Нужна защита данных на всех этапах
Компания Valve, разработчик Steam, подтвердила утечку данных, но заявила, что она ограничена устаревшими SMS-сообщениями с одноразовыми кодами, срок действия которых истекает через 15 минут. Ранее в сети появилась информация о продаже 89 миллионов строк данных сервиса, включая номера телефонов и SMS-коды.
Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», рассказала, что инцидент подчёркивает важность защиты данных на всех этапах их жизненного цикла. Даже если сама компания надёжно защищена, уязвимости у подрядчиков могут стать причиной серьёзных инцидентов.
Анализ показал, что данные, выставленные хакером Machine1337, содержали устаревшие одноразовые коды, не дающие доступ к аккаунтам, но потенциально опасные для фишинга. По словам представителей компании, «данные не позволяют определить аккаунт, пароль, платёжную информацию и другие личные данные пользователей Steam по номеру телефона».
«Расследование фактов компрометации контрагентов Valve исключило причастность Twilio, поставщика PaaS, сосредоточившись на возможной уязвимости SMS-провайдера, через который сообщения передавались в незашифрованном виде. Valve рекомендует пользователям активировать Steam Mobile Authenticator и проверять авторизованные устройства, подчёркивая, что смена паролей не требуется. Инцидент демонстрирует риски незащищённых каналов передачи данных и зависимость от цепочки поставок сервисных услуг для компаний», — отметила киберэксперт.
Дмитриева рассказала: «Инцидент подчёркивает важность защиты данных на всех этапах их жизненного цикла. Для предотвращения подобных случаев компаниям стоит внедрять сквозное шифрование, держать на контроле вопрос по аудитам защищённости контрагентов и использовать защищённые СУБД, такие как Jatoba компании «Газинформсервис», обеспечивающие безопасное хранение и обработку конфиденциальной информации. Это снизит угрозы даже при компрометации внешних систем».
Фото: пресс-служба ООО «Газинформсервис»
О компании
ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.
