Статистики за пробиви с лични данни

Те обикновено се основават на следните източници:
– повдигнати претенции от пострадали, поради злоупотреби с изтеклите им лични данни – кражба на идентичност, пробив на онлайн акаунти: за електронната поща, социални мрежи, корпоративни информационни системи в банки, онлайн магазини или др.;
– официални доклади от потърпевшите компании, които спазват GDPR и други регламенти, задължаващи оповестяване на надзорните органи в определен срок и провеждане на мерки за ликвидиране на последствията от пробивите в сигурността, при които изтичат лични данни;
– доклади от компании, които правят бизнес като трасират местата в дарк интернет, където се публикуват за продажба масиви с откраднати лични данни.
За съжаление най-голям дял в разкриването на инциденти с изтичане на лични данни според

Статистики за пробиви с лични данни

имат случаите когато пострадали субекти на лични данни разбират, че са употребени.
В зависимост от гледната точка, може би преобладават разкритите случаи при проверки в дарк интернет, тъй като масивите с данни, които се откриват там, имат големи обеми. СЪществуват и множество масиви с малки обеми, но на

настоящия етап от развитието на културата за опазване на данните на потребителите в

Статистики за пробиви с лични данни

малките масиви най-често се пренебрегват

Това става по няколко причини:
– медиите отдавна са свикнали да пишат гръмки заглавия с впечатляващи цифри за обеме на компрометираните лични данни. Често се виждат заглавия, в които се споменават стотици милиони изтекли записи с данни. Заглавие, в което са споменати десетки или стотици записа с лични данни ще привлече много малка аудитория;
– инцидентите с изтичане на малки количества лични данни по-лесно се обработват по изискванията на GDPR или други регламенти. След доклада до надзорния орган следват мерки с комуникация до обработващите данните, към които са изпратени. Ако това е само банка например, то кредитните карти на десетки пострадали се блокират и засегнатите се известяват;
– опитите за потулване на подобни инциденти имат шансове за успех. Прави се по много начини – от споразумения с пострадалите до пълно мълчание по случая.

 

На първи август 2018 г. от компанията Reddit обявиха нарушение на сигурността с изтичане на лини данни. Хакерите са компрометирали профилите на няколко служители. Сслед като заобикалят двуфакторното удостоверяване (2FA) и открадват данни:

имейл адреси;

дневници /логове/;

и резервно копие на база данни от 2007 г., съдържащо стари осолени /salted – начин за допълнително маскиране/ и хеширани пароли.

От компанията обясняват също, че хакерите са присвоили имейл адресите на всички, които са били абонирани за изпратените информационни бюлетини на 3-ти юни и на 17-ти юни. Копирали са файлове от работните директории на някои от служителите.

Вижда се, че от Reddit действат и спазват всички изисквания на GDPR за  смегчаване на рисковете и ликвидиране на последствията от инцидент с изтичане на данни. В подробния бюлетин на компанията се обясняват и конкретни технически мерки по този повод – например промяна на ключовете на всички API и разширяване на обхвата на журнализиране.

National Institute for Standards and Technology (NIST) отдавна /по мерките за развитие на ИТ/ издаде препоръки срещу използване на двуфакторна автетификация – SMS-based 2FA.  Академичните изследователи я преодоляха преди няколко години. Напоследък са открити инциденти със SMS-based 2FA в реални системи [12]. Дори след тези факти съществува препоръки от изследователи по сигурността за използването и.