Компания, сообщившая о недостатках кибербезопасности крупных организаций, сама оказалась уязвимой к атакам

Как сообщила компания ВВС, команда специалистов по безопасности одной из крупнейших аудиторских компаний мира KPMG провела исследование кибербезопасности 350 компаний Британской фондовой биржи. Эксперты проанализировали их публичные данные на предмет уязвимости к кибератакам и обнаружили, что абсолютно у каждой компании происходят утечки адресов электронной почты, имена пользователей сотрудников и другой критической информации, что намного облегчает работу хакерам.

Изучив данные, представленные KPMG, корреспондент ВВС Рори Селлан-Джонс (Rory Cellan-Jones) решил провести собственное исследование, насколько уязвима к кибератакам сама аудиторская компания. Он обратился к эксперту по безопасности Грэму Клули (Graham Cluley) с просьбой проанализировать, насколько общедоступные данные KPMG могут помочь злоумышленникам в осуществлении атак. Ответ не заставил себя ждать.

«Из пресс-релиза мы можем узнать, что электронные адреса KPMG записываются в формате firstname.lastname@kpmg.co.uk. Далее идем на LinkedIn и находим там сотрудников этой компании. В настоящее время я вижу 2742 результата. Подделав свой электронный адрес под управляющего KPMG, который тот любезно предоставил на сайте компании, я могу написать всем этим сотрудникам электронные письма следующего содержания: «Команда, у нас хорошие новости! У KPMG появилась новая интрасеть (далее следует вредоносная ссылка). Просто войдите в нее при помощи своих обычных учетных данных, чтобы получить доступ к новому контенту». Таким образом, есть большая вероятность, что я получу пароли и имена пользователей многих сотрудников KPMG», - сообщил Клули.

Более того, эксперт обнаружил, что документы KPMG, помеченные грифом «Секретно», легко находятся поисковиком Google. По словам Селлан-Джонса, Клули даже прислал ему скриншот документа, на котором было написано: «Этот документ является КОНФИДЕНЦИАЛЬНЫМ, и его обращение и использование ОГРАНИЧЕНО в соответствии с обязательствами KPMG».

Когда корреспондент ВВС обратился к аудиторской компании для разъяснения ситуации, ее представители сообщили: «Как вы понимаете, мы подвергли наш сайт такой же проверке, как и сайты остальных компаний. Мы обнаружили, что со многих сайтов происходит утечка данных, поэтому, представив наш отчет, мы хотели показать проблему, с которой могут столкнуться многие компании, а не указывать на конкретные бреши в безопасности. Мы не раскрывали недостатки безопасности конкретных компаний, так как сочли это неуместным».