Ваша робоча пошта майже напевно вже в чиємусь списку. Не тому, що вас окремо ламали, а тому, що зламали сервіс, яким ви колись користувалися, і ваш логін із паролем поїхали в загальний злив разом із мільйонами інших. Питання не в тому, чи ви у витоку. Питання в тому, чи ви про це знаєте — і що з цим можна зробити, поки за нього не взявся хтось інший.
Про витоки даних говорять як про далеку абстракцію, поки одного дня не приходить лист від «банку» з вашим справжнім телефоном і половиною картки в тексті. У цей момент стає зрозуміло, що дані вже гуляють, і гуляють давно. Ця стаття — про те, як перевірити свій цифровий слід самостійно, за що з цього повинен турбуватися саме бізнес і де закінчується перевірка на коліні, а починається серйозна робота. Без залякування і без реклами страху — тільки механіка й конкретні дії.
Витік даних — це коли база якогось сервісу з логінами, паролями, телефонами й адресами клієнтів опиняється поза цим сервісом. Інтернет-магазин, форум, застосунок доставки, стара соцмережа — будь-хто, кому ви колись залишили пошту й пароль, може бути зламаний, і тоді ваш запис їде разом з усіма іншими. Далі ця база продається, потім перепродається, а зрештою просто викладається у відкритий доступ, де її може завантажити хто завгодно.
Масштаб тут — проста арифметика. За останнє десятиліття у відкритих зливах опинилися мільярди записів: пари «email плюс пароль», номери телефонів, домашні адреси, історії замовлень, скани документів. Один людський email за роки життя проходить через десятки сервісів, і достатньо, щоб зламали хоча б один із них. Тому реалістичне припущення для будь-кого, хто користується інтернетом більше кількох років, — ви вже десь у витоку. Не «можливо», а майже напевно. Різниця між людьми лише в тому, знають вони про це заздалегідь чи дізнаються з фішингового листа.
Хороша новина — базову перевірку кожен робить сам, безкоштовно і за кілька хвилин. Для цього існує окрема категорія інструментів: сервіси перевірки витоків. Це онлайн-бази, які збирають зливи, що вже стали публічними, і дозволяють звірити з ними вашу адресу чи домен. Ви вводите пошту — сервіс каже, у скількох витоках вона засвітилась, коли це сталося і які саме дані витекли в кожному випадку.
Дивитися варто не лише на сам факт «є або нема», а на деталі. Хороший сервіс покаже тип злитих даних: в одному витоку це був лише email, в іншому — email разом із паролем, у третьому — телефон, адреса й історія покупок. Це важливо, бо витік із паролем — зовсім інший рівень загрози, ніж витік самої адреси. Друге, на що дивитися, — свіжість: злив п'ятирічної давнини з паролем, який ви відтоді змінили, менш небезпечний за торішній. Для бізнесу окремо існує перевірка за доменом — вона показує всі корпоративні пошти вашої компанії, що засвітились у зливах, а не одну адресу. Це дає картину по всій команді, а не по одному вашому акаунту.
Цих п'яти кроків достатньо, щоб зрозуміти масштаб проблеми особисто для себе чи для команди. Вони не потребують ні бюджету, ні спеціаліста — лише пів години уваги. Але вони відповідають тільки на питання «чи я у витоку». На питання «що з цього зловмисник реально може зібрати проти мене» вони не відповідають, і до цього ми повернемось нижче.
Для приватної людини витік — це неприємність: спам, шахрайські дзвінки, ризик, що зайдуть в один акаунт. Для бізнесу той самий витік однієї корпоративної адреси відкриває двері всередину компанії, і ціна тут інша.
Почнемо з паролів. Люди повторюють їх — той самий пароль стоїть на пошті, у платіжці й в адмінці сайту. Коли він витікає з одного зламаного сервісу, зловмисники беруть список пар «логін плюс пароль» і автоматично перебирають ним входи на десятки інших систем. Один засвічений пароль співробітника — і чужа людина заходить у корпоративну пошту, а з неї бачить листування, рахунки й доступи. Це найпоширеніший спосіб, у який компанії втрачають контроль над своїми акаунтами.
Далі — прицільний фішинг. Витік показує не лише пошту, а й структуру: імена співробітників, посади, хто кому пише. Маючи це, зловмисник складає лист, який виглядає своїм, — від імені директора бухгалтеру з проханням терміново оплатити рахунок, або від «підрядника» з новими банківськими реквізитами. Такий лист спрацьовує, бо в ньому все правильно: правильні імена, правильний тон, правильний контекст. І нарешті — компрометація корпоративної пошти як точки входу. Зайшовши в один поштовий акаунт, зловмисник рідко зупиняється: звідти він відновлює паролі до інших сервісів, читає внутрішні документи, а іноді просто мовчки спостерігає, вичікуючи великий платіж. Один злитий вхід тут обертається прямими грошима і зупиненою роботою.
Знайти себе в базі — це привід діяти, а не панікувати. Порядок дій сталий і не потребує спеціаліста для першого кола.
Змініть паролі на всіх засвічених адресах, і насамперед там, де пароль повторювався. Ставте різні паролі на різні сервіси — так один витік перестає бути ключем до всього одразу; менеджер паролів знімає з вас потребу їх пам'ятати. Увімкніть двофакторну автентифікацію скрізь, де вона є: навіть якщо пароль украдено, без другого фактора в акаунт не зайдуть. Це найдешевший захід із найбільшим ефектом. Проведіть аудит — пройдіться по інших сервісах, де могли стояти ті самі паролі, і поміняйте їх теж, бо злитий пароль небезпечний рівно доти, доки він десь ще працює. І нарешті поставте моніторинг: разова перевірка показує стан на сьогодні, а витоки з'являються далі, тож потрібне сповіщення, коли ваша адреса засвітиться в новому зливі. Ці чотири дії закривають найгостріше і для приватної людини їх достатньо.
Усе вище власник закриває сам. Але самоперевірка має стелю, і для бізнесу вона нижча, ніж здається. Сервіс перевірки витоків відповідає на одне вузьке питання: чи є ваша адреса в злитих базах. Він не відповідає на питання, яке насправді вирішує безпеку компанії: що зловмисник може зібрати з усього вашого публічного сліду разом.
Різниця тут принципова. Ваша пошта у витоку — це один факт. А тепер уявіть, що хтось поєднав цей факт із рештою: знайшов ще п'ять корпоративних адрес вашої команди в зливах, зіставив їх з іменами й посадами з відкритих джерел, знайшов домен-двійник, зареєстрований учора під фішинг проти вашого бренду, побачив забутий тестовий сервіс, відкритий назовні, і склав із цього карту — кого атакувати, під кого маскуватися і де у вас найтонше. Для зловмисника ви — ціла поверхня, а не одна адреса в базі. Самоперевірка показує вам лише одну точку цієї поверхні. Решту ви не бачите — а він бачить.
Саме тут самоперевірка закінчується і починається професійний adversarial-аудит. Його логіка проста: подивитись на вашу компанію очима того, хто готує проти вас атаку, і зробити це раніше за нього. Питання не «чи є email у базі», а що з витоків, відкритих джерел, фішингових доменів і забутих сервісів складається в реальний план нападу. У Argus Intel це Reputation Defense — розвідка вашої власної публічної поверхні тими самими методами, якими працює атакувальник, тільки на вашому боці. Ми звіряємо корпоративні адреси з відкритими базами витоків, шукаємо impersonation і фішинг під ваш бренд, знаходимо відкриті вразливості й легкий компромат, і зводимо все в один звіт: де ви вразливі і що закрити першим. Робота йде тільки на відкритих джерелах — жодного злому, жодного «пробиву», кожен факт із задокументованим джерелом. Разовий вхідний аудит — Baseline від $399; для тих, кому потрібен не знімок, а постійний радар загроз, є щомісячні рівні. Логіку роботи детальніше описано на сторінці як ми працюємо, а весь спектр перевірок — на сторінці тарифів.
Те, що ви у витоку, — не питання ймовірності, а майже даність для будь-кого з кількарічним цифровим слідом. Різницю робить те, чи ви про цей витік знаєте і що встигли закрити. Почніть з безкоштовного: перевірте свої адреси й домен через сервіс перевірки витоків, поміняйте засвічені паролі, увімкніть двофакторну автентифікацію, поставте моніторинг. Це закриває базу і не коштує нічого, крім пів години. А коли на кону не один особистий акаунт, а компанія з командою, реквізитами й репутацією, варто побачити всю поверхню, а не одну точку — очима того, хто готує атаку, поки він не побачив її першим.
Reputation Defense Baseline — разовий аудит вашої публічної поверхні: витоки корпоративних даних, фішинг під бренд, відкриті вразливості. Від $399.