Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Как не сесть в лужу по-королевски: учимся не постить лишнего

Как не сесть в лужу по-королевски: учимся не постить лишнего

Несколько историй о том, как легко случайно сделать конфиденциальную информацию достоянием общественности.

Если выложить в Instagram билеты на концерт, забыв замазать штрихкод, кто-то может эти билеты украсть и послушать любимую группу вместо вас. То же самое может случиться, и если замазать этот штрихкод не тем инструментом.

Впрочем, вспомнить о том, что надо как следует скрыть штрихкод, не так сложно, когда вы хотите похвастаться билетами. Другое дело — когда фотография, которую вы выложили в Интернет, вообще о чем-то другом, а билеты — или, скажем, бумажка с паролями от внутренних ресурсов компании — попали в кадр случайно. Вот несколько историй о том, как люди сливают в Сеть конфиденциальные данные, даже не задумываясь об этом.

1. Съемки на фоне паролей

На фото и видео, сделанные в офисах или на закрытых объектах, пароли и другие секреты попадают чаще, чем можно было бы подумать. Снимая людей, операторы не обращают внимания на фон — в результате выходит неловкая, а то и опасная ситуация.

Военная бесхитростность

В 2012 году в неудобном положении оказались Королевские ВВС Великобритании. Вместе с фоторепортажем об армейских буднях принца Уильяма, служившего тогда в одной из частей, в общий доступ попали учетные данные от внутренней информационной системы. Логины и пароли обнаружились на листках, украшавших стену за спиной герцога Кембриджского.

Вскоре после публикации на официальном сайте королевской семьи эти снимки заменили отретушированными версиями, а «засвеченные» пароли обновили. Повесили ли их на стену снова — неизвестно.

Логин и пароль для входа в систему MilFlip в интерьере.

Логин и пароль для входа в систему MilFlip в интерьере. Источник

История с принцем Уильямом — не единственный подобный случай. Менее именитые военнослужащие тоже делятся секретами в Интернете, как с помощью репортеров, так и самостоятельно. Например, один офицер опубликовал в соцсети селфи на фоне рабочих мониторов. Виновный отделался повторным прохождением инструктажа по цифровой безопасности.

Утечка в эфире

В 2015 году французская телекомпания TV5Monde стала жертвой кибератаки: неизвестные взломали сайт организации и ее страницу в Facebook, разместили на них сомнительные материалы, а заодно прервали вещание на несколько часов.

Дальнейшие события превратили историю в фарс. Сотрудник TV5Monde дал журналистам интервью об атаке… на фоне бумажек с паролями к официальным профилям компании в соцсетях. На скриншотах текст плохо различим, но пароль к YouTube-аккаунту энтузиасты все же разглядели.

Пароль оказался не особо сложным и выглядел как «lemotdepassedeyoutube» (то есть буквально «паролькyoutube» по-французски). К счастью, после выхода откровенной беседы YouTube и другие аккаунты компании не пострадали. Однако эта история наводит на определенные мысли по поводу взлома, который обсуждали в интервью.

Сотрудник TV5Monde дает интервью на фоне паролей.

Сотрудник TV5Monde дает интервью на фоне паролей. Источник

Похожий инцидент произошел в 2014 году, когда в объектив телевизионщиков, снимавших репортаж о Суперкубке по американскому футболу, попал пароль к внутренней Wi-Fi-сети стадиона. Причем показанные по ТВ кадры сделали в командном центре, ответственном за безопасность соревнований.

Пароль для доступа к сети Wi-Fi выведен на экран в командном центре стадиона.

Пароль для доступа к сети Wi-Fi выведен на экран в командном центре стадиона. Источник

2. Фитнес-трекеры

Устройства, с помощью которых вы следите за своим здоровьем, вполне могут помогать кому-то следить за вами, а с некоторыми ухищрениями — даже вычислять конфиденциальные данные вроде PIN-кода от банковской карты. Правда, последний сценарий довольно нереалистичный.

А вот утечка информации о местоположении секретных объектов — увы, вполне жизненный. К примеру, фитнес-приложение Strava с аудиторией более 10 миллионов человек отмечает забеги пользователей на общедоступной карте. И в некоторых случаях на ней можно увидеть… планы военных объектов.

Приложение позволяет скрыть тренировки от посторонних глаз — тогда маршруты не появляются в публичном доступе. Однако не все пользователи в погонах разбираются в таких нюансах.

Карта передвижений солдат на одной из военных баз США в Афганистане в фитнес-сервисе Strava.

Карта передвижений солдат на одной из военных баз США в Афганистане в фитнес-сервисе Strava.

Из-за угрозы новых утечек в 2018 году Пентагон просто-напросто запретил американским солдатам пользоваться фитнес-трекерами на службе. Конечно, если вы не посещаете по долгу службы секретные объекты, такой метод решения проблемы явно будет чересчур радикальным. Но правильными настройками приватности вашего фитнес-приложения советуем озаботиться.

3. Утечка в метаданных

Иногда секреты могут скрываться в информации о файле — в метаданных, о которых очень легко забыть. В частности, фотографии часто содержат координаты места, где их сделали.

В 2007 году американские солдаты (да, это еще одна история про военных) выложили в Интернет фото вертолетов, прибывших на их базу в Ираке. В метаданных снимков содержались точные координаты места размещения техники. По одной из версий, именно этой информацией воспользовался противник для атаки, в результате которой США потеряли четыре вертолета.

4. Излишняя откровенность в соцсетях

Некоторые тайны можно узнать, просто изучив список друзей пользователя. Например, если среди контактов менеджера некоей компании вдруг появляются продажники из определенного региона, конкуренты вполне могут сделать вывод, что организация ищет новые рынки сбыта, и попытаться опередить ее.

В 2011 году журналистка издания Computerworld Шерон Махлис (Sharon Machlis) провела эксперимент по выуживанию информации из LinkedIn. Всего за 20 минут поисков по сайту она узнала, сколько сотрудников занимались модерацией интернет-форумов Apple и как устроена инфраструктура HR-подразделений компании.

По словам автора, это вряд ли можно считать коммерческой тайной, но и Apple относится к секретности намного серьезнее, чем среднестатистическая компания. Вот из должностных обязанностей вице-президента HP, указанных в том же LinkedIn, например, можно было узнать, над какими облачными сервисами работала компания.

Как не слить данные по неосторожности

Сотрудники, сами того не желая, могут многое рассказать Интернету про вашу компанию и ее тайны. Чтобы секреты не стали достоянием общественности, стоит заранее установить правила ответственной публикации материалов в сети, и довести их до сведения всех коллег.

  • Когда снимаете фото и видео для публикации, следите, чтобы ничего лишнего не попало в кадр. Если кто-то снимает вас или ваш офис — тоже. Журналистам все равно, а вот у вас могут быть неприятности, если по всему Интернету разлетятся ваши пароли. Так что в идеале съемки лучше проводить в каком-то специально предусмотренном для этого месте. Ну или хотя бы тщательно проверить сцену перед началом съемки.
  • Также проверяйте, что могут видеть ваши собеседники во время видеозвонков и телеконференций, даже если вы разговариваете с коллегами или партнерами.
  • Скрывайте важные личные и деловые контакты в соцсетях. Помните, что ими могут воспользоваться конкуренты, недоброжелатели и мошенники.
  • Если хотите опубликовать какой-нибудь файл, удалите из него метаданные. На компьютере с Windows это можно сделать в свойствах файла, а для смартфонов есть специальные приложения. Вашим читателям вовсе не нужно знать, где было снято фото или на чьем компьютере создали текстовый документ.
  • Прежде чем похвастаться своими рабочими достижениями, подумайте, не являются ли они коммерческой тайной. Как минимум, чаще всего будет хорошей идеей не расписывать свои победы в мельчайших деталях.

Вообще сотрудники должны четко понимать, какая информация является конфиденциальной, и уметь обращаться с ней. В нашей онлайновой обучающей платформе Kaspersky Automated Security Awareness Platform есть специальный урок, посвященный этому вопросу.


Источник: Лаборатория Касперского

29.06.2020