(не) Безопасный дайджест: «улетные» пароли, страсти по Xbox и «сцена после титров»

(не) Безопасный дайджест: «улетные» пароли, страсти по Xbox и «сцена после титров»

Пришло время для наших нетривиальных ИБ-инцидентов. Традиционно в дайджесте собрали истории, которые больше всего впечатлили нас в марте – в программе хирург, который на спор провел стрим во время операции, поставщики, допустившие утечку данных Nespresso, и компания, попавшая на 15 миллионов из-за слишком легкого пароля.


Предупрежден – не значит вооружен

Что случилось: Хакеры атаковали японского гиганта автомобильных запчастей Denso.

Как это произошло: 14 марта на сайте Denso появилась информация о том, что компания подверглась атаке. После того, как специалисты обнаружили подозрительную активность, Denso незамедлительно отключила сетевое подключение устройств. По заявлению компании, инцидент не привел к нарушению производственной деятельности и заводы продолжили работу в обычном режиме.

Компания промолчала о злоумышленниках, однако ответственность за утечку взяла на себя киберпреступная группа Pandora. Хакеры утверждают, что им удалось украсть 1,4 ТБ данных Denso.
Хак-группа предоставила список файлов, предположительно украденных у Denso. В нем десятки тысяч документов, электронных таблиц, презентаций и изображений, многие из которых содержат данные о клиентах и сотрудниках.
Неясно, как хакеры получили доступ к сети компании, но после того, как Pandora объявила об атаке, нашелся исследователь, который заявил, что предупреждал Denso об угрозе еще пару месяцев назад. В частности, ИБ-эксперту стало известно, что в даркнете продают доступ к ее сети. Но компания не обратила на это внимание – и поплатилась.



Denso принесла клиентам извинения за неудобства, возникшие в результате инцидента. Также компания планирует усилить меры безопасности.

Консоль-на-крови

Что случилось: Хирург опубликовал в Twitter видео во время операции, чтобы выиграть спор фанатов Xbox и PlayStation.
Как это произошло: Врач одной из индийских больниц поделился в Twitter видео, на котором проводил хирургическую операцию. В твите пользователь под ником Shreeveera пояснил, что ввел пациенту анестезию, после чего интубировал его, а затем подключил к аппарату искусственной вентиляции легких.  


Оказалось, что хирург участвовал в споре о том, кто делает лучшую консоль – Sony или Microsoft. Спор разгорелся не на шутку: фанаты Xbox усомнились, что в PlayStation могут играть взрослые образованные люди, а не «глупая школота». В частности, они не поверили, что яростный интернет-воин Shreeveera действительно хирург, как написано в его профиле.

На это индийский врач решил доказать свою правоту делом – и опубликовал злополучный твит. До того, как видео удалили из профиля, пользователи успели разглядеть на нем мужчину в маске в операционной, а также его пациента. Чего только ни сделаешь, чтобы выиграть в бессмысленном споре!  Shreeveera остался доволен собой, завершив твит гордым: «Спасать жизни – моя работа, интернет-войны – хобби. Попробуйте поспорить с этим, иксбоксеры!».

Тем временем после инцидента на больницу обрушился шквал негативных отзывов. Теперь у больницы рейтинг всего 1,1 из 5. Разгневанные пользователи писали о том, что хирург нарушил медицинскую этику.

Дефолтная классика

Что случилось: Хакеры взломали сервер африканского подразделения финансовой и страховой компании TransUnion South Africa, используя при этом пароль «password». Теперь злоумышленники обещают опубликовать украденные данные в Сети, если пострадавшая компания не заплатит выкуп в размере 15 млн долларов в криптовалюте.
Как это произошло: TransUnion South Africa официально заявили, что инцидент произошел по вине неизвестных, получивших доступ к их серверу в ЮАР с помощью украденных учетных данных. Но украденных ли?
Ответственность за утечку взяла на себя бразильская хакерская группа N4ughtysecTU. Хакеры утверждают, что ходе кибератаки им удалось скачать 4 ТБ данных компании, включая незашифрованную базу с 54 миллионами клиентских данных. При этом они отрицают, что украли учетные данные. N4ughtysecTU заявляют, что им это бы и не понадобилось – ведь чтобы взломать сервер, оказалось достаточно ввести пароль «password».

TransUnion South Africa пообещала, что уведомит все компании, чьи данные затронула утечка, и лично всем пострадавшим предоставит бесплатную защиту. Также в заявлении подчеркнули, что не собираются платить выкуп хакерам. Вот только хакеры, не будь дураками, решили шантажировать клиентов компании. Злоумышленники предлагают крупным организациям заплатить 1 млн долларов за исключение из «сливного списка», и 100 тысяч долларов (какая благородная скидка) – небольшим компаниям.

Взлом Шредингера

Что случилось: То ли хакеры, то ли инсайдеры взломали популярный маркетплейс Wildberries, а то ли все «сломалось» само. Так или иначе, с 14 марта интернет-магазин работает с перебоями.
Как это произошло: Пользователи заметили, что на платформе перестали загружаться каталоги, не получается оплатить заказ и привязать или отвязать карту. Некоторые даже столкнулись с тем, что не могли войти в мобильное приложение и отследить уже оплаченные заказы, потому что не отображались QR-коды для получения посылок. С проблемами столкнулись и поставщики, которые не смогли войти в личный кабинет и отправить товары со складов. За день количество сообщений об ошибках составило более 12 тысяч.

Представители маркетплейса не комментировали ситуацию больше суток, но позже сделали заявление о том, что у сервиса технические неполадки. Версий о причинах сбоя в работе Wildberries несколько и все сводятся к кибератаке. 15 марта CDEK со ссылкой на данные «Киберполигона» во внутренней рассылке оповестили сотрудников о том, что Wildberries подвергся кибератаке. Также в письме упоминалась утечка более 100 тысяч российских карт, поэтому CDEK рекомендовал сотрудникам заблокировать привязанную к маркетплейсу карту. Позже представители логистической компании объяснили, что часто рассылают сотрудникам подобные письма для «перестраховки». 17 марта CDEK принес извинения пользователям маркетплейса, сославшись на то, что в письме не утверждалось, что Wildberries причастен к утечке банковских карт в даркнет.

По другой версии, популярный маркетплейс взломали хакеры OldGremlin. Киберпреступники нарушили работу сайта и захватили над ним контроль. По еще одной версии, Wildberries взломали свои же – русские хакеры, которые уничтожили почти всю инфраструктуру, включая бэкапы.

Начальник ИБ «СёрчИнформ» предположил , что масштаб происходящего можно оценить лишь по косвенным признакам, и судя по тем проблемам, с которыми столкнулся Wildberries, серьезно пострадала внутренняя система. Также эксперт не исключает, что хакеры могли воспользоваться услугами инсайдеров, которые руководствовались идеологическими мотивами – иначе говоря, решили за что-то отомстить работодателю.

Газовая атака

Что случилось: Крупнейшая сеть заправочных станций Румынии стала жертвой атаки программы-вымогателя. Хакеры требуют несколько миллионов долларов за возврат украденных данных.
Как это произошло: Дочерняя компания KMG Rompetrol заявила, что подверглась кибератаке, в результате которой была вынуждена приостановить некоторые услуги на станциях и закрыть веб-сайты. По данным Bleeping Computer, ответственность за кибератаку на Rompetrol взяла на себя хак-группа Hive.

Хакеры угрожают газовому гиганту слить в открытый доступ все данные, зашифрованные во время атаки, если Rompetrol не заплатит выкуп в размере 2 млн долларов. Неизвестно, намерена ли Rompetrol или ее материнская компания KMG соглашаться на условия вымогателей, но компания заявила, что тесно сотрудничает с киберорганами «для разрешения ситуации». В официальном пресс-релизе Rompetrol говорится, что не все бизнес-процессы были скомпрометированы, так что автомобилисты по-прежнему могут расплачиваться за бензин наличными или банковской картой.

Есть и другая – конспирологическая версия инцидента. Истиной целью хакерской атаки якобы мог быть крупнейший румынский нефтеперерабатывающий завод Petromidia. По неподтвержденным данным, хакерам на самом деле удалось взломать ИТ-инфраструктуру завода через брешь в каналах коммуникации с контрагентом. Это ли не растущий тренд атак на КИИ?

По зернышку

Что случилось: Сторонний поставщик допустил утечку клиентских данных Nespresso Top Coffee.
Как это произошло: Известно, что южноафриканский дистрибьютор Nespresso разослал клиентам уведомления о возможной утечке, которая могла затронуть их имена, номера телефонов и адреса электронной почты. В утешение дистрибьютор заверил, что платежные данные клиентов не пострадали. В заявлении также говорится, что личная информация клиентов могла быть раскрыта через стороннего поставщика Nespresso.



Позже представители Nestle и Nespresso рассказали журналистам, что они искренне сожалеют о сложившейся ситуации и сделают все возможное, чтобы инцидент больше не повторялся. Вроде и похвалить за честность хочется, но, как показывают другие примеры, публичное покаяние никак не спасает клиентов от неприятных последствий….

Продолжение следует

Что случилось: Хакеры слили в открытый доступ данные клиентов «Яндекс.Еды» - той самой, которая в начале месяца сама уведомила клиентов об утечке (что похвально) и уверяла, что никаких серьезных данных слито не было (а вот тут уже вопросики).
Как это произошло: 1 марта компания сообщила о том, что обнаружила утечку клиентских данных по вине недобросовестного сотрудника. «Яндекс Еда» обратилась в полицию с заявлением о несанкционированном доступе к данным клиентов и извинилась перед пользователями, которые пострадали в результате утечки. Компания уверяла, что утечка не затронула критичных данных, и пользователям можно спать спокойно. Но этим дело не кончилось.

22 марта по Telegram-каналам разлетелась ссылка, которая вела на сайт с интерактивной картой. Неизвестные хакеры визуализировали личные данные пользователей Яндекса так, что можно было посмотреть имя, номер телефона, адрес и даже общую сумму заказов за последние 6 месяцев. Реакция пользователей на утечку не заставила себя ждать. Одни смогли обнаружить «похождения» своих вторых половинок, а другие пожаловались на то, что общая сумма, потраченная на заказы, огорчила их гораздо больше, чем утечка.

Сервис «Яндекс.Еда» новую утечку не подтвердил , сославшись на то, что хакеры визуализировали данные из февральского слива. Роскомнадзор, тем не менее, уже составил протокол в отношении «Яндекс.Еды» за нарушение законодательства в области персональных данных. Теперь компании грозит «очень большой» штраф в размере от 60 до 100 тысяч рублей. Точную сумму определит суд. Напомним, что за ноябрьскую утечку персданных 1,5 миллиона россиян, включавшую аж скан-копии паспортов, суд оштрафовал Oriflame всего на 30 тысяч рублей.

Нездоровое лечение

Что случилось: Больница Mon Health в Западной Виргинии разослала некоторым пациентам письма с предупреждением о возможной утечке персональных данных.
Как это произошло: Согласно письму, Mon Health обнаружила утечку данных некоторых пациентов, поставщиков и сотрудников еще 30 декабря 2021 года. Киберэксперты предполагают, что злоумышленники получили доступ к такой информации о пациентах, как: имя, адрес, дата рождения, номер медицинской карты и счета пациента, идентификационный номер медицинского страхования, даты посещения больницы, информация о претензиях, диагнозах и ходе лечения.

Представители больницы рассказали, что приняли все меры предосторожности, включая отключение систем, сброс паролей и уведомление правоохранительных органов. Пока киберэксперты не зафиксировали какое-либо неправомерное использование личной информации пациентов, но Mon Health уже предложила пострадавшим бесплатное годовое членство в службе защиты личных данных IdentityWorks. Но вряд ли это убережет пострадавших пациентов от попыток шантажа и манипуляций со стороны мошенников, или по меньшей мере спам-рекламы низкокачественных препаратов.

ИБ СёрчИнформ
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.