КЕЙС Исследователи компании VPNMentor выяснили, что база данных мобильного коммуникационного приложения (и телефонного справочника) Dalil в Саудовской Аравии с профилями более чем 5 млн пользователей находится в открытом доступе в интернете. База содержит такие данные, как номер, IMEI и прочие данные мобильного телефона; IP-адрес; данные GPS о передвижениях владельца; его имя и фамилию, профессию и др. С помощью этих данных легко идентифицировать пользователя по аккаунтам в социальных сетях и определить его местонахождение. Кроме того, учитывая, что в Саудовской Аравии действуют одни из самых строгих в мире законов о цензуре, допускающие в том числе прослушивание телефонных звонков, правительство этой страны с помощью базы данных Dalil может легко идентифицировать пользователей по их телефонным номерам, а также определить, с кем они контактируют, и в дальнейшем преследовать по политическим мотивам[62].
В настоящее время вместо ненадежных и довольно неудобных систем восстановления доступа с помощью секретных вопросов все чаще используется многофакторная аутентификация, которая во многих случаях надежнее и, безусловно, удобнее.
Если поддерживается многофакторная аутентификация – она должна быть включена
Хотя многофакторная аутентификация и не обеспечивает 100 %-ной защиты, она все же существенно повышает безопасность приложений и веб-сервисов, где используется. Подробнее об этом методе защиты мы поговорим в соответствующем разделе данной главы.
КЕЙС В 2020 г. хакерами было взломано 1800 учетных записей пользователей игровой платформы Roblox. Злоумышленники оставили в профилях сообщение «Попроси своих родителей голосовать за Трампа в этом году! #MAGA2020» и изменили аватары во взломанных профилях, «надев на них типичную для сторонников Дональда Трампа одежду: красные кепки и футболки с американским флагом и орланом. Пострадавшие не включили двухфакторную аутентификацию, у многих были очень простые или многократно используемые пароли. Позднее выяснилось, что хакеры в процессе взлома использовали paste-сайты[63] с незашифрованными логинами/паролями пользователей Roblox[64].
Вынос мусора
Тема удаления персональных данных выходит за рамки этой книги. Главное, что вам нужно знать: брошенные аккаунты могут скомпрометировать вас, поэтому не ленитесь удалять их. Можно самостоятельно удалить аккаунт с помощью его настроек или отправить соответствующий запрос владельцам (администраторам) сайта.
Помимо того, что, завладев брошенным аккаунтом, злоумышленник сможет отсылать от вашего имени спам вашим друзьям (и те могут поверить написанному, так как доверяют вам) и другим пользователям, он получит доступ к вашей персональной информации, указанной в учетной записи. Это могут быть как телефоны и адреса, так и платежная информация, если вы приобретали на этом сайте какие-либо услуги или товары. Используя обнаруженный там адрес электронной почты, злоумышленник может попытаться залогиниться на других сайтах с вашими аккаунтами или даже использовать его, чтобы перехватить информацию для восстановления и смены пароля без вашего ведома. Кроме того, узнав пароль от неиспользуемого аккаунта, преступник может взломать другие ваши аккаунты, особенно если вы создаете кодовые фразы по одной и той же схеме. Узнать сервисы, на которых зарегистрирован тот же ваш адрес электронной почты, можно, просканировав утекшие базы данных. Также можно отправить запрос о регистрации нового профиля на том или ином сайте с вашим адресом. Если адрес электронной почты уже зарегистрирован (используется), система оповестит об этом.
Выше перечислены общие принципы подхода к выбору паролей для устройств. Эти советы касаются прежде всего компьютеров и устройств интернета вещей, так как специфика использования мобильных гаджетов не предполагает ввода сложных кодовых фраз, это попросту неудобно. Мобильным устройствам и особенностям их защиты посвящена отдельная глава.
Многофакторная аутентификация
Специалисты по информационной безопасности давно пришли к выводу, что пароли не обеспечивают должного уровня защиты от несанкционированного доступа. Для защиты от фишинга и подбора паролей разрабатываются специальные алгоритмы многофакторной аутентификации. Вместе с привычной парольной защитой используется второй фактор аутентификации – обычно это одноразовый код, высылаемый через SMS-службы либо по электронной почте или генерируемый специальными приложениями, в том числе на сайтах типа Mos.ru. Такие коды действуют или определенное время, или до момента ввода пользователем (или отправки/генерации нового кода), поэтому их кража бесполезна. Но поскольку человеку трудно запоминать и придумывать одноразовые пароли, то требуются дополнительные технологии, чтобы многофакторная аутентификация работала корректно.
С помощью SMS-сообщений
Как следует из названия, при многофакторной аутентификации пользователь проходит два или более этапа «опознания», например для авторизации в системе. На одном из этапов может быть, как обычно, введен пароль (первый и наиболее уязвимый фактор), а на втором – ПИН-код, высланный в SMS-сообщении на зарегистрированный пользователем номер телефона. В этом случае злоумышленнику недостаточно украсть пароль, ему также необходимо получить доступ к устройству, используемому владельцем для дополнительной аутентификации, например смартфону, либо перехватить трафик.
Примечание. ПИН-код может не только отправляться в SMS-сообщении, но и проговариваться роботом при голосовом вызове. Кроме того, ПИН-кодом могут служить последние несколько цифр в номере телефона, с которого пользователь автоматически получает вызов при аутентификации.
Данный способ хоть и повышает уровень защиты, но все-таки небезопасен, так как злоумышленник при наличии достаточного количества ресурсов может дублировать SIM-карту или перехватить сотовый трафик, а вместе с ним и ПИН-код (об этом мы поговорим в соответствующих главах). Кроме того, пользователю приходится указывать на различных сайтах номер своего телефона, тем самым подвергая риску свои персональные данные. Может произойти их утечка, кража, они могут быть собраны коммерческими или государственными организациями, к примеру, с целью их обработки, идентификации владельца или рассылки таргетированной рекламы. А если вы проходите аутентификацию и получаете коды на одном и том же устройстве (например, смартфоне), то в случае кражи устройства двухфакторный метод вообще теряет смысл.
Анонимность и многофакторная аутентификация
К примеру, если на сайте социальной сети вы пользуетесь псевдонимом, включение двухфакторной аутентификации для доступа к сайту вынудит вас раскрыть номер своего мобильного телефона, после чего с помощью оператора сотовой связи можно будет установить вашу личность и связать с ней ваш псевдоним. Если для вас важно сохранять анонимность на определенном сервисе, следует либо пользоваться анонимным мобильным номером (при доступе к которому опять же не светить свой IP-адрес), либо отказаться от многофакторной аутентификации вовсе, что опять же снижает уровень безопасности.
Очевидны неудобства такой системы для пользователя: SMS-сообщение или телефонный вызов он сможет получить, только если смартфон находится в зоне действия сотовой сети. Особенно серьезные трудности могут возникнуть, если пользователь отправится за границу и по организационным или финансовым причинам не сможет использовать ту же SIM-карту, что и в стране постоянного проживания. Так, некоторые сервисы вынуждают клиентов применять исключительно аутентификацию (вторую) с помощью SMS-сообщений, хотя для получения одноразовых кодов можно использовать, например, PUSH-уведомления. Ко всему прочему ПИН-коды могут приходить со значительной задержкой, что замедляет или даже делает невозможной аутентификацию пользователя. К примеру, такая ситуация сложилась на сайте «Госуслуги», после того как в период пандемии COVID-19 правительство РФ ввело в действие меры поддержки населения. На этом ресурсе на ввод ПИН-кода отводится ограниченное количество времени, после чего код становится недействителен. Из-за резкого наплыва посетителей коды отправлялись на устройства пользователей со значительной задержкой, и посетители ресурса не могли аутентифицироваться.