(не) Безопасный дайджест: хакер-инсайдер, шпионы в Google и мегаслив паспортов

(не) Безопасный дайджест: хакер-инсайдер, шпионы в Google и мегаслив паспортов
Собрали «классические» и нетривиальные ИБ-инциденты, о которых писали в зарубежных и российских СМИ. Август запомнился мстителем, раскрывшим темные дела хакерской группировки, сливом ПДн от Wildberries и утечкой, затронувшей всех – всех! – клиентов T-Mobile. А еще разоблачением телефонных мошенников, кто бы мог подумать.

Не уследили
Что случилось: За последние три года компания Google уволила 80 сотрудников за злоупотребление доступами к ПДн пользователей.
Как это произошло: Аноним передал внутренние документы и отчеты расследований Google изданию Vice Motherboard. В них содержится информация о том, что уволенные сотрудники нарушали политику конфиденциальности компании, передавая, изменяя и удаляя пользовательские данные. В отчетах подробно описаны расследования инцидентов, когда работники злоупотребляли полномочиями для сталкинга за пользователями и другими сотрудниками Google.
Издательство Motherboard обратилось за комментарием к представителям компании, ответа ждать не пришлось. В Google заявили, что ограничивают неправомерный доступ к данным, требуя обоснование для получения конфиденциальной информации о пользователях. Также представитель заверил, что ПДн клиентов под надежной защитой. Но проблемы с внутренней безопасностью у Google явно есть. К примеру, в 2010 компания уволила инженера за то, что тот в течение нескольких месяцев злоупотребляя полномочиями шпионил за аккаунтами и списками контактов четырех несовершеннолетних подростков без их согласия.

Неуловимый мститель
Что случилось: Хакер слил в даркнет обучающие материалы для проведения атак, принадлежащие хак-группе Conti – потому что обиделся.
Как это произошло: Аналитики из Bleeping Computer уверены, что автор слива не состоял в основной команде Conti и не управлял вредоносными программами, но был «партнером», которых нанимают для взлома сети и шифрования устройств. Обычно основная команда получает 20-30% от выкупа, а остальной куш достаётся нанятым работникам (но не в этот раз). Хакерская группировка Conti оказалась «ненадёжным работодателем». На форуме обиженный партнер рассказал, что слил обучающие материалы хак-группы, потому что за участие в атаке ему заплатили всего 1500$, в то время как основная команда заработала на выкупе миллионы. К посту хакер-предатель прикрепил архив размером 113 МБ, в котором содержатся подробные инструменты и многочисленные материалы для проведения атак. Также бывший «партнер» Conti рассказал, как хак-группе удалось приспособить для атак легальный фреймворк Cobalt Strike.
После такой утечки у кибермошенников из Conti появится много новых конкурентов, ведь теперь любой начинающий хакер может воспользоваться пошаговой инструкцией, чтобы атаковать крупнейшие корпорации по всему миру.

Всё по закону

Что случилось: бывший сотрудник пытался отсудить у Wildberries 300 тысяч рублей за передачу его персональных данных третьим лицам.
Как это произошло: Житель Брянска обратился в суд с иском на Wildberries за то, что бывший работодатель без его ведома и согласия выдал справку о доходах сожительнице. Как заявил истец, российский онлайн-ритейлер причинил ему «моральные страдания в виде переживаний» за передачу его ПДн третьим лицам. Зачем бывшей сожительнице понадобилась справка? «Переживающий» истец давно уклоняется от уплаты алиментов, поэтому справка о доходах была необходима для налоговой.
Но закон «О персональных данных» в Wildberries все же нарушили, выдав справку без согласия субъекта данных. Выдача справки третьим лицам означает распространение ПДн работника. Суд учел нравственные страдания бывшего сотрудника и взыскал с крупнейшего онлайн-ритейлера страны аж 3 тысячи рублей. Недовольный таким раскладом истец планирует обжаловать решение суда.

Это не мы!
Что случилось: Хакер продает исходные коды продуктов Bkav Corporation – крупнейшего поставщика антивирусных решений во Вьетнаме. Утекшие данные компании были выставлены на хакерском форуме за 250 тыс. долларов. Некоторые продукты, такие как Bkav Pro, Mobile AV, Endpoint хакер продает за 10-30 тыс. долларов. А исходный код ИИ Bkav выставлен за 100 тыс. долларов.
Как это произошло: В начале августа пользователь под псевдонимом chuhxong поделился, что успешно взломал серверы Bkav и получил доступ к исходным кодам. Хакер также опубликовал скриншоты переписки сотрудников в рабочих чатах и внутренние документы компании. В Bkav заверили, что слитые данные давно устарели, а утечка никак не повлияет на клиентов. В утечке компания винит бывшего сотрудника, который на протяжении года собирал логины для доступа в чаты, чтобы в потом сделать те самые скриншоты внутренних переписок.
Но chunxong заявляет, что никогда не работал в компании Bkav, а утекшие данные не устарели. Чтобы доказать «актуальность» украденных сведений, кибермошенник опубликовал снимки с перепиской сотрудников, происходившей за несколько дней до утечки. После публикации свежих скриншотов представители компании отказались от комментариев и сообщили, что расследованием теперь занимаются вьетнамские власти.


За коины отдам
Что случилось: ПДн 100 млн клиентов T-Mobile US продают на хакерском форуме. Предположительно утечка затронула каждого клиента компании. В слитой базе содержатся имена, номера соцстрахования, номера телефонов и информация о водительских правах.
Как это произошло: Хакеру удалось взломать серверы компании. Также мошенник заявил, что компания T-Mobile уже восстановила контроль над серверами, но личные данные пользователей ему удалось скачать намного раньше. В настоящий момент злоумышленник готов продать ПДн только 30 млн клиентов за 6 биткоинов, это примерно 270 тыс. долларов. Остальные базы будут выставлены на продажу через закрытые каналы и сообщества. Телекоммуникационная компания ограничилась заявлением о том, что инцидент расследуется. Напомним, что у T-Mobile это уже не первая утечка: в конце 2020 года от слива пострадало до 200 тысяч клиентов компании.


Maybe if I ignore it…
Что случилось: Уязвимость на сайте Ford раскрыла данные о клиентах и информацию о сотрудниках.
Как это произошло: Независимые ИБ-специалисты нашли баг на веб-сайте Ford Motor Company, который позволял просматривать конфиденциальные документы и базы данных компании, а также осуществлять «захват» клиентских аккаунтов. Компрометация произошла из-за неправильно настроенной системы взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. Разработчики из Pega Infinity быстро устранили ошибку и уведомили об этом представителей автоконцерна. Правда, компания никак не отреагировала на уведомление о возможной утечке внутренних данных и ПДн клиентов.
Пока неизвестно, использовали ли злоумышленники эту уязвимость для взлома систем в Ford. Но эксперты по кибербезопасности сообщают, что злоумышленники могли воспользоваться дырой, чтобы захватить учетные записи и получить значительный объем внутренних данных.

Водички не желаете?
Что случилось: В Telegram утекла база со сведениями о 40 тыс. операций, проведенных через платежный сервис Сбера. Как заявляет автор канала, слитая база принадлежит единой службе доставки питьевой воды.
Как это произошло: Данные о транзакциях оказались в открытом доступе из-за проблем в настройках системы, отвечающей за обработку платежей. Скорее всего, сведения хранились в незашифрованном виде. В утекшей базе содержатся такие сведения, как: имя держателя карты, первые шесть и последние четыре цифры номера банковской карты, а также сумма платежа и IP-адрес.
Сбербанк не рассматривает эту ситуацию как чрезвычайную, потому что в слитой базе никакой критичной информации не содержится и такой формат хранения данных соответствует всем требованиям безопасности. Да и клиенты пока не уведомляли об атаках мошенников – по крайней мере, массово.
Но ИБ-эксперты не считают опубликованную базу безобидной, потому что преступникам подойдут даже такие «безопасные» данные. К примеру, по первым цифрам мошенники могут без труда определить банк, которому принадлежит карта, и использовать это для фишинга. А по имени и IP-адресу мошенник может найти клиента, который регулярно пользуется услугами службы доставки воды. И дальше все зависит от фантазии мошенников. От прижившихся звонков из банка до более изощрённых схем «добрый день, это сервис доставки воды, нужно ли вам привезти еще?».

Краска потекла
Что произошло: Хакер выставил на продажу сканы паспортов около 1,5 млн российских клиентов косметической компании Oriflame.
Как это произошло: На официальном сайте компании появилась информация о том, что 31 июля и 1 августа злоумышленник совершил серию кибератак, в результате которых получил доступ к ПДн клиентов косметического бренда. В результате, по подсчетам Telegram-канала «Утечки информации», были похищены более 13 млн файлов с данными дистрибьюторов и клиентов компании из России, Украины, Великобритании, Китая, Испании, Грузии и Казахстана общим весом в 4 ТБ. Вероятно, перед тем, как слить сканы паспортов на хакерский форум, злоумышленник предлагал Oriflame их выкупить, но они отказались. Представители компании уверяют, что номера банковского счета, номера телефонов и пароли не затронуты атакой, поэтому повода для переживаний нет. А самое важное – учетные записи пользователей не подверглись кибератаке, поэтому клиенты могут в штатном режиме продолжать круговорот продаж друг с другом.
Эксперты, в отличии от компании Oriflame, обеспокоены утечкой, потому что злоумышленники могут использовать утекшие сканы паспортов для оформления микрокредитов или подставных сим-карт для регистрации на сомнительных онлайн-сервисах. Потерпевшие также могут стать жертвами фишинговой атаки под конкретный повод, например, «специальное предложение для клиентов Oriflame». Да и объемы слива впечатляют: судя по всему, архив на 809 ГБ – одна из крупнейших известных утечек российских паспортов.


А что, так можно было?
Что случилось: Полиция нашла телефонных мошенников, похитивших 23 млн. рублей у дочери летчика Валерия Чкалова.
Как это произошло: дочка летчика стала жертвой социальной инженерии. Мошенники несколько недель звонили женщине, представляясь работниками банка. Телефонным мошенникам удалось уговорить жертву перевести сбережения на «безопасный» страховой счет. Подробностей расследования почти нет, известно только, что полиция нашла мошенников в районе Бурятии. После задержания их оперативно доставили в Москву. Примечательно, что мошенники ежегодно зарабатывают на доверчивых россиянах миллиарды, но раскрываемость таких дел по-прежнему остается очень низкой. Вопрос остается открытым: полиции не хватает специальных навыков или все-таки желания, чтобы помогать жертвам социнженерии.

ИБ-совет месяца: Пускай инсайдерские утечки и корпоративный сталкинг остаются небылицами в наших дайджестах.  Контролируйте ситуацию с DLP и узнавайте об опасных действиях в реальном времени. Защита полностью бесплатна в первые 30 дней.
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.