Авторство большинства признанных и освещённых утечек информации принадлежит киберпреступникам, орудующим как в группах, так и по одиночке. Обычно злоумышленники используют слабые места в системах передачи данных, уязвимости незащищённых хранилищ и простую невнимательность сотрудников.
Так, например, в России в 2023 г. была слита база клиентов курорта «Роза Хутор» — на сайте можно забронировать номер в отеле и оформить ски-пасс для спуска на горнолыжных трассах. Злоумышленники воспользовались «дырой» в 1С-Битрикс, в результате чего была слита база имён, телефонных номеров, адресов электронных почт и других персональных данных.
Сумма штрафа за утечку персональных данных составила 60 тыс. рублей. Но в будущем стоимость потери в России будут гораздо выше, как и мировой практике будут введены оборотные штрафы за утечку персональных данных. Например, за повторные утечки планируется штраф от оборота в 0,1–3% от выручки за календарный год или часть текущего года. Минимальный размер 15 млн.р., максимальный — 500 млн.р.
Сфера гостеприимства является привлекательной для хакеров, поскольку отели и системы бронирования собирают огромные массивы пользовательских данных: пароли, физические адреса проживания, данные кредитных карт и другой конфиденциальной информации. В мировой практике утечки происходят ежегодно.
Хакерская атака на агрегатор Fastbooking.com
В 2018 году хакеры атаковали сервера японсткого агрегатора отелей, позволяющего забронировать номера в более чем 4000 отелях в 100 странах. Были украдены данные 320 000 персональной информации (имена, возраст, номера телефонов), 66 960 данных кредитных карт.
MGM Resorts International
В середине 2023 года MGM Resorts International в результате утечки понесла ущерб в размере более 110 млн долларов — в эту сумму включены штрафы, компенсации пострадавшим и объём работ, необходимых для восстановления безопасности сети. Количество строк похищенных данных не было установлено.
Caesar Entertainment
В сентябре 2023 года компания Caesar Entertainment выплатила выкуп суммой 15 миллионов долларов. Злоумышленники украли базу данных программы лояльности клиентов — крупнейшую базу в отрасли, включающую не только обычные, но и чувствительные персональные данные — данные банковских карт, номера страховых документов и водительских удостоверений.
Marriott потеря 327 млн.записей и получила штраф на 123 млн.долларов
В 2018 году и-за несанкционированного доступа в систему бронирования Starwood произошла утечка 327 млн. записей по всей сети отелей — более 6,700 гостиниц по всему миру.
Так или иначе, компания несёт убытки вследствие утечек — масштабных и локальных. Любая подтверждённая утечка влечёт за собой штраф и репутационные издержки, которые тоже нередко становятся позициями в чеке: выплата компенсаций, судебных исков, восстановления систем и оплата работы специалистов.
Как влияет человеческий фактор на стоимость утечки?
Утечки данных почти всегда можно списать на рост киберпреступности: количество слитых и проданных баз данных с каждым годом всё растёт. И достаточно редко компании признают, что инцидента можно было избежать, просто приняв дополнительные меры безопасности — или объяснив коллективу, как следует работать с цифровыми активами.
Распространённым каналом для кражи данных остаются публичные сети Wi-Fi, которые часто используют отели и курортные комплексы. На эту проблему обратил внимание китайский исследователь, проживавший в отеле Fragrance в Сингапуре — он взломал интернет-шлюз и скопрометировал часть данных, которые могли бы использовать злоумышленники в процессе кибератаки. Результатом такого эксперимента стал штраф на 5000 сингапурских долларов.
Нередки случаи, когда организации используют незащищённые сервисы, не задумываясь о возможной компрометации личных данных.