Обезличенность персональных данных устраняется двумя кликами

Опубликовано at 19:04
290 0

Два студента из Гарварда показали, что деанонимизировать пользователей гораздо проще, чем официально утверждают корпорации.

Студенты Гарвардской школы инженерных и прикладных наук им. Джона А. Полсона Даша Метрополитански (Dasha Metropolitansky) и Киан Аттари (Kian Attari) разработали инструмент, анализирующий огромные массивы наборов пользовательских данных, утекших в Сеть в результате взломов.

С помощью инструмента они проанализировали тысячи наборов данных, складывая их воедино как паззлы, и несмотря на то, что многие из записей содержали «анонимизированную» информацию, по словам студентов, найти реальных пользователей оказалось не так уж и сложно.

Обезличенность данных устроена в реальности довольно топорным образом: одна компания может хранить только логины, пароли, адреса электронной почты и другую основную информацию об учетной записи, другая компания может хранить данные web-браузинга или информацию о местоположении пользователя. По отдельности подобные записи не помогут идентифицировать конкретного человека, но в совокупности они раскрывают многочисленные персональные подробности.

Используя инструмент, исследователям за несколько секунд удалось создать набор данных с более чем 1 тыс. человек, которые обладают большим капиталом, состоят в браке, имеют детей, а также зарегистрированы на сайтах знакомств. Прекрасная штука для маркетологов.

Напомним, в 2019 году в РФ почти вдвое больше и чаще крали персональные данные. Это существенно выше, чем по миру.

Во всем мире количество утечек конфиденциальной информации из компаний и государственных организаций увеличилось на 10% по сравнению с 2018 годом, тогда как в России число данных происшествий выросло более чем на 40%.

Объем самих скомпрометированных данных увеличился примерно в шесть раз, составив около 170 млн. В банковской сфере данный показатель составил 1 млн (меньше 1% от общего числа скомпрометированных данных).

Почти 50% всех утечек данных были вызваны действиями сотрудников компаний и организаций, а 40% — разного вида киберпреступниками. В нынешнем году ситуация изменилась, и лидерство заняли утечки по вине злоумышленников. На территории РФ действия киберпреступников составили менее 20%, тогда как 70% утечек информации были вызваны рядовыми сотрудниками.

«Граждане тут вообще ни при чем. Проблема, во-первых, в технических недоработках, когда базы лежат, по сути, в открытом доступе. И, во-вторых, в недобросовестных сотрудниках компаний, которым выгоднее продавать данные, к которым они имеют доступ, чем выполнять свои прямые обязанности. Например, буквально накануне праздников, 30 декабря дали 3 года ограничения свободы сотруднику крупного российского сотового оператора, который сливал данные по цене 300 рублей за абонента. Или утечка данных из госуслуг, тогда же случившаяся. Или чуть раньше, в ноябре бывший сотрудник Trend Micro, компании по кибербезопасности, похитил персональные данные около 70 тысяч клиентов, которым потом звонили мошенники. Тут интереснее, кто клиенты, которые платят этим сотрудникам. Кому это выгодно? Гипотетически тем же банкам, которые, кстати, сами составляют лишь 1% в утечках, но при этом, допустим, могут делать более выгодные таргетированные предложения, зная информацию о человеке. С сотрудниками, имеющими доступ к данным, это системная проблема, и как ее решать, пока не ясно. В 2019 году наблюдалась новая тенденция (в связи с постепенным рассеиванием ореола элитного статуса вокруг IT-сотрудников), когда данные начали сливать сисадмины. На них приходится всего 2% утечек по количеству инцидентов, однако более четверти по объему», — заявил Евгений Лифшиц.

Лифшиц отмечает, что грамотность населения в отношении кибербезопасности повышается по мере распространения информации о мошенниках, имитирующих сотрудников банков и других подобных угрозах.

«Что касается киберпреступников, то они, в отличие от инсайдеров, сегодня в основном нацелены на серьезную добычу вроде коммерческой или государственной тайны или денег там, где точно известно, что они есть. Персональные данные же становится проще купить у сотрудников самих компаний, к сожалению. Или люди вбивают их самостоятельно на фишинговых сайтах, которые активизируются в периоды праздников», — руководитель Агентства Кибербезопасности, член экспертного совета комитета Госдумы по информполитике, информационным технологиям и связи Евгений Лифшиц.

Читайте также на АКБ:

Число утечек данных в РФ выросло на 40% за год

Подписываемся, следим @CyberAgency

Related Post

ИИ на госслужбе

Опубликовано - 04.04.2017 0
Новая Зеландия будет использовать технологии искусственного интеллекта для повышения качества сервиса и цифровой идентификации пользователей, сообщили в Департаменте внутренних дел…

Роскомнадзор заблокировал почти 4 тыс. адресов Amazon AWS за призывы к массовым беспорядкам

Опубликовано - 12.03.2018 0
Блокировка 3926 страниц была осуществлена на основании решения Генпрокуратуры от 4 декабря 2015 года! То есть, решение было принято больше…