40 миллиардов причин для беспокойства: как маркетинговая компания оставила ваши данные без защиты

Представьте: на дворе 2025 год, а ваши личные данные все еще не в безопасности, потому что компании, которым вы доверяете, пренебрегают элементарными правилами защиты информации. Подобные истории заставляют содрогаться экспертов по кибербезопасности по всему миру.

На этот раз в центре внимания оказалась компания Netcore Cloud Pvt. Ltd. из Мумбаи, Индия. На своем сайте Netcore утверждает, что их "комплексная платформа для клиентского опыта" на базе искусственного интеллекта пользуется доверием более 6500 брендов по всему миру. Согласитесь, это не маленькая фирма.

Исследователь в области кибербезопасности Джереми Фаулер обнаружил незащищенную базу данных, содержащую около 40 миллиардов записей общим объемом 13 терабайт. Он сообщил о своей находке изданию Website Planet.

Эти 40 миллиардов записей содержали "огромное количество адресов электронной почты, темы сообщений и многое другое", а также уведомления от банков и медицинских учреждений, включая "частичные номера счетов и конкретную информацию", которую никак нельзя было выставлять на всеобщее обозрение. Фаулер говорит, что во время изучения базы данных он "видел многочисленные записи, помеченные как конфиденциальные".

Я видел множество записей, помеченных как конфиденциальные, и все они были открыты, без шифрования.

• Исследователь безопасности Анураг Сен об обнаружении 13 терабайт маркетинговых данных, оставленных в открытом доступе.

По словам Фаулера, база данных не была защищена паролем и не имела никакого шифрования, а это означает, что любой, кто случайно наткнулся на нее (или получил наводку), мог свободно просматривать ее содержимое.

Обнаружив этот серьезный промах в безопасности, Фаулер связался с Netcore, поскольку большая часть найденной им информации была связана с этой компанией. По его словам, доступ к открытой базе данных был ограничен в тот же день, когда он отправил уведомление.

Важно отметить, что до сих пор неясно, управляла ли Netcore базой данных самостоятельно или эта задача была передана третьей стороне. Фаулер также не знает, как долго незашифрованная информация находилась в сети и получал ли кто-нибудь к ней доступ до того, как он сообщил об этом Netcore.

Даже небольшое количество информации может нанести серьезный ущерб

Вы можете удивиться изобретательности, стоящей за кулисами хакерских и фишинговых схем. К сожалению, злоумышленникам не нужно много информации, чтобы начать свою следующую аферу.

Как отмечает Фаулер в своем отчете, адресов электронной почты и записей может быть достаточно, чтобы злоумышленники создали профиль жертвы, что в конечном итоге может повысить вероятность успеха фишинговых атак.

Представьте, что злоумышленник знает, что определенный адрес электронной почты (который часто содержит полное имя) получает сообщения от определенной компании, например, от оператора связи. Мошенник может создать электронное письмо, которое выглядит как официальное, с запросом конфиденциальных данных в рамках ваших рабочих отношений с оператором связи.

Эти данные, которые вы охотно передаете организации, которую считаете законной, могут быть добавлены к уже имеющемуся профилю. При достаточной подготовке возрастают риски "социальной инженерии, восстановления учетной записи или пароля или даже попыток захвата учетной записи".

Фаулер подчеркивает, что он не утверждает, что эта утечка данных, связанная с Netcore, привела к подобной преступной деятельности. Он лишь приводит гипотетические ситуации в "образовательных целях".

Еще одна крупная утечка данных в 2025 году

К сожалению, 13-терабайтный архив потенциально конфиденциальных данных, обнаруженный Фаулером, — это лишь очередная тревожная кибер-ситуация в 2025 году.

Вспоминая недавние инциденты, можно отметить утечку данных Discord в начале этого месяца, в результате которой произошла утечка фотографий удостоверений личности и личных данных 70 000 пользователей. Хакеры потребовали выкуп в размере 5 миллионов долларов, прежде чем снизить его до 3,5 миллионов; Discord отказался платить.

Затем была утечка Plex в сентябре, затронувшая электронные письма и хешированные пароли, в результате чего Plex настоятельно рекомендовал пользователям изменить свои учетные данные.

В июне сообщалось, что 16 миллиардов учетных записей и их учетные данные (так называемая "крупнейшая утечка данных") были раскрыты, включая пароли для Facebook, Google и Apple.

Это была не утечка, а рекламный щит.

• 40 миллиардов записей, включая имена, электронные письма и информацию об устройствах, были оставлены в открытом доступе компанией, которая продает доверие за деньги.

А в апреле X (ранее известная как Twitter) Илона Маска подверглась утечке данных, содержащей 2,8 миллиарда идентификаторов пользователей. Хакеры утверждали, что пытались связаться с X, но после неоднократных отказов опубликовали информацию.

Что делать?

Итак, что вы можете сделать, чтобы снизить вероятность утечки ваших данных в общий доступ? К сожалению, как только они попадают в руки корпорации, вы мало что можете сделать, кроме как надеяться, что меры безопасности будут на высоте.

Все, что я могу сказать, это сохранять бдительность в отношении фишинговых писем. Не переходите по ссылкам, которые вы не узнаете, и всегда проверяйте адрес электронной почты отправителя на предмет неточностей. Держитесь подальше от незащищенных веб-сайтов и своевременно обновляйте свой компьютер.

Как всегда, используйте надежные пароли (в идеале сгенерированные случайным образом с помощью менеджера паролей), часто обновляйте их и используйте многофакторную аутентификацию на случай, если кто-то получит ваши учетные данные.

Мнение редакции MSReview: Ситуация с утечками данных становится все более тревожной. Компании должны понимать, что безопасность данных пользователей - это не просто галочка в списке задач, а фундаментальная обязанность. Отсутствие шифрования и базовой защиты данных недопустимо в современном мире, где киберпреступность процветает. Пользователям же следует быть бдительными и принимать меры для защиты своей информации, но основная ответственность лежит на организациях, хранящих и обрабатывающих наши данные.