این مفهوم بهمعنای هر حادثه امنیتی است که در آن، اشخاص غیرمجاز به دادههای حساس یا اطلاعات محرمانه، از جمله دادههای شخصی (شمارۀ تأمین اجتماعی، شمارۀ حساب بانکی و…)یا دادههای شرکتی (سوابق دادههای مشتریان، مالکیت فکری، اطلاعات مالی) دسترسی پیدا میکنند.
آنچه در پادکست میشنویم
نقض داده یا Data Breach نتیجۀ هک موفقیتآمیز در یک سیستم و بهدستآوردن کنترل شبکه و افشای دادههای آن؛ نقض دادههای معمولاً شخصی که مواردی مثل: شمارۀ کارت اعتباری، شمارۀ حسابهای بانکی، شمارۀ تأمیناجتماعی و مواردی از این دست را در بر میگیرد.
توضیح بیشتر
واژههای “نقض داده” و “نقض” اغلب به جای “حملۀ سایبری” استفاده میشوند. اما همۀ حملات سایبری، نقض داده و همۀ نقض دادهها، حملات سایبری نیستند.
نقض دادهها، تنها شامل آن دسته از نقضهای امنیتی است که در آنها محرمانگی دادهها به خطر میفتد؛ بهعنوانمثال، حملۀ (DDoS) که یک وبسایت را از کار میندازد رخنه اطلاعاتی نیست؛ اما حملۀ باجافزاری که دادههای مشتریان یک شرکت را قفل و تهدید به فروش آن در صورت عدم پرداخت باج میکند یک رخنه اطلاعاتی است!
مشکلی که گران تمام میشود
سایت IBM در سال ۲۰۲۲، هزینۀ تحمیلشده به شرکتها و افرادی را برآورد کرد که مورد حملۀ Data Breach قرار گرفته بودند براساس گزارش این سایت، میانگین هزینۀ جهانی یک نقض داده ۴.۳۵ میلیون دلار آمریکا است؛ (۸۳)درصد از سازمانهای بزرگ در سرتاسر جهان گزارش کردهاند که حداقل یکبار حملۀ Data Breach را تجربه و به مأموران امنیت سایبری گزارش کردهاند.
سازمانها، صرفنظر از اینکه بزرگند یا کوچک، دولتیاند یا خصوصی و محلیاند یا بینالمللی، با این نوع حملات، دستوپنجه نرم کردهاند.
ارزش دادههایی که از این شرکتها به سرقت میرود- اسرار دولتی، اطلاعات سلامت بیماران، شماره حسابهای بانکی و اعتبارنامههای ثبتشده – و جریمهها و مجازاتهای نظارتی شدیدی که این سازمانها در حملۀ Data Breach متحمل میشوند بسیار سنگین است. بهعنوانمثال، طبق گزارش IBM، میانگین نقض دادههای بهداشتی ۱۰.۱۰ میلیون دلار آمریکا هزینه داشته است که بیش از دو برابر میانگین هزینه تمام حملههای Data Breach بوده است.
چرا نقض داده رخ میدهد؟
- نقض دادهها میتواند ناشی از اشتباه ناخواستهای باشد که یک کارمند شاغل در یک سازمان انجام میدهد. بهعنوانمثال این شخص، با کلیک روی یک گزینه، باعث میشود که اطلاعات محرمانۀ شرکت برای فردی ارسال شود که مترصد فرصت برای انجام حملۀ Data Breach است.
- ممکن است کارمندی با قصد قبلی و برای انتقام از رئیس یا سازمانی که دیگر در آنجا شاغل نیست با هکرها همدست شده و به انجام حملۀ Data Breach کمک نماید.
- شناسایی سازمان یا شرکت بهعنوان منبع خوبی برای اخاذی و نفوذ از سوی هکرها که با طراحی حملۀ Data Breach سعی میکنند به هدف خود و دریافت باج برسند.
آیا حملۀ Data Breach فقط با انگیزۀ سوءاستفادۀ مالی است؟!
باید گفت گرچه بیشتر حملههای مخرب Data Breach با انگیزۀ اخاذی و سوءاستفادۀ مالی انجام میشود اما در برخی موارد انگیزۀ شخصی و یا انتقام از شخصی که مورد حمله قرار گرفته است در این امر، دخیل است.
هکرها ممکن است شماره کارتهای اعتباری، حسابهای بانکی یا دیگر اطلاعات مالی را به سرقت ببرند تا مستقیماً از افراد و شرکتها پول بگیرند؛ آنها ممکن است اطلاعات شخصی قابل شناسایی (PII)- شمارههای تأمین اجتماعی و شماره تلفنها – را برای سرقت هویت (گرفتن وام و بازکردن کارتهای اعتباری به نام قربانیانشان) یا برای فروش در وب تاریک بدزدند.
مجرمان سایبری همچنین ممکن است اطلاعات شخصی یا اعتبارنامههای دزدیدهشده را به هکرهای دیگر در دارک وب بفروشند که ممکن است از آنها برای اهداف مخرب خود استفاده کنند.
نقض دادهها ممکن است اهداف دیگری هم داشته باشد. برخی سازمانها ممکن است اسرار تجاری رقبا را بدزدند تا آنان را از ادامۀ مسیر موفقیت بازدارند.
البته در مواردی بسیار نادر، ممکن است هکرهایی با حمایت و به درخواست سازمان یا ارگان دولتی بهمنظور دستیابی به اطلاعات حساس سیاسی، عملیاتنظامی، کشف زیرساختهای امنیتی دشمن، عملیات رخنه در سیستم قربانی ر ا انجام دهند تا بهراحتی بتوانند به دادههای حساس دست یابند و از آن برای جلوگیری از حملۀ مخرب این سازمانها به سازمان یا دولت، بهره ببرند.
چگونگی رخدادن نقض دادهها
برای آنکه یک عملیات هکری نقض داده یا همان Data Breach رخ دهد موارد زیر انجام میشود:
تحقیقات
هکرها، پیش از آنکه سیستمی را با نقض داده مواجه سازند خوب بررسی میکنند یعنی بهدنبال هدف موردنظر میگردند و سپس تحقیق میکنند که نقاط ضعف موجود در سیستم کامپیوتری چیست؟ مواردی که میتواند آنان را بهراحتی به هدفشان برساند.
هکرها برای عملیشدن این بخش ممکن است روی افراد و کارمندانِ یک سازمان، تمرکز کنند تا بتوانند از او بهعنوانِ یک عامل نفوذی ناخواسته و بیاطلاع سود ببرند. بهعبارت بهتر، کارمند خود نمیداند که فردِ قربانی موردِ نظرِ هکرهاست و پلی که آنان را بهراحتی به هدفشان میرساند.
این مورد ممکن است بهاین صورت رخ دهد که کارمند با درخواستی وسوسهانگیز، به نصب یک نرمافزار، ترغیب میشود بهمحض خریدن و نصبِ آن، نرمافزار امکانی دسترسی هکر به شبکۀ هدف را فراهم میسازد.
حمله
پس از آنکه هکرها تحقیقات خود را کامل کردند و بهراحتی طعمۀ موردنظر را برای انجامِ حملۀ Data Breach شناسایی کردند مرحلۀ بعدی را عملی میکنند یعنی: «حمله»؛ هکر ممکن است بهکمک مهندسی اجتماعی، مستقیماً از آسیبپذیریهای موجود در سیستم هدف بهرهبرداری نماید تا حملۀ خود را به تمیزترین شکل و با تحمیلِ بالاترین خسارت به انجام برساند.
خروج از سیستم
مهاجم، پس از ورود به شبکه، آزاد است تا دادهها را از شبکه شرکت استخراج کند یا آنها را از کار بیندازد. این دادهها ممکن است برای اخاذی یا تبلیغات سایبری استفاده شوند. اطلاعاتی که یک مهاجم جمعآوری می کند نیز میتواند برای اجرای حملات مخربتر به زیرساخت هدف، استفاده شود.
جمعآوری دادهها
شاید خیلی از افراد فکر کنند که جمعآوری دادهها در مرحلۀ پیش از حملۀ Data Breach یا حتی همزمان با آن رخ میدهد درحالیکه باید گفت چنین نیست؛ یک هکر پپیشاز آنکه حملۀ خود را طرحریزی و تکمیل کند نمیتواند نسبت به جمعآوری اطلاعات، اقدام نماید و حینِ حمله نیز وقت مناسب برای فیلترکردن دادهها ندارد چون ممکن است هرلحظه، سیستمِ هدف، متوجه حمله و نفوذ شود و سیستم را از دسترس هکر خارج سازد؛ بنابراین هکر منتظر میماند یعنی پس از آنکه حملهاش نهایی شد مرحلۀ بعدی کار خود را آغاز میکند؛ او دادهها را بهترتیب ارزشمندی و بیارزشبودن، طبقهبندی مینماید.
سپس اقدام خود را با فیلتر کردن، تکمیل مینماید؛ این فیلترسازی میتواند شامل: دستهبندی اطلاعات برای فروش، از بین بردن دادههای لُجستیک که فروش آن سودی ندارد اما از بینرفتنش برای سازمان، خسارتی جبرانناپذیر است؛ قفلکردن دادهها با باجافزار و درخواست دریافت وجه برای شکستن و از بینبردن باجافزار باشد.
وکتورهای مشترک حملۀ Data Breach
فعالان مخرب یا همان هکرها میتوانند از تعدادی وکتور حمله یا روش برای انجام نقضداده استفاده کنند. برخی از رایجترین این وکتورها عبارتند از:
اعتبارنامههای بهسرقترفته یا در معرض خطر
بنابر اعلام یک گزارش رسمی در سال 2022، اعتبارنامههای بهسرقترفته یا در معرض خطر، رایجترین وکتور حملۀ اولیه هستند که ۱۹ درصد از رخنههای داده را شامل میشوند.
هکرها ممکن است با استفاده از حملات brute force، اعتبارنامههای دزدیدهشده را از وبتاریک بخرند یا با فریب کارمندان، اعتبارنامهها را از طریق حملات مهندسی اجتماعی فاش کنند.
حملات مهندسی اجتماعی
مهندسی اجتماعی، عمل دستکاری روانی افراد برای به خطر انداختن ناخواستۀ امنیت اطلاعات خود است. فیشینگ، رایجترین نوع حملۀ مهندسی اجتماعی، همچنین دومین وکتور حمله رخنه داده است که ۱۶ درصد از رخنهها را شامل میشود.
هکرهای حملههای فیشینگ، از ایمیلهای جعلی، پیامهای متنی، محتوای رسانههای اجتماعی یا وبسایتها برای فریب کاربران و بهاشتراکگذاری اعتبارنامه یا دانلود بدافزار از سوی طعمههایشان، بهره میبر ند.
نرمافزار Ransomware
براساس یک گزارش معتبر از سوی سایت IBM شناسایی و مهار یک رخنۀ باج افزاری، بهطورمتوسط ۳۲۶ روز طول میکشد.
این موضوع بهویژه از آن جهت نگران کننده است که براساس شاخص سنجش تهدید X – Force ۲۰۲۳، میانگین زمان اجرا برای باجافزارها از ۶۰ روز در سال ۲۰۱۹ به ۳.۸۵ روز در سال ۲۰۲۱ کاهش یافته است.
این درحالیاست که میانگین هزینه رخنه مرتبط با باج افزار ۴.۵۴ میلیون دلار آمریکا است که این رقم میتواند به دهها میلیون دلار نیز برسد.
آسیبپذیریهای سیستم
مجرمان سایبری ممکن است با سوءاستفاده از ضعفهای داراییهای IT مانند وبسایتها، سیستمعاملها، نقاط پایانی و نرمافزارهای رایج مانند مایکروسافت آفیس یا مرورگرهای وب، به شبکۀ هدف دسترسی پیدا کنند.
زمانی که هکرها یک آسیبپذیری را پیدا کنند اغلب از آن برای تزریق بدافزار به شبکه استفاده خواهند کرد.
جاسوسافزار (Spyware) که کلیپ بورد قربانی و دیگر دادههای حساس را ثبت میکند و آن را به سِرور فرماندهی و کنترل ارسال می کند که توسط هکرها اداره میشود نوع رایجی از بدافزار است که در رخنههای داده استفاده میشود.
SQL injection
یکی دیگر از روشهای نفوذ مستقیم به سیستمهای هدف، SQL injection است که از نقاط ضعف زبان کوئری ساختاریافته ( Structured Query Language=SQL)) وبسایتهای ناامن بهره میبرد.
هکرها کدهای مخرب را در فیلد جستجوی وبسایت وارد میکنند که باعث میشود دیتابیس دادههای خصوصی مانند شماره کارت اعتباری یا جزئیات شخصی مشتریان را بازگرداند.
خطای انسانی و شکست فنآوری اطلاعات (IT failures)
هکرها میتوانند از اشتباههای کارمندان برای دسترسی به اطلاعات محرمانه استفاده کنند؛ بهعنوانمثال، طبق گزارش IBM’s Price of a Data Breach ۲۰۲۲، پیکربندیهای اشتباه ابری بهعنوان بردار حمله اولیه در ۱۵ درصد از رخنهها عمل کردهاند.
کارمندان همچنین ممکن است با ذخیرهسازی دادهها در مکانهای ناامن، قراردادن نادرست دستگاهها با اطلاعات حساس ذخیرهشده در هارد درایوشان، یا اعطای امتیازِ اشتباهِ دسترسی بیشازحد به کاربران شبکه، دادهها را در معرض مهاجمان قرار دهند.
مجرمان سایبری همچنین ممکن است از خرابیهای IT، مانند قطعی موقت سیستم، برای نفوذ به پایگاه دادههای حساس استفاده کنند.
خطاهای امنیتی فیزیکی یا سایت
مهاجمان ممکن است برای دسترسی به دادههای حساس، دستگاه شخصی کارمندان را بدزدند، برای سرقت اسناد کاغذی و هارد درایوهای فیزیکی بهطور مخفیانه به شرکتها وارد شوند، یا دستگاههای اسکیمینگ را روی اعتبار فیزیکی قراردهند و یا کارتخوانها را طوری طراحیکنند که بهمحض قرارگرفتن کارت شخص روی دستگاه، اطلاعات داخل آن به نفعِ هکر، گردآوری شود.
حملات Data Breach گزارششده
| Date | Organization | Industry | Number of Records Stolen |
| Between 2013 and 2014 | Yahoo | Email service provider | 3,000,000,000 |
| October 2016 | Adult Friend Finder | Adult website | 412,200,000 |
| May 2016 | MySpace | Social media website | 360,000,000 |
| Between 2007 and February 2013 | Experian | Credit bureau | 200,000,000 |
| 2012 | Social media website | 165,000,000 | |
| February 2018 | Under Armour/MyFitnessPal | Fitness mobile app | 150,000,000 |
| Between May and July 2017 | Equifax | Information solutions company | 145,500,000 |
| May 2014 | eBay | Online auction website | 145,000,000 |
| March 2008 | Heartland Payment Systems | Credit and debit processor | 134,000,000 |
| December 2013 | Target | Retailer | 110,000,000 |
| 17-19 April 2011 (discovery date) | Sony PlayStation Network | Electronics firm | 102,000,000 |
| 17 February 2012 | Rambler | Internet portal and email service provider | 98,100,000 |
| December 2006 | TJX Companies | Retailer | 94,000,000 |
| October 2017 | MyHeritage | Genealogy-testing service provider | 92,283,889 |
| 2005 | AOL | ISP | 92,000,000 |
| July 2014 | JP Morgan & Chase | Investment banking firm | 83,000,000 (76,000,000 consumers; 7,000,000 small businesses) |
| February 2015 | Anthem | Health insurer | 78,800,000 |
| 2008 | National Archive and Records Administration | Government agency | 76,000,000 |
| 2012 | Dropbox | File-sharing and hosting service provider | 68,000,000 |
| 2013 | Tumblr | Short-blogging website | 65,000,000 |
Top 20 breach victims based on number of records stolen
