Эксперты: утечки личных данных в криптографии неизбежны

В июле этого года произошла громкая утечка базы данных производителя аппаратных кошельков Ledger, в результате которой CRM производителя кошелька была взломана и злоумышленники получили доступ к более чем миллиону электронных писем клиентов. Но есть и хорошая новость. Кошельки пользователей не пострадали, а эксперты по безопасности подтвердили, что отрасль и отдельные лица могут многое сделать, чтобы уменьшить возможности для нарушений.Лучшие криптоактивы и их блокчейны, такие, как Биткойн (BTC) или Ethereum (ETH), в целом устойчивы к потенциальным атакам, но создание более широкой крипто-экосистемы в большой степени сдерживается устаревшими системами веб-инфраструктуры.Этот момент проявился в июльской утечке базы данных Ledger, в результате которой база данных электронной коммерции производителя кошелька была взломана и злоумышленники получили доступ к  более чем миллиону электронных писем клиентов.Тем не менее, эксперты по безопасности подтвердили, что отрасль и отдельные лица могут многое сделать, чтобы уменьшить возможности для нарушений. Они также подтвердили, что наиболее вероятные атаки, такие, как упомянутый взлом Ledger, вряд ли приведут к краже реального закрытого ключа или информации о кошельке, необходимых преступникам для кражи  криптовалюты.
 
Как объяснил эксперт по восстановлению кошельков Дейв Биткойн, есть два основных вида потенциальных утечек или атак в криптографии.«Существует значительная разница между утечкой личных данных (адрес электронной почты, имя, дата рождения и так далее) и утечкой закрытых ключей», – сказал он.«Если в криптографической компани происходит утечка личные данные, это не хуже, чем любая утечка в некриптографическом пространстве – плохо, но вряд ли приведет к потере криптовалютных средств».С другой стороны, Дэйв Биткойн предупредил, что в результате утечки  закрытых ключей или фраз для их восстановления криптовалюта может быть украдена с очень небольшими усилиями. «Даже если ключевая информация зашифрована парольными фразами, установленными клиентом, вполне вероятно, что некоторые из этих фраз будут угаданы либо потому, что они слабые,  либо по причине знания злоумышленниками другой частной информации клиента».Примером этого последнего, более серьезного типа взлома является обнаружившаяся уязвимость настольных кошельков Coinomi, обнаруженная в 2019 году. Это также проявляется во множестве мошеннических расширений браузера и вредоносных программ, которые могут получить доступ к закрытому ключу пользователя при использовании аппаратного кошелька.Обозначив два типа взломов, Дэйв Биткойн также сообщил о существовании некой промежуточной третьей категории.«Этот вариант связан с утечками, которые раскрывают личности владельцев адресов», – сказал он.«К примеру, если в компании произошла утечка списка клиентов и адресов блокчейна, которым клиент отправил криптовалюту (например, для обмена или оплаты товаров или услуг), то общедоступный регистр транзакций может быть использован для отслеживания других транзакций того же клиента».Он добавил, что такого рода нарушение потенциально раскрывает авуары и сделки клиента и может увеличить риск их преследования.Разработчик Даниэль Терняк сказал, что существует множество вещей, которые люди могут сделать, чтобы уменьшить вероятность утечки.Инвесторы, вкладывающиеся в криптовалюту, должны делать все возможное, чтобы поддерживать надежную OPSEC [операционную безопасность].«Хотя сложно сохранять постоянную бдительность, инвесторы должны тщательно проверять каждый случай, когда они просят предоставить личную информацию, которая может быть связана с их владением криптоактивами», – подчеркнул эксперт.Что касается оперативной безопасности, Терняк посоветовал людям рассматривать собственную безопасность с точки зрения потенциального хакера. Таким образом, им будет легче определить слабые места и уязвимости в том, как они обрабатывают свою криптовалюту.«Даже когда пользователи используют аппаратный кошелек, «атака гаечным ключом на 5 долларов» все еще эффективна для получения доступа к средствам», – добавил он, указывая на то, что пользователям необходимо учитывать даже свою физическую безопасность и уязвимость.Дэйв Биткойн предположил, что самое важное решение безопасности для отдельных пользователей связано с выбором их криптокошелька.«Отдельные пользователи должны подумать о том, подходит ли им кошелек с хранением или без него, и внимательно оценить любого поставщика кошелька, не связанного с хранением, на предмет мер безопасности, – сказал он, добавив: Что, по общему признанию, трудно сделать, если компания не проведет независимый аудит безопасности для подтверждения своих требований».Что касается компаний, Марек «Slush» Палатинус, генеральный директор SatoshiLabs, производителя аппаратного кошелька Trezor, посоветовал компаниям хранить только абсолютно необходимую личную информацию и как можно более ограниченно. Компания утверждает, что удаляет заказы через 90 дней из базы данных своего электронного магазина.«Обязанностью каждой компании должно быть ограничение воздействия таких утечек данных на своих клиентов; в идеале, объем собираемых данных должен быть как можно меньше и его следует хранить в течение как можно более короткого периода времени», – подчеркнул  генеральный директор SatoshiLabs.Палатинус также выступает за большую конфиденциальность, чтобы потребители могли делать более осознанный выбор.«Отрасль должна серьезно относиться к конфиденциальности клиентов и открыто информировать их о том, какие именно данные собираются и как они впоследствии обрабатываются, – сказал он. – Слишком часто происходит утечка данных, которую можно было бы предотвратить, просто позаботившись об этом».Различные шаги могут снизить частоту утечки данных. Но, учитывая, что большинство утечек данных затрагивает системы, не основанные на криптовалюте (такие, как база данных электронной коммерции Ledger, например), утечки, скорее всего, останутся до некоторой степени неизбежными.«Стратегии безопасности продолжают развиваться, – считает Дэйв Биткойн, – одним из примеров является требование шифровать все данные при передаче и хранении (например, в базе данных или хранилище файлов). Но всегда есть средства для расшифровки данных, поэтому эти схемы можно сломать, если раскрыть ключи и получить доступ к хранилищам данных».Дэйв предсказал, что компании в конечном итоге перестанут хранить личные данные неопределенно долго, что, насколько это возможно, ограничит утечки данных. Тем не менее, держатели криптовалюты всегда должны будут максимально серьезно относиться к своей личной безопасности.