случаях вторжений или утечек данных. Люди, комментирующие ситуацию слишком рано, рискуют оказаться неправыми, что может повлиять на их экспертный статус, добавил Трихон.
«То, что ваше имя и бренд компании могут быть на слуху, ничего не стоит, если мы ошибёмся», — сказала она. «Вам не нужно было ничего говорить, а иногда промолчать — это лучшее, что можно сделать»
Атаки, затрагивающие миллиарды аккаунтов, часто попадают в заголовки газет и заставляют отрасль обсуждать способы предотвращения подобных атак. Однако опубликованная в пятницу Cybernews статья , которая в последние несколько дней была подхвачена и воспроизведена во всех СМИ , вызвала недоумение у экспертов по кибербезопасности из-за её необычных и сомнительных выводов.
Поток контента представляет раскрытые данные как недавнюю, единичную и, в конечном счёте, крупнейшую утечку данных в истории. Многочисленные специалисты по реагированию на инциденты, исследователи и эксперты по кибербезопасности, с которыми общался CyberScoop, либо открыто оспорили эти заявления, либо поставили под сомнение данные и анализ, на которых они основаны.
«Эти масштабные сбросы данных анонсируются уже много лет, и они всегда представляют собой переработанную кучу учетных данных с добавлением нескольких новых», — сказал Честер Вишневски, директор и руководитель глобальной полевой службы информационной безопасности компании Sophos.
Вся эта история — ещё один пример того, как бизнес-интересы в сфере кибербезопасности питаются страхом — как мнимым, так и реальным. Подобные истории часто распространяются со скоростью лесного пожара, поскольку они отражают реальные проблемы и устоявшееся в отрасли восприятие.
Даже если подробности пятничной истории преувеличены, кража учётных данных — реальная и повсеместная угроза. По данным Verizon, злоупотребление учётными данными стало основным первичным вектором взлома в прошлом году. В прошлом году с помощью программ-инфокрадов было украдено 2,1 млрд учётных данных , что составляет почти две трети из 3,2 млрд учётных данных, украденных у всех организаций, говорится в мартовском отчёте Flashpoint.
Тем не менее, ограниченные доказательства — всего три скриншота, — предоставленные Cybernews и Бобом Дьяченко, которому приписывают «обнаружение» утечки учётных данных, являются решающим камнем преткновения. В ответ на просьбу прокомментировать ситуацию Дьяченко признал, что эти данные представляют собой совокупность записей, обнаруженных с начала года, а не отражают единичную утечку данных.
«Ни один из наших источников в CTI не смог подтвердить, что это что-то новое», и нет никаких необработанных файлов или проверенных потоков данных, которые исследователи могли бы проанализировать, сказал Роб Ли, руководитель исследований и руководитель факультета в Институте SANS.
«В мире разведки недопустимы преувеличения», — сказал он. SANS не отрицает полностью доклад, но Ли отметил: «Это не выдерживает никакой проверки».
Разведка киберугроз опирается на глубокие знания, широко распространенные в отрасли. Данные или выводы, не имеющие практического применения, не способствуют продвижению сообщества, сказал Ли.
Аналогичного мнения придерживались и другие эксперты.
«То, что мы наблюдаем, — это не единичный, вызвавший большой резонанс инцидент в крупной технологической компании. Этот кэш, содержащий около 16 миллиардов учётных данных, отражает примерно 30 отдельных баз данных, журналы похитителей, собиравшиеся годами, — множество дублирующих друг друга данных, многие из которых старые», — заявил Кристиан Бик, старший директор по анализу угроз в Rapid7.
В результате получается «переработанный, раздутый набор данных, создающий страх», — сказал Бик. «Вредоносное ПО для кражи информации продолжает постоянно собирать учётные данные, и эти агрегированные дампы перерабатываются и публикуются на различных форумах и платформах».
Влияние содержимого набора данных, который Бик описал как «набор страхов», зависит от того, какая часть данных является новой или использованной.
Аллан Лиска, аналитик по анализу угроз в Recorded Future, пришёл к такому же выводу. «Сравнив опубликованные образцы данных с предыдущими утечками учётных данных, мы видим, что большинство, если не все, эти учётные данные были получены из ранее опубликованных дампов паролей. Некоторые из них были получены много лет назад», — сказал он.
«Судя по формату утечки, вполне вероятно, что все эти данные относятся к предыдущим кампаниям по краже информации. Они не привязаны ни к одной кампании; вместо этого пароли были собраны из сотен различных кампаний», — сказал Лиска.
Преувеличение порождает самоуспокоенность
Эксперты предупреждают, что в отрасли, где полно реальных, неоспоримых проблем, дезинформация или приукрашивание могут сослужить плохую службу. Как минимум, они отвлекают внимание от подтверждённых атак.«Воинственные крики приводят к самоуспокоенности», — сказал Вишневски.
Лиска сказал: «Когда подобные заголовки забирают весь кислород в комнате, реальным историям о безопасности становится сложнее привлечь необходимое им внимание».
«Главный урок, который следует извлечь из этого, — это распространённость вредоносного ПО для кражи информации и то, как люди и организации должны защищаться от этого типа вредоносного ПО», — продолжил он. «Тот факт, что кому-то удалось собрать 16 миллиардов записей, по сути, из обрывков данных, показывает, насколько серьёзна эта проблема».
Хотя выводы отчёта вызывают сомнения, можно без преувеличения предположить, что большинство учётных данных уже украдено в той или иной форме. Пароли уже давно не используются, и подобные истории подчёркивают важность многофакторной и беспарольной аутентификации.
«Мы должны воспользоваться любой возможностью, чтобы привлечь внимание общественности к вопросам онлайн-гигиены», — сказал Вишневски. «Люди ошибочно полагают, что с ними этого не может произойти, не произойдет или не произошло, а эти истории подчёркивают, что это происходит со всеми нами, и необходимо действовать».
Ловушка поспешных коммуникаций
Ситуацию усугубило то, что многие компании, занимающиеся кибербезопасностью, восприняли эту историю как маркетинговую возможность для своих продуктов или возможность включить комментарии руководства в новостной цикл. Десятки компаний обратились в CyberScoop за комментариями по поводу этой истории за последние несколько дней, приняв её как факт, не проводя дальнейшего внутреннего расследования и не дожидаясь подтверждения сторонних экспертов.Менеджер паролей Keeper Security опубликовал комментарий на LinkedIn, в котором назвал «подтвержденной» «крупнейшую утечку паролей в истории» и повторил утверждение о том, что были раскрыты 16 миллиардов учетных данных с крупнейших технологических платформ, включая Google и Apple.
Компания Keeper Security заявила, что придерживается политики не комментировать подробности любых атак без достаточной информации, и осталась при своем мнении.
Представитель Google сообщил CyberScoop, что проблема не связана с утечкой данных. Apple не ответила на запрос о комментарии.
«В частности, коммуникации в сфере безопасности «сильно зависят от FUD (страха, неуверенности и сомнений) и преследования за скорой помощью, и я думаю, что именно это вы видите в этой истории», — рассказала CyberScoop Кейлин Тричон, директор по маркетингу компании Edera.
«Мы должны быть настолько экспертами в своей области, насколько это возможно, особенно в сфере, где информация и её подтверждение так важны», — сказала она. «Для специалиста по коммуникациям очень важно знать, когда сказать «нет», когда сказать: «Это не наша борьба, сейчас не тот момент, чтобы извлекать из этого выгоду».
Говоря о проблемах с коммуникациями в целом, а не о реакции какой-либо конкретной компании или руководителя, Трихон отметил, что детали играют решающую роль в случаях вторжений или утечек данных. Люди, комментирующие ситуацию слишком рано, рискуют оказаться неправыми, что может повлиять на их экспертный статус, добавил Трихон.
«То, что ваше имя и бренд компании могут быть на слуху, ничего не стоит, если мы ошибёмся», — сказала она. «Вам не нужно было ничего говорить, а иногда промолчать — это лучшее, что можно сделать»
