(не) Безопасный дайджест: горе-инсайдеры, клоны госсайтов и авиаутечки

(не) Безопасный дайджест: горе-инсайдеры, клоны госсайтов и авиаутечки
Собрали «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в августе.


У них
Двоечник от инфобеза
Что случилось: Учебный центр SANS, который проводит тренинги по кибербезопасности (!), отправил неизвестному адресату 513 писем с личными данными сотрудников и клиентов. На сторону утекли 28 тыс. записей, содержащих email-адрес, должность, ФИО, рабочий телефон, название компании, почтовый адрес, страну пребывания. Инцидент обнаружили во время внутреннего аудита – специалисты заметили, что все исходящие письма одного из работников дублируются на внешний электронный адрес.
Кто виноват: Выяснилось, что несколько недель назад этот работник открыл фишинговое письмо. В итоге его email был скомпрометирован, а злоумышленники настроили пересылку всех писем с этого ящика на внешний адрес.

Чаепитие с мошенником
Что случилось: Клиентка ресторана в престижном лондонском отеле Ritz попалась на удочку мошенников. Женщина забронировала столик для послеобеденного чаепития. Накануне ей позвонил «работник ресторана» с просьбой сообщить данные платежной карты, чтобы подтвердить бронь. Используя эту информацию, мошенники попытались сделать несколько онлайн-покупок на сумму свыше 1000 фунтов стерлингов. А затем позвонили жертве снова якобы «из банка», чтобы выудить у нее секретный SMS-код для успешного завершения транзакции.
Кто виноват: Ritz подозревает утечку данных из системы бронирования. Пока неясно, замешаны ли в деле инсайдеры или речь о направленной атаке. Однако очевидно, что злоумышленники использовали в схеме подмену caller ID, поскольку клиентке позвонили с номера, принадлежащего отелю.

«Все на выход!»
Что случилось: ИБ-исследователь Боб Дьяченко нашел открытую базу с персональными данными аргентинцев с помощью поисковика BinaryEdge. В ней содержалась информация о 115 тыс. гражданах, которые подали в Минздрав онлайн-заявления с просьбой смягчить для них карантин по COVID-19. В общий доступ попали имена, идентификационные номера, номера карт налогоплательщиков.
Кто виноват: База не была защищена паролем, а это камень в огород IT-службы ведомства. Интересно, что после обращения Дьяченко в министерство, база исчезла из онлайна, но вскоре появилась там вновь. А это повод засомневаться в компетентности ответственных специалистов. Данные защитили, как положено, только после повторного уведомления об инциденте – уже в офис аргентинского регулятора.

IT-перебежчик
Что случилось: Google лишилась корпоративных секретов, связанных с разработкой беспилотного автомобиля в рамках проекта Waymo. Данные «утекли» в аналогичный проект Uber вместе с уволившимся работником.
Кто виноват: На днях экс-инженер Google Энтони Левандовски признался на суде, что в январе 2016 года перед уходом из компании скопировал на личный ноутбук 14 000 файлов с описанием ее технологий. Из Uber его в итоге уволили через год, а сама история получила большую огласку и поспособствовала тому, что проект Waymo обанкротился. Суд приговорил Левандовски к 18 месяцев тюрьмы. Кроме того, мужчина должен вернуть Google 178 млн долларов.


«Давайте сделаем вид, что ничего не было»
Что случилось: Uber обвинила бывшего руководителя службы безопасности Джо Салливана в сокрытии масштабной утечки данных 57 млн клиентов и 600 тыс. водителей в 2016 году. Тогда из-за хакерской атаки в общий доступ попали имена, email-адреса, номера телефонов и водительских удостоверений.
Кто виноват: По мнению следствия, сотрудник намеренно скрыл инцидент от Федеральной торговой комиссии. Также подозревают, что Салливан имел отношение к выплате хакерам 100 тыс. долларов за удаление данных клиентов и замалчивание инцидента. Однако утечка оказалась слишком масштабной, и вскоре о ней узнало и руководство, и регуляторы. Мужчине грозит до восьми лет тюрьмы и штраф до 500 тыс. долларов.


У нас
Услуги, которых не было
Что случилось: Роскомндазор заблокировал 34 мошеннических ресурса, которые имитировали официальный сайт Росреестра. Регулятор получил массовые жалобы от граждан и организаций на недостоверную информацию, полученную от «псевдо-Росреестра». Некоторые пользователи пострадали финансово: мошенники не вышли с ними на связь после получения оплаты «за услугу».
Кто виноват: Обычно создателей сайтов-двойников вычислить так же нереально, как и заказчиков «пробива» из мессенджеров. Здесь можно лишь посетовать на доверчивость граждан и еще раз предупредить их о существовании такой угрозы.
Вот, кстати, реальные, сайты, на которых можно получить информацию из Единого государственного реестра недвижимости (ЕГРН):
«Слитые» пассажиры
Что случилось: В открытый доступ попала база клиентов и сотрудников сервиса online-бронирования трансферов «Киви-такси». Всего 330 тыс. записей: имена и фамилии, адреса электронной почты, номера телефонов, должности, хеши паролей и соль для хеширования (модификатор входа хэш-функции).
Кто виноват: По всей видимости служба безопасности «Киви-такси» (как и многие до нее) не озадачилась защитой open source сервера MongoDB, на котором была размещена база данных.  


«Симочный» миллионер
Что случилось: В Оренбурге 124 клиента телеком-компании лишились денег с банковских счетов.
Кто виноват: Сотрудник мобильного оператора скопировал идентификационные коды SIM-карт абонентов, а затем уволился. Новым источником дохода мужчины стало воровство денег с чужих банковских счетов. Он отправлял сообщения на единый номер обслуживания клиентов одного из банков, чтобы проверить привязана ли к «симке» банковская карта. В случае удачи мужчина переводил деньги с чужих карт на свои счета и конвертировал заработанное в криптовалюту. Афера принесла ему больше 1 млн рублей. Но злоумышленником уже занимаются следователи.


Персональный «улет»
Что случилось: На англоязычном форуме по продаже персданных появилась база с личной информацией о клиентах авиакомпании Utair. В ней 530 098 записей: ФИО, серия номер паспорта, адрес, дата рождения, пол, телефон, email, данные из программы лояльности.

Кто виноват: В авиакомпании рассказали, что полтора года назад один из ее серверов пострадал от хакерской атаки. Тогда служба безопасности Utair «приняла дополнительные меры по защите данных пользователей и минимизации рисков спама и фишинга». У ИБ-исследователя Ашота Оганесяна другой взгляд на причину утечки. По его словам, инцидент произошел из-за ошибки в конфигурации сервера MongoDB, которая допускала неавторизованный доступ к нему.
дайджест ИБ утечки информации
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.