Кадровая информация одной из крупнейших в мире нефтегазовых компаний оказалась в открытом доступе из-за ошибки бесплатного онлайн-сервиса Translate.com. Через поисковик Google интернет-пользователи могли найти сообщения об увольнении, планы по аутсорсингу, контракты, пароли и прочие данные Statoil.

Утечку обнаружили журналисты норвежской новостной компании NRK, которые ссылаются на президента некоммерческой организации Norwegian Society of Graduate Technical and Scientific Professionals Лиз Лингснес Рандеберг (Lise Lyngsnes Randeberg). Она наткнулась на конфиденциальные материалы, когда искала информацию о компании Statoil. Сотрудники корпорации самостоятельно загрузили их на сервис онлайн-перевода, после чего данные оказались в открытом доступе.
Представители Translate.com отметили, что речь идет не о взломе, а об ошибке в “старом” компоненте их программы, который уже отключили. На момент публикации в Google все же можно было просмотреть отдельные материалы Translate.com, хоть и в качестве сохраненных копий.

Бесплатные сервисы онлайн-перевода действительно сохраняют загруженные данные для дальнейшего использования при развитии и обучении своих систем. Попадут ли они в общественный доступ, зависит исключительно от настройки хранилищ. Корпоративные пользователи, как правило, не задумываются о том, стоит ли загружать в онлайн-сервис полученный инвойс, клиентскую презентацию и прочие материалы, которые явно относятся к важным корпоративным данным. В некоторых случаях это может произойти и неосознанно — например, если сотрудник хочет разобраться в письме китайского контрагента. Профессиональные переводчики также попадают в эту ловушку. Еще в 2013 году опрос агентства маркетинговой аналитики Common Sense Advisory определил, что у 64% работников этой сферы есть коллеги, которые регулярно используют в своей работе онлайн-перевод.

Угроза становится еще серьезнее, если оценить, как в целом онлайн-сервисы распоряжаются данными своих клиентов. Правила Google оставляют за корпорацией и ее партнерами право “использовать это содержание… изменять, создавать на его основе производные работы… обмениваться им, публиковать его, открыто воспроизводить, отображать, а также распространять”. Пользователь не контролирует, куда попадут его данные и как ими распорядится новый владелец. Оценить последствия можно по результатам эксперимента двух немецких исследователей, которые они представили на конференции DefCon 2017 в Лас-Вегасе.

Журналист Свеа Эккерт (Svea Eckert) вместе со специалистом по работе с данными Андреасом Девесом (Andreas Dewes) зарегистрировали фальшивое маркетинговое агентство, создали одностраничный сайт с картинками из фотобанка и разослали сотням немецким компаниям просьбу поделиться данными о сетевом поведении их клиентов. Они мотивировали запрос работой над машинным алгоритмом показа рекламы, для чего им якобы нужно изучить, как люди просматривают интернет-страницы. Исследователи подчеркивают, что компании предоставляли информацию бесплатно — никто не подумал, что сырые, обезличенные данные можно использовать в недобросовестных целях. При этом всего 10 кликов достаточно, чтобы с точностью определить человека, узнать его интересы, работу, семейное положение и образ жизни.

Эккерт и Девес собрали базу с информацией о 3 млн пользователей, которые сделали 3 млрд кликов на 9 млн сайтов. Хотя они ограничивали свои запросы Германией, некоторые их адресаты поделились данными пользователях из Великобритании и США. В результате удалось, например, узнать, какие лекарства принимает некий член британского парламента, и даже получить детали расследования некого киберпреступления. В последнем случае, кстати, информация была получена из Google Translate. Сотрудник правоохранительных органов использовал сервис в коммуникации с иностранными коллегами, не обращая внимания, что текст его сообщений попадал в URL страницы с переводом.

Эксперты ИБ предлагают пользователям лишь частичные меры защиты. Стоит отказаться от бесплатных сервисов в пользу систем по подписке — их создатели стараются обезопасить данные клиентов. При пересылке документов их можно защитить с помощью средств IRM (Information Rights Management, контроль доступа к информации). Однако, учитывая опыт Свеа Эккерт и Андреаса Девесоса, настоящую безопасность обеспечит только полный отказ от веб-сервисов.

Категории: Уязвимости