About Teletype
Join
ZM media
@zmmedia
June 3

Битва за данные: информационная безопасность в арбитраже трафика и аффилейт-сфере

Информационная безопасность (ИБ) касается всех сфер жизни человека. И арбитраж трафика — не исключение. Но аффилейт-сфера специфична, и стандартные правила в ней не работают. Рассказываем, как обстоят дела с ИБ и защитой данных в арбитраже сейчас, какую информацию защищают арбитражники, а также рассмотрим реальные кейсы по ИБ и порассуждаем о перспективах информационной безопасности в аффилейт-сфере. 

Статистика взломов за 2023

Храним как зеницу ока: типы информации в аффилейт-сфере

Взаимодействие участников аффилейт-сферы аккумулирует много информации, чувствительной при утечке.

Кража, утечка или несанкционированный доступ к такой информации приводит к финансовым потерям, репутационному ущербу и другим негативным последствиям для рекламодателей и аффилиатов.

ИБ-арсенал арбитражника

В арбитраже информационная безопасность — более широкое понятие, чем в других сферах. Задача вебмастера, партнерской программы, арбитражного холдинга или команды — закрыться не только от злоумышленников, но и правопорядка, контролирующих, проверяющих органов и т. д. Поэтому инструменты ориентированы на сокрытие информации, чем на защиту от хакерских атак: антики, прокси-сервера, клоакинг.

От хакерских атак, утечек баз данных и проникновений аффилейтов защищают другие инструменты. Об этом нам рассказал технический специалист арбитражных команд.

«Хосты. Используйте авторитетный веб-хостинг, работающий по протоколу SSL и предоставляющий защиту от DDoS-атак и мониторинг сети.

Файрволы. Нужны для защиты компьютерных сетей от несанкционированного доступа или вредоносного программного кода.

Резервное копирование. Бекап для важных данных, например, операционных систем, виртуальных машин, сайтов, фотографий, видео и другого, нужно делать часто. Ходят слухи, что именно на этом погорел СДЭК, пострадавший от хакерской атаки и вируса-шифровальщика, а также собственных админов, делавших бекапирование раз в полгода.

Доступы. Ограничьте круг доступов к серверам, храните их надежно, зная, для кого и какие доступы были выданы.

Логирование действий пользователя. Используйте специальные программы, которые записываю логи и делают скриншоты во время работы пользователя со своей учетной записью.

Хранение данных. Используйте облачные хранилища, которые обеспечивают настройки прав доступа учетных записей, мониторинг, шифрование во время загрузки, чтения и хранения данных.

Учетные записи. Не забывайте выставлять ограничения учетных записей сотрудников на создание других учеток, удаление и установку программ.

Авторизация. Старайтесь использовать двухфакторную аутентификацию для ключевых сервисов. Это повысит безопасность при попытках несанкционированного доступа.

Корпоративный VPN. Нужен для создания зашифрованного подключения между вашим устройством и сервером. Такое подключение будет безопасным, даже если удаленный сотрудник подключается через публичный канал передачи данных».

В ИБ важно и поведение сотрудников компании. Они могут стать надежной преградой для киберзлоумышленников или же «троянским конем», открывшим доступ к критической инфраструктуре. Поэтому специалисты ИБ рекомендуют обучать персонал принципам кибербезопасности: распознаванию фишинговых писем, безопасному использованию паролей и другому.

Правовая сторона ИБ и защиты данных в аффилейт-сфере

Арбитражники обязаны соблюдать законодательство страны, на территории которой они находятся. Например:

  1. ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Закон определяет перечень запрещенной к распространению информации, а также обязанности по защите данных.
  2. GDPR (General Data Protection Regulation). Регламент по защите персональных данных, действующий в странах Евросоюза.
  3. Safeguards Rules FTC. Правила, обязывающие аффилейтов в США, сообщать об инцидентах по утечке данных.

Но в большинстве случаев стандартные законы по информационной безопасности не работают в аффилейте.

Кейсы по нарушениям ИБ и защиты данных в арбитраже

Посмотрим на реальных кейсах, какие инциденты случаются в сфере аффилейта и с какими последствиями сталкиваются пострадавшие компании.

Антик Dolphin и анти-багбаунти

В марте «этичный хакер» обнаружил в известном антике Dolphin уязвимость, которая позволяла получить доступ к любому аккаунту внутри командного профиля [email protected].

Стандартная практика предусматривает выплату вознаграждения пентестеру за выявленную уязвимость или слабость системы. Но что-то пошло не так. Больше месяца сервис функционировал с дырой в безопасности, а овнер снижал размер вознаграждения белому хакеру. При этом никаких действий по ИБ или защите данных не предприняли.

Но в итоге все закончилось неплохо — пенстестер получил заслуженную награду, а Dolphin — саму уязвимость и список ее «возможностей».

Ctrl+C и Ctrl+V = равно утечка базы данных

В марте прошлого года произошел фееричный слив партнерской базы онлайн-казино «KTO Affiliates». Причиной стала не атака хакеров, а банальный человеческий фактор. При рассылке менеджеры копировали все адреса из базы и вставляли их в поле «Кому» при отправке. В итоге вместе с новостями онлайн-казино партнеры получали всю базу данных казино.

Видеодоказательство слива базы

DDoS-атаки и происки конкурентов

Недавно в своем Telegram-канале овнер 1win рассказал о спланированных DDoS-атаках на их ресурс.

Подобные атаки происходили несколько раз, сайт падал ненадолго, но команда чудом отбивалась. По плану злоумышленников, 1win должны были «лечь» надолго и понести огромные финансовые и репутационные потери.

Важно понимать, что уязвимость или успешная атака хакеров не делает продукт или сервис автоматически плохим. Проблемы начинаются, когда компании экономят на защите, а сотрудники не выполняют свои обязанности — запускают проверку на уязвимости реже, чем нужно, забывают про бекапы и прочее.

А признак хорошего аффилейт-продукта — оперативная работа с выявленной уязвимостью, атакой или взломом, а также забота о своих партнерах и пользователях. Если пользователи нашли уязвимость, ее нужно быстро исправлять, а нашедших — поощрять. Иначе в следующий раз они про уязвимость расскажут кому-то другому. Главное — не замалчивать проблему и не делать вид, что все хорошо.

Перспективы ИБ и защиты данных в арбитраже

Постепенно аффилейт-сфера перестраивается, понимая важность информационной безопасности. Сегодня в арбитражных компаниях и холдингах открывают собственные ИБ-отделы, которые создают, мониторят и анализируют систему защиты. А в небольших арбитражных командах все чаще появляются SOC-специалисты на аутсорсе.

Главная перспектива в области ИБ — участие популярных арбитражных сервисов и приложений в Bug Bounty. Это программа, в ходе которой сторонние специалисты по безопасности проводят тестирование на уязвимости за вознаграждение. Преимущества подобных проверок:

  • обнаружение уязвимостей;
  • улучшение безопасности;
  • экономия ресурсов;
  • позитивное взаимодействие с арбитражным сообществом;
  • улучшение репутации и повышение доверия со стороны партнеров, клиентов и т. д.

Участие в программе багбаунти — взаимовыгодное соглашение как для владельцев продуктов, так и для исследователей для повышения общего уровня безопасности в цифровой среде.

Впрочем, для юридических лиц готовят есть бесплатная государственная поддержка. Планируется создать на базе ФСБ некую кибер «Скорую помощь» для экстренной локализации инцидентов. Но чтобы ФСБ-шники помогли отразить атаку и оценить уровень кибербезопасности, потребуется предоставить им логи, загрузки, почтовые домены и адреса. В общем, есть подозрение, что аффилиаты в очередь за помощью не выстроятся.

*статья для ZM media написана сторонним автором Евгенией

ZM media
June 3, 14:47
0 reactions
0 views