Немногим больше суток назад компания Citigroup, входящая в четвёрку крупнейших банков США, признала факт взлома её серверов и возможную утечку информации о двухстах тысячах клиентов. Неприятное открытие было сделано ещё в начале мая, в ходе рутинной проверки систем безопасности, но Citi не афишировала находку вплоть до момента, когда скрывать её стало невозможно. По заверениям пресс-службы компании, пострадали только вкладчики, проживающие в Соединённых Штатах.
Слабым местом в защите стал веб-сервис Citi Account Online, реализующий обычные функции е-банкинга: оплату счетов, просмотр транзакций, проверку баланса и пр. Взломщикам удалось получить доступ к базе данных этого сервиса, содержащей такие сведения как имя клиента, адреса места проживания и электронной почты, номера счетов (по всей видимости, это означает и номера пластиковых карт).
К счастью для владельцев последних, Citi хранит значительную часть персональной информации в другом месте, так что CVV-коды карт и даты истечения их срока действия, а также ряд других данных, включая номера социального страхования, в руки злоумышленников не попали. История выплыла наружу в эти выходные, когда некоторые клиенты Citi обнаружили, что их пластиковые карты аннулированы. Слухи дошли до прессы и корреспондент Financial Times, первым задавшая прямой вопрос представителю банка, получила прямой ответ.
Взлом Citi стал последним в длинном списке аналогичных инцидентов, произошедших за несколько месяцев. Самый яркий из них — месячный простой PlayStation Network, как результат хакерской атаки на Sony (см. «PlayStation Network стоит уже девятые сутки…»). Нашумела история с несанкционированными проникновением на серверы медиакорпорации PBS, с последующей публикацией паролей сотрудников и появлением на её сайте статьи, повествующей о якобы живом Тупаке Шакуре. Ушли с ценной информацией взломщики легендарной RSA (ныне подразделения гиганта EMC), а чуть позже похищенные данные были использованы при попытке проникновения в интранет Lockheed Martin. Попали в прицел или стали жертвами чёрных хакеров PayPal, Google, NASDAQ, и даже связанная с ФБР организация Infragard.
Общее число лиц, пострадавших и могущих пострадать в результате этих и множества других недавних взломов, измеряется уже сотнями миллионов (в одной только PSN больше 70 млн. человек, а случай с RSA поставил под удар аудиторию немногим меньше).
Мир явно стоит на пороге войны с киберкриминалом, так отчего столько шуму вокруг мелкого инцидента Citigroup? Причина проста: можно ломать игровые сети, агентства новостей, вламываться в святая святых военных корпораций, но банки до последнего времени оставались неприступным бастионом.
Ничего удивительного: ведь сохранность клиентских кошельков непосредственно зависит от защищённости банковских информационных систем. Банкам есть что терять — вот почему их цифровые стены самые крепкие. И до сих пор если они и страдали от атак, то только непрямых, когда информацию похищали через менее надёжные звенья цепи: домашние компьютеры, карточные терминалы в магазинах, базы данных компаний, занятых интернет-торговлей.
Представитель Citi уже заверил журналистов, что клиенты, чьи аккаунты были скомпрометированы, получат новые карты. Но именно здесь всплывает едва ли не самый интересный момент всей истории. Банк «темнит», не объясняя, какую именно информацию удалось похитить взломщикам, однако настаивает, что украденных сведений недостаточно для прямого перевода денег со счетов или оплаты покупок.
Таким образом перевыпуск «пластика» — лишь психологическая мера, призванная успокоить людей. Главная же опасность, по мнению сторонних экспертов (Sophos и др.), проистекает от возможных социально-инженерных атак против клиентов, чья информация оказалась похищена.
Всего только адреса электронной почты и осведомлённости о том, что данный человек является клиентом определённого учреждения, уже достаточно, чтобы попытаться обманом выудить у него ценную информацию. Богатое досье, полученное взломщиками Citi, теоретически позволяет проводить намного более эффективные операции.
Зная имя и фамилию, место проживания, номера счетов, мошенники — посредством любых коммуникационных каналов, от SMS до прямого телефонного звонка — смогут выдавать себя за сотрудников банка, дабы извлечь у клиентов дополнительные сведения. Конечным звеном этих манёвров отнюдь не обязательно будут «левые» карточные платежи, в развитых странах легко аннулируемые. Хуже, если клиенты Citi станут жертвами так называемой «кражи личности», потенциальный ущерб от которой (в том числе и денежный) несравнимо выше.
Отдельного разговора заслуживает политика молчания, которую берут на вооружение все без исключения компании, пострадавшие от киберкриминала. Когда представитель Citi использует словечко «недавно» применительно к событиям, имевшим место больше месяца назад, возникает нестерпимое желание наговорить ему резкостей. Но Citi не одинока. Точно так же молчала Sony, так же скрывает подробности RSA.
Мотивация бизнеса понятна: скандалы, а тем более паника никому не нужны. Да и закон чаще всего на стороне предпринимателей. В США и Японии компании имеют право скрывать случившееся, если огласка может навредить расследованию.
Но даже двести тысяч человек — уже не тот масштаб, когда достаточно туманного «нас взломали». Тем более, что крупные бизнесы часто интернациональны и, пока суд да дело, жертвами могут стать граждане других стран. Неудивительно, что первыми с резкой критикой действий Citi выступили австралийские правозащитники. Их позиция проста: когда речь идёт о персональной информации, клиенты имеют право знать всё и немедленно. К слову, на сайте Citi Account Online до сих пор нет даже формального уведомления о случившемся, не то что перечня действий первой помощи.
Поскольку с момента признания факта взлома Citigroup прошли лишь сутки, большая часть посвящённых инциденту публикаций ограничивается сухой констатацией факта. Анализ случившегося и список возможных последствий ещё только предстоит написать. Но немногие эксперты, уже рискнувшие дать прогноз, сходятся во мнении, что случай с Citi станет отправной точкой для резкого ужесточения систем авторизации и законодательства, регулирующего этот вопрос.
В последние годы, подстёгиваемые конкуренцией и желанием облегчить клиентам доступ к онлайновым сервисам, банки (Citi в их числе) отказывались от многоступенчатых процедур подтверждения личности клиента. Теперь предстоит возвращение к таким механизмам авторизации — неудобным и громоздким, но вместе с тем способным предотвратить или осложнить мошеннические атаки.
В качестве одной из перспективных мер называют и электронные токены: устройства в виде брелоков, генерирующие уникальный код, который служит дополнением для обычного логина-пароля. Сегодня такие устройства активно используются сотрудниками военных и банковских учреждений США. Проблема в том, что и токены не дают стопроцентной гарантии.
Одна из самых популярных подобных систем, SecurID, разработана и эксплуатируется уже упоминавшейся выше RSA. Но в марте хакеры проникли на серверы самой RSA и похитили сведения, способные значительно ослабить надёжность её токенов. После трёх месяцев замалчивания, попыток нивелировать значимость происшествия и двух кибератак на компании, использующие SecurID (L-3 Comms и Lockheed Martin), RSA 6 июня была вынуждена объявить о необходимости замены 40 миллионов проданных устройств.