Внедрение GDPR породило новую форму хакерских атак

Хотели как лучше — получилось как всегда. Когда Европейский Союз принял нашумевший GDPR (General Data Protection Regulation law), который защищает права юзеров и всем пришлось едва ли не на каждом сайте клацать «Да, я согласен с тем, что сайт будет использовать мои данные», «Да, я согласен использовать куки, хоть и вообще не смыслю что это такое», казалось, что это так — формальность, мелочь.

Народ терпел, потому что цель как бы благая — защитить данные юзеров. Компании восприняли идею без энтузиазма, ведь кроме дополнительной работы по внедрению GDPR, им предстояло стать более уязвивыми перед лицом контролирующих органов.

И хотя пока еще неизвестно о попытках чинушами из ЕС использовать ради выгодны новую систему с завинчиванием гаек для компаний, уже есть случаи того, как на новом законе наживаются хакеры.

GDPR — на словах забота о юзере, в реальности — театр и завинчивание гаек

Их атаки под соусом GDPR называются «ransomhack». Подобного рода атаки отличаются от традиционых тем, что они не используют данные пользователя в качестве «заложника», дабы им заплатить выкуп. Напротив, они угрожают тем, что выложат данные на публику.

Хакеры очень быстро включились в новые правила игры, поставив ставки на то, что компании будут бояться наказания за нарушение GDPR, мол «что ж вы, голубчики, данные пользователей не защитили должным образом». Формулировка «должным образом» очень субъективна, и доказывать в суде, что ты сделал всё что мог, чтобы данные юзеров были в сохранности — задача сложная и рискованная. Многие хакнутые конторы в итоге предпочитают не идти в суд, где пришлось бы тратить кучу денег, а заплатить хакерам мзду и жить спокойно. По крайней мере до следующего взлома.

По данным Hackread жертвами GDPR-атак чаще становятся средние по размерам конторы. Мзда хакерам платится в криптовалюте и может достигать от $1000 до $20000. Заплатить хакерам подобную сумму может быть выгоднее, чем отдать чинушам 4 процента годового оборота компании за предыдущий год вплоть до 20 млн евро.

Дабы окончательно добить бизнес, чиновники обязали конторы докладывать о каждой успешной хакерской атаке в течение 72 часов. Если они этого не сделают, то им, опять-таки, снова грозит серьезный штраф.

Как ни крути, но бизнес оказался вообще в ежовых рукавицах. Пользователям эта гиперзащищенность по большому счету не нужна, и порой тоже мешает жить, но вот конторы теперь вообще в тисках — шаг влево — тебя хакеры прижмут, шаг вправо — Большой Брат за вымя возьмет.

Источник: siliconangle.com