Стали известны подробности самой масштабной утечки в истории банков США.

Газета New York Times, опираясь на сведения, полученные от одного из источников, близких к следствию, предполагает, что причиной утечки в JPMorgan стало отсутствие двухфакторной аутентификации, допущенное по недосмотру на одном из серверов. Хакеры определили сервер, не защищенный двухфакторной аутентификацией, и проникли в него, используя похищенные учетные данные. Ранее в августе JPMorgan официально объявил о том, что совместно с ФБР и Секретной службой США ведет расследование «хакерской атаки».

Из-за утечки в опасности оказались данные приблизительно 76 млн физических лиц и 7 млн компаний, и, что еще хуже для JPMorgan, атака заставила банк потратить на информационную безопасность больше, чем заложено бюджетом, — а это $250 млн.

Об утечке было объявлено в октябре в сводке Комиссии по ценным бумагам и биржам (SEC). Представители JPMorgan сообщили, что хакеры похитили контактную информацию пользователей, включая имена, телефонные номера и email-адреса. Риску также подверглись номера счетов, пароли, пользовательские ID, даты рождения и номера соцстрахования, хотя они и не были украдены.

Между июнем и августом текущего года злоумышленники успели получить доступ к 100 серверам прежде, чем ИБ-отдел заподозрил неладное. Атаку связывают с деятельностью российских или восточноевропейских хакеров.

Применение двухфакторной идентификации рекомендовано Федеральным советом по надзору за финансовыми учреждениями с целью предотвращения мошенничества и хищения данных в случае утечки паролей. Хотя этот метод неидеален, необходимость тратить время на взлом дополнительного уровня защиты может отпугнуть хакеров, не желающих быть пойманными в ходе атаки. Очевидно, хакеры, нацелившиеся на JPMorgan, смогли найти сервер, на котором по недосмотру не была внедрена двухступенчатая система аутентификации, и сорвали джекпот.

«Проведение тщательной инвентаризации всех точек входа в сетевую инфраструктуру, а также повторная проверка после процедур апгрейда — самый надежный способ удостовериться, что ИБ-специалисты не обошли вниманием какие-либо приложения или сервера, — говорится в отчете Duo Security, компании, специализирующейся на системах аутентификации. — Иначе в чем смысл внедрять улучшенную систему безопасности только частично?»

Инцидент в JPMorgan также демонстрирует, что хакерам необязательно заниматься эксплуатацией уязвимостей нулевого дня, чтобы проникнуть даже в тщательно защищенные компании.

«Нам давно известно, что атакующие охотятся за учетными данными различными способами, включая фишинг. Мы также хорошо знаем, что хакеры умеют использовать похищенные учетные данные, в том числе данные аккаунтов администраторов, — напоминает Трей Форд (Trey Ford), эксперт Rapid7 по глобальной стратегии информационной безопасности. — Пока компании не откажутся от мантры, что пользователи и аккаунты — одно и то же, и не начнут отслеживать пользовательскую активность, заблаговременно замечая потенциальную компрометацию аккаунтов, мы будем наблюдать все новые и новые утечки».

Категории: Мошенничество, Хакеры