$77.1991.56

Утечка данных с Pornhub: история не про порно и не про пользователей

It-world

Новость о взломе Pornhub, появившаяся в декабре прошлого года, выглядела провокационно и быстро разлетелась по СМИ. Заголовки кричали о взломе одного из самых известных сайтов с контентом для взрослых, намекая на компрометацию пользователей и их платёжной информации. Однако реальная картина оказалась куда менее очевидной — и при этом гораздо более тревожной.

Утечка данных с Pornhub: история не про порно и не про пользователей
© It-world

Строго говоря, сам сайт Pornhub взломан не был. Инцидент произошёл у Mixpanel — популярного сервиса аналитики, который используется тысячами сайтов и приложений по всему миру. В их числе не только Pornhub, но и Wise, Pinterest, OpenAI со своим ChatGPT и множество других крупных мировых компаний. И именно поэтому данная ситуация воспринимается по-настоящему масштабной, ведь речь идёт не об уязвимости какого-то одного ресурса, а о типичном supply-chain-инциденте, последствия которого потенциально затрагивают весь мировой интернет.

Если сайт не взломали, то как утекли персональные данные?

Злоумышленники не атаковали Pornhub напрямую. Они получили доступ к инфраструктуре Mixpanel и уже через неё — к части данных, которые сайты передают в аналитические системы для улучшения поиска, рекомендаций и пользовательского опыта. Такие данные редко воспринимаются как чувствительные, но в совокупности они могут многое рассказать о конкретном человеке.

Конфиденциальность в IT-проектах: как не потерять бизнес на утечке данных

Важно отметить, что аналитические сервисы работают как внешний код, который подгружается при каждом заходе пользователя на сайт. Если этот код или инфраструктура, из которой он распространяется, оказывается скомпрометированной, проблема выходит далеко за рамки утечки таблицы из базы данных с почтовыми адресами. Теоретически появляется возможность внедрения вредоносных фрагментов кода, которые будут незаметно для владельцев ресурсов исполняться на тысячах сайтов и миллионах устройств. Это уже риски совершенно иного порядка — не репутационные, а системные.

Почему даже «безобидная» утечка — это большая проблема

По официальной информации, пароли и платёжные данные пользователей не пострадали. Утекла информация, использовавшаяся для аналитике пользовательского поведения: электронные адреса, история просмотров, технические параметры сессий. Формально — ничего критичного, но на практике — более чем достаточно для шантажа, давления и применения социальной инженерии.

Особенно чувствительным этот инцидент оказался для зарегистрированных пользователей Pornhub с premium-подпиской. Ведь и сам факт привязки почты к такому ресурсу для многих является приватной информацией, так что злоумышленники охотно и активно этим пользуются. После утечки появились рассылки с угрозами, в которых людей пугали «разоблачением» и требовали денег.

При этом важно понимать: подавляющее большинство таких писем рассылают не те, кто взломал ресурс и украл данные. Они продали эти данные в даркнете, где их купили более мелкие хакерские группировки или «обычные» мошенники. Реальной возможностью сильно навредить пользователю они не обладают, поскольку для этого нужно иметь много дополнительной информации, но зато они умело играют на страхе разоблачения и стыде — и так нередко добиваются своего.

Почему платить мошенникам — бессмысленно

Логика «обычного» шантажа здесь не применима. Данные уже утекли и уже находятся в обороте. Даже если пользователь заплатит, это никак не остановит их дальнейшее распространение и не гарантирует, что завтра не появится ещё один шантажист с тем же самым набором информации. Более того, сам факт отклика на предложение «уладить вопрос» может только увеличить давление.

В этом смысле ситуация принципиально отличается от классических атак вымогателей, где возможность договориться хотя бы теоретически существует. В данном случае заплатить — значит, просто выбросить деньги.

Слабое место

Инцидент с PornHub наглядно демонстрирует, что даже крупные и технологически зрелые компании не застрахованы от условно довольно простых атак. По имеющимся данным, взлом Mixpanel стал результатом фишинговой SMS-рассылки по её сотрудникам. Вредоносная ссылка, открытая на рабочей станции или личном устройстве, позволила злоумышленникам получить доступ к одному из компьютеров, а затем — пройти по всей инфраструктуре как «легитимному» пользователю.

Обзор российских решений для комплексной защиты бизнеса от киберугроз

За атакой стояла известная группировка ShinyHunters — распределённое сообщество, специализирующееся на краже и продаже персональных данных пользователей. С 2020 года они фигурируют в расследованиях вокруг Snowflake, Ticketmaster, Santander, Salesforce, Twilio и других крупных компаний. Их модель проста: взлом, попытка вымогательства, а в случае отказа — продажа данных на чёрном рынке. Именно поэтому последствия таких атак продолжают жить своей жизнью даже после того, как сам инцидент формально закрыт.

Что из этого следует для рядовых пользователей и бизнеса

Главный вывод из этой истории неприятен, но важен: обычные пользователи никак не могут повлиять на безопасность третьих сервисов, о существовании которых они зачастую даже не догадываются. А компании, в свою очередь, не могут ограничиваться защитой только собственной инфраструктуры, игнорируя состояние систем безопасности в цепочке своих подрядчиков и партнёров.

В итоге эту ситуацию, на мой взгляд, можно свести к нескольким практическим рекомендациям, которые помогают пережить подобные инциденты с минимальными последствиями и ограниченным ущербом: используйте разные пароли и логины для разных сервисов, в идеале — через менеджеры паролей; включайте двухфакторную аутентификацию для всех важных аккаунтов; периодически проверяйте свои адреса в сервисах мониторинга утечек и сразу же принимайте меры по смене паролей, обнаружив там ваш электронный адрес; игнорируйте письма с угрозами и требованиями заплатить, особенно если речь идёт об устаревших или неполных персональных данных. Если же говорить о компаниях, то им следует предъявлять такие же жёсткие требования к подрядчикам и внешним сервисам, как к собственной ИБ. Им нужно понимать, что именно supply-chain-инциденты становятся главным источником рисков в настоящее время. История с Pornhub — это не про компрометацию «запретного» сайта и не про мораль. Это очередное напоминание о том, что в цифровой экономике уязвимым звеном всё чаще оказывается не конкретная компания, а экосистема вокруг неё. И чем раньше бизнес это осознает, тем меньше сюрпризов его ждёт в дальнейшем.