О взломе сообщил Даниэль Ингевальдсон (Daniel Ingevaldson), ответственный за обнаружение мошеннических схем с программным обеспечением компании Easy Solutions Inc. В данный момент похищенные данные выставлены на торги на специальном сайте. Пока данная база не попала в открытый доступ, самостоятельно узнать о попадании своих данных в руки злоумышленников проблематично. Можно обратиться в техническую поддержку клиентов взломанного сайта за этой информацией. Тем не менее, эксперты рекомендуют сменить пароль к своей учетной записи даже в том случае, если ее реквизитов не оказалось в списке скомпрометированных данных – злоумышленники могут продавать свою базу по частям.
Денис Макрушин советует всем пользователям совершить простые действия, чтобы обезопасить себя от результатов неприятного инцидента: «Во-первых, оперативно сменить пароль своей учетной записи на более сложный, который будет содержать не менее 8 символов и состоять из цифр, букв в разном регистре и специальных символов. Во-вторых, быть бдительным и не открывать никаких вложений в письмах, которые приходят от третьих лиц, включая администрацию скомпрометированного ресурса. В-третьих, регулярно менять пароль своей учетной записи. Если веб-ресурс предоставляет возможность заходить в свой аккаунт через социальные сети, то лучше воспользоваться ею – в данном случае не требуется вводить пароль».
На данный момент известно, что пострадавшие посетители сайта знакомств использовали около 345 тыс. разных доменных имен. Например, 7 млн пользователей предпочитают сервис Hotmail.com, 2,5 млн – Yahoo.com, еще 2,3 млн – Gmail.com. «Это не данные кредитных карт, но это все же нарушение первого уровня», – комментирует Ингевальдсон.
Экспертам трудно дать точную оценку защищенности конкретного интернет-сервиса без проведения соответствующего анализа. Однако можно сделать общие выводы, исходя из инцидентов, освещенных в СМИ, и тенденций в сфере создания защищенных веб-приложений. Так, наиболее крупные российские интернет-сервисы уже давно заботятся о безопасности своих пользователей и успешно внедряют программы вознаграждения за найденные уязвимости. «Программы «Bug Bounty» уже давно прижились на западных веб-проектах и представляют собой простую концепцию: нашел уязвимость, сообщил о ней владельцам сервиса и получил вознаграждение. Такие же программы есть и в России. Их развитие, а также повышение квалификации специалистов, отвечающих за закрытие уязвимостей и обработку инцидентов, позволяет серьезно повысить уровень защищенности веб-приложений и, как следствие, осложнить жизнь преступникам, которые непрерывно охотятся за персональными и платежными данными пользователей интернет-сервисов», – комментирует Денис Макрушин.