(Не) безопасный дайджест: кража «национальных секретов», неблагонадежный VPN и штраф за любопытство охранников

Что случилось: злоумышленники запустили сервис Sorgu Paneli, который предоставляет доступ к личным данным всех граждан Турции.

Как это произошло: специалисты платформы по борьбе с онлайн-цензурой Free Web Turkey выпустили официальное заявление, в котором рассказали о сервисе, раскрывающем ПДн миллионов граждан Турции. Известно, что сервис, название которого переводится как «панель для запросов», бесплатно предоставляет имена, фамилии, идентификационные номера, адреса и номера телефонов жителей страны. Кроме данных турецких граждан в базе есть и данные иностранцев, которые зарегистрированы в электронной системе. Бесплатный функционал сайта доступен по регистрации (на момент обнаружения инцидента на сайте было зарегистрировано более 5 тысяч пользователей), платная подписка предоставляет пользователям расширенный доступ к информации. Некоммерческая организация Media and Law Studies Association, один из учредителей Free Web Turkey, пообещала подать иски как против создателей сайта, так и против властей, которые не способны обеспечить защиту информации.

Несмотря на предположения , что данные 85 миллионов человек могли быть украдены из системы электронного правительства Турции, подтверждений этому не нашлось. Free Web Foundation узнала у людей, которые на протяжении нескольких лет занимались аналогичными сервисами по продаже персданных, что сайт Sorgu Paneli предоставлял доступ к данным, скомпилированным из нескольких утечек. Глава Департамента кибербезопасности в президентском Офисе цифровой трансформации заявил , что данные не могли утечь из системы электронного правительства, более того, в ней зарегистрированы только 63 миллиона пользователей.

Что случилось: уволенный сотрудник медицинской компании исказил информацию в базе данных работодателя.

Как это произошло: в мае 2022 года сотрудник компании по управлению трудовыми контрактами медперсонала Vituity, получил извещение о том, что через месяц он будет уволен. Перед увольнением сотрудник решил не терять время зря и поменял пароль к аккаунту коллеги для того, чтобы сохранить доступ к системам Vituity после отключения собственной учетки.

В сентябре 2022 года экс-сотрудник воспользовался этой лазейкой и удаленно подключился к системе компании. Он заменил пароль к учетке еще одного сотрудника и внес изменения в базу с данными о персонале. Мстительный сотрудник также переписал данные тысяч действующих и бывших работников, введя вместо реальной информации однотипные замаскированные данные. В конце мая злоумышленника арестовали, теперь за несанкционированный доступ к компьютеру ему грозит до 10 лет лишения свободы, штраф в размере 250 тысяч долларов и возмещение убытков.

Что случилось: британский специалист по информационной безопасности прикинулся хакером, чтобы шантажировать своего работодателя.

Как это произошло: в 2018 году хакеры, используя вымогательское ПО, атаковали оксфордскую компанию. После инцидента злоумышленники связались с руководством организации и потребовали выкуп. Этой ситуацией решил воспользоваться ИБ-аналитик компании Эшли Лайлс, который принимал активное участие во внутренних расследованиях инцидентов. Лайлс получил доступ к переписке членов правления компании, изменил содержание исходного письма от вымогателей и указанный ими адрес, на который нужно было отправить выкуп. Он также создал адрес электронной почты, практически идентичный адресу злоумышленников, и некоторое время переписывался с руководством своей фирмы, требуя перевести деньги.

Однако выкуп он так и не получил. В компании обнаружили несанкционированный доступ к почте и отследили, что он был осуществлен с домашнего адреса Эшли Лайлса. За несколько дней до ареста неудачливый шантажист удалил все данные со своих устройств, пытаясь скрыть причастность к атаке на компанию. Но полицейским удалось восстановить информацию, которая стала прямым доказательством его преступления. Почти пять лет сотрудник отрицал причастность к инциденту, но в мае этого года Лайлс все-таки признал вину, в июле суд огласит окончательный приговор. Согласно британскому законодательству, несанкционированный доступ к компьютеру наказывается сроком до 2 лет, а шантаж – до 14 лет.

Что случилось: инсайдерская утечка из Tesla легла в основу расследования о проблемах внутри компании.

Как это произошло: немецкая газета «Хандельсблат» опубликовала расследование о проблемах в Tesla на основе 100 Гб данных, полученных от информаторов внутри компании-производителя электрокаров. Утечка состоит из более чем 23 тысяч файлов за период с 2015 по март 2022 года, включая жалобы водителей на проблемы с автомобилями и технический разбор этих жалоб. Также документ содержал информацию о зарплатах сотрудников, банковские реквизиты клиентов, производственные секреты и даже персданные владельца компании Илона Маска.

Журналисты проверяли полученную информацию полгода и сделали фокус на проблемах с безопасностью электрокаров, о чем свидетельствовали тысячи жалоб. Расследование вышло под заголовком: «Мой автопилот чуть не убил меня». Но, как отмечает редактор газеты, серьезные вопросы возникают и к тому, как в компании обрабатываются данные, поскольку инсайдеры смогли без особых сложностей получить доступ к файлам, не относящимся к их зоне ответственности. Инцидентом заинтересовались немецкий и голландский регуляторы. В соответствии с GDPR, утечка может грозить Tesla оборотным штрафом на сумму до 3,3 миллиардов долларов.

Что случилось: бывшего топ-менеджера Samsung обвинили в краже ценных сведений о производстве чипов.

Как это произошло: согласно заявлению прокуратуры, 65-летний сотрудник корейского производителя микроэлектроники в 2018-2019 годах незаконно получил конфиденциальную информацию, которую планировал использовать для строительства копии производства чипов памяти Samsung в полутора километрах от оригинального завода. Украденная информация включала основные данные по проектированию помещений и поэтажный план размещения оборудования. Согласно южнокорейскому законодательству, сведения о производстве чипов памяти 30 нанометров и менее особо охраняются как ключевая национальная технология.

Обвинение оценивает ущерб от кражи данных по меньше мере в 233 миллионов долларов. Топ-менеджер отрицает причастность к краже коммерческой тайны.

Что случилось: база данных с более чем 360 миллионами записей об активности клиентов популярного бесплатного VPN-сервиса оказалась в открытом доступе.

Как это произошло: киберисследователь обнаружил в открытом доступе базу данных, размером в 133 Гб. Почти все скомпрометированные записи содержали упоминание бесплатного VPN-приложения SuperVPN. Утечка затронула чувствительную информацию о пользователях сервиса: адреса электронной почты, исходные IP-адреса, геолокацию, сведения об использованных серверах, а также предположительно секретные ключи, уникальные номера пользователей и уникальные идентификаторы UUID. Кроме того, утечка содержала данные о моделях устройств пользователей, заявления на возврат средств (вероятно, после истечения срока бесплатного использования) и ссылки на страницы, которые посещали пользователи. По словам исследователя, он обнаружил несколько одноименных приложений для iOS и Android и направил информацию о своей находке по всем доступным адресам. Ответа он так и не получил, но вскоре база перестала быть общедоступной.

Что случилось: госпиталь в городе Якима был оштрафован на 240 тысяч долларов за несанкционированный доступ охранников к электронным данным пациентов.

Как это произошло: в апреле 2017 года госпиталь города Якима разослал 419 пациентам отделения неотложной помощи извещение о том, что сотрудники без разрешения просматривали их медицинские данные. C октября 2016-го по январь 2017-го работники медучреждения открывали карты пациентов, хотя это не входило в их должностные обязанности. Инцидент обнаружили во время внутренней проверки, после чего сотрудникам закрыли доступ к данным, а в организации началось расследование. Согласно предварительным выводам, у виновников не было злого умысла, а данные они могли просматривать из любопытства или от скуки. Киберэксперты, которые подключились к расследованию, не нашли фактов, которые подтверждали бы продажу информации о пациентах на черном рынке.

В 2018 году госпиталь уведомил об инциденте Офис гражданских прав Министерства здравоохранения и социальных служб США. 15 июня 2023 года ведомство объявило о заключении мирового соглашения с госпиталем. Виновниками инцидента оказались 23 охранника отделения неотложной помощи, которые просматривали карточки пациентов. Данные, к которым они получили несанкционированный доступ, включали: имя, дату рождения, номер медкарты, адрес, информацию о ходе лечения, страховые данные. По условиям соглашения, госпиталь обязан выплатить штраф в 240 тысяч долларов, а также провести мероприятия для соответствия правилам HIPPA, включая обучение сотрудников и проверку взаимоотношений с вендорами и подрядчиками.

В здравоохранительном секторе США подобные случаи не являются редкостью. Так, в 2017 году оператор шести больниц в штате Флорида был оштрафован на 5,5 миллионов долларов за несанкционированный доступ двух сотрудников к данным пациентов.

ИБ-совет месяца: Не ждите, когда сотрудники перейдут к конкурентам с вашими коммерческими секретами. Контролируйте ситуацию с DLP и узнавайте об опасных действиях в реальном времени – это бесплатно в первые 30 дней.