С кем не бывает: создатель мониторинга утечек персональных данных стал жертвой утечки данных
Будьте бдительны.
Региональный директор Microsoft Трой Хант хорошо разбирается в фишинговых тактиках, ведёт личный блог о кибербезопасности и обновляет публичную базу утечек Have I Been Pwned, с помощью которой можно проверить надёжность вашего пароля и узнать, не утекла ли ваша почта мошенникам.
Но даже эксперт его уровня не застрахован от ошибок. Недавно ему пришло уведомление о жалобах на спам, рассылаемых от имени его блога. В письме было предложено как можно скорее перейти по ссылке в личный кабинет и проверить, кто ещё заходил в его аккаунт.
Письмо при этом выглядело достоверно и в точности повторяло фирменный стиль реального сервиса автоматизированной рассылки Mailchimp, а острая необходимость быстрее устранить проблему усыпила бдительность эксперта.
Хант перешёл по ссылке, ввёл логин и пароль и только потом, когда страница зависла и перестала отвечать, понял, что произошло. В следующую минуту он перезашёл на реальную страницу Mailchimp, но база данных пользователей уже была экспортирована.
В итоге в сеть утекли данные девяти тысяч подписчиков его блога, а вместе с ними ещё семи тысяч ранее отписавшихся, адреса которых Mailchimp зачем-то продолжал хранить в своей базе.
Мораль истории проста: всегда перепроверяйте адрес, с которого вам пришло письмо, и не переходите по ссылкам, если не уверены, куда они вас приведут.