Утечка инсайдерских данных в ПриватБанке через GoogleSites

Несоблюдение политики информационной безопасности грозит компаниям существенными потерями. Речь идёт не столько о финансовых потерях, сколько о подпорченном имидже компании и риске быть “съеденным" конкурентами.   

 

Почему так происходит? В каждой крупной компании есть ряд сотрудников, владеющих конфиденциальной информацией. 

 

Из-за халатности сотрудников, эта информация попадает в публичный доступ и делает компанию уязвимой.

 

Иван Сорбат, СЕО в компании SORBAT Corp., сертифицированный специалист в информационной безопасности ISO 17799:2005, провёл исследование по утечке информации с помощью сервиса GoogleSites http://sites.google.com.

 

иван сорбат.jpg

 

Исследование проводилось на примере нарушений крупнейшего коммерческого банка Украины - “ПриватБанк”.

 

приватбанк.jpg

 

Из этой статьи вы узнаете, как не допустить и предотвратить утечку информации компании в интернете.

 

Закрытая информация компании доступна простому интернет-пользователю. Каким образом? 

 

Чтобы получить доступ к конфиденциальной информации не нужно быть хакером. Достаточно знать, как пользоваться интернетом.

 

Несколько шагов по вскрытию не засекреченных данных о компании, на примере "ПриватБанк":

  1. Заходим на сайт http://sites.google.com/ и в браузере, в адресной строке добавляем запись /a (аудит сайтов подключенных посредством Google API) и добавляем адрес домена (веб-аудит). Например: http://sites.google.com/a/privatbank.ua.

 

приват_аудит.jpg

 

2. Далее в меню слева выбираем “Обзор сайтов” в домене privatbank.ua, и проводим аудит по тегам на доступность информации сайтов "ПриватБанк".

 

Результаты аудита показывают нам список категорий и сайтов, открытых сотрудниками "ПриватБанк" для общего просмотра.

 

приваттттттт.jpg



3. Для просмотра материалов из списка, выбираем интересующую нас запись и переходим на сайт.

 

В ноябре 2014 года, когда проводился анализ доменов ПриватБанка, пользователь мог получить доступ к базе данных отделений банка, информации о сотрудниках, фотографии касс изнутри и многой другой конфиденциальной информации.

 

Ниже представлены примеры таблиц, которые на тот момент были в открытом доступе:

 

приват222 новый.jpg

 

приват33333 новый.png

 

Сегодня “ПриватБанк” работает над устранением доступов к ресурсам, “подчищает” особо секретные ссылки.

 

Рекомендации Ивана Сорбата: как предотвратить утечку ценной информации компании?

 

1. Проведите аналитику, оцените степень важности уязвимости и сделайте выводы.

2. Дополнительно проведите внутренний аудит информации на сайтах компании в сервисах Google и устраните обнаруженные уязвимости.

3. Дайте задачу внутренним и внешним специалистам провести ряд таких работ:

  • проверка сайта на устойчивость к атакам на основе PHP-инъекций, SQL-инъекций, XSS Cross Site Scripting и др.

  • поиск уязвимостей, позволяющих  злоумышленнику получить доступ к закрытым областям сайта

  • анализ кода скриптов сайта инструментальным сканированием или ручным способом

  • сформировать отчет и рекомендации согласно международным стандартам аудита IT-организаций CobiT, а также анализа рисков Penetration Testing Execution Standard (PTES).

4. Для внешнего аудита обратитесь к независимым экспертам. В том числе и к специалистам Analytical Center SORBAT. Они предоставят вам независимый объективный отчет о состоянии безопасности веб-сайтов компании.

 

Если конкуренты и другие “заинтересованные” в вашем бизнесе лица ещё не добрались до информации, которую им видеть не желательно, вам несказанно повезло. Немедленно примите меры, присвойте сайту компании гриф "совершенно секретно" и уберегите от утечки информацию.

 

Данные предоставлены Сорбат И.В., на основании документа “Аудит сервиса Google Sites для выявления инсайдерской деятельности на примере коммерческой организации”.

 

Назад