Дни календаря стали красными, в воздухе запахло шашлыком, а это значит пришло время поделиться ИБ-инцидентами, которые зацепили нас весной. В подборке – белый хакер исповедуется ChatGPT, сотрудник MrBeast снимает свое реалити, подрядчики крадут билеты у фанатов Тейлор Свифт.
БЕЗ МЕНЯ ВСЕ РАЗВАЛИТСЯ
Что случилось: Мстительный разработчик оставил «сюрприз» в ИТ-системах работодателя перед увольнением.
Как это произошло: Дэвис Лу более 10 лет разработчиком ПО в неназванной ИТ-компании со штаб-квартирой в Бичвуде. Однако в 2018 году Дэвис попал под реструктуризацию и его понизили в должности. Дэвис понимал, что спустя какое-то время его могут уволить, поэтому в его голове начал созревать план мести.
К моменту официального увольнения в 2019 году план Дэвиса уже был реализован: он внедрил в системы ИТ-компании вредоносный код, который вызывал системные ошибки и не давал пользователям войти в систему. Также Дэвис удалил профили коллег и внедрил «аварийный выключатель». Он активировался, когда данные Дэвиса удалили из корпоративного контролера домена, и заблокировал учетки коллег.
Позже расследование показало, что экс-сотрудник гуглил, как повысить свои привилегии в системе и скрыть следы удаления файлов. В результате действий Лу тысячи пользователей и сотрудников по всему миру не могли получить доступ к системам компании.
Точная сумма ущерба не называется, но предположительно это могут быть сотни тысяч долларов. Суд признал Дэвиса Лу виновным в компьютерном преступлении, теперь ему грозит до 10 лет лишения свободы.
ВСЕ ТАЙНОЕ СТАНОВИТСЯ ЯВНЫМ
Что случилось: Oracle столкнулась с двумя утечками подряд – и дважды попыталась это скрыть.
Как это произошло: о первой утечке стало известно 20 марта, когда хакер под ником rose87168 о взломе облачного сервиса Oracle Cloud. Неизвестный выставил на продажу 6 млн строк клиентских данных: закрытые ключи, зашифрованные учетные данные и т.д. В качестве доказательства взлома хакер текстовый файл с адресом своей электронной почты на сервер Oracle.
Первоначально Oracle отрицала инцидент, но уже 21 марта ИБ-компания CloudSEK собственное расследование и подтвердила утечку. По их версии, она произошла из-за устаревшего ПО Oracle Fusion Middleware, которое не обновляли с 2014 года.
После этого Oracle сообщила некоторым клиентам об утечке неактуальных данных из устаревшего сервера. Однако хакер не позволил Oracle скрыть масштаб инцидента и СМИ образцы вполне «свежих» данных – от 2024 и 2025 года.
Информация о второй утечке 28 марта. Тогда выяснилось, что в феврале 2025 года неизвестный украл медицинские данные клиентов Oracle Health. Для этого злоумышленник использовал скомпрометированные учетки пользователей.
Компания действовала так же «открыто», как и в случае с Oracle Cloud: официально не уведомила об инциденте ни регуляторов, ни общественность, только точечно связалась с некоторыми пострадавшими. Куда радикальнее действовали хакеры, которые стали массово вымогать миллионы долларов у клиентов Oracle Health за неразглашение похищенной информации.
Попытка скрыть слона в комнате привела к судебному . Oracle обвиняют в сокрытии утечек и неспособности внедрить стандартные методы обеспечения безопасности данных.
NOW TRENDING: BREAK-UP REALITY LIVE, ТОЛЬКО ПРО ИБ
Что случилось: бывший сотрудник украл данные блогера MrBeast и, кажется, установил скрытые камеры в его офисе.
Как это произошло: Лерой Нейборс ИТ-подрядчиком в Beast Industries, компанию MrBeast`а, в 2023 году. В 2024 сотрудника перевели в другой отдел, в котором он проработал до увольнения в октябре того же года.
После ухода подрядчика выяснилось, что он перенес сотни корпоративных файлов с финансовой информацией на неустановленное устройство и в личный DropBox. Блогер попросил инсайдера удалить данные, но Нейборс заявил, что уже сделал это в последний рабочий день.
Чтобы установить правду и добиться своего, MrBeast обратился в суд. В судебных документах сказано, что логи на рабочем ноутбуке инсайдера подтверждают попытку кражи данных и ее сокрытия. Также представители компании заявили, что Нейборс знал о предстоящем увольнении и потому готовился сливу.
После утечки в офисе блогера нашли скрытые камеры. Все подозрения на их установку пали на Нейборса. Он работал в ИТ-отделе и заключил договор субподряда по обслуживанию сети с компанией своей дочери – а у тех были все возможности установить оборудование. Масла в огонь подлила репутация бывшего сотрудника: он без спроса записывал корпоративные встречи.
Что примечательно, в судебных документах ничего не сказано про привычные для таких дел штрафы и компенсации, а единственное требование блогера – удалить украденные данные. Ждем развязку истории в трендах Ютуба.
МЕЧТАЮТ ЛИ КИБЕРМОШЕННИКИ ОБ ЭЛЕКТРО-ИСПОВЕДИ?
Что случилось: багхантер Microsoft оказался киберпреступником – и попался на кибербезграмотности.
Как это произошло: в апреле 2025 года ИБ-компания Outpost-24 большой материал про хакера EncryptHub. В нем специалисты заявляют, что киберпреступник, который взломал 618 компаний, одновременно является и багхантером под ником SkorikARI with SkorikARI. Это исследователь, который получил благодарность от Центра реагирования на угрозы Microsoft за нахождение двух уязвимостей нулевого дня в Windows.
Вывод о «двойной игре» сделали благодаря ошибкам хакера в операционной безопасности. Например, он смешивал свою хакерскую и личную жизнь. Использовал личные учетки в инфраструктуре для разработки и тестирования вирусов. Также злоумышленник игнорировал базовые правила кибергигиены: использовал одинаковые пароли, игнорировал двухфакторную аутентификацию и т.д.
Эти ошибки раскрыли критические элементы инфраструктуры хакера. Позволили исследователям выяснить, что аккаунт, через который SkorikARI отправлял информацию в Microsoft, принадлежит EncryptHub.
Также Outpost-24 получили доступ к переписке хакера с ChatGPT. Злоумышленник использовал чат-бота буквально для всего: для написания вредоносного кода, исследования уязвимостей, написания текста и даже для бесед на глубоко личные темы. Например, просил чат-бота помочь разобраться: он крутой хакер или все же талантливый ИБ-исследователь на «светлой стороне». Или обсуждал с ИИ план перехода в легальный бизнес.
ПОДРЯДЧИКИ ПРОТИВ ПОПСЫ
Что случилось: сотрудники ИТ-подрядчика «взломали систему» и разбогатели на билетах на Тейлор Свифт.
Как это произошло: 3 марта прокуратура Нью-Йорка Тайрона Роуза и Шамару Симмонс. Их обвиняют в краже и перепродаже более тысячи билетов на сумму в 635 тыс. долларов.
Мошенническая схема была простой. Роуз работал в ИТ-компании, которая обсуживала платформу для покупки билетов StubHub. Он использовал свой доступ для входа в закрытую часть сети платформы, в которой уже проданным билетам присваивался URL-адрес.
Далее Роуз копировал URL-адреса билетов и отправлял их Симмонс, чтобы девушка перепродавала билеты на StubHub по завышенным ценам. Таким образом, Роуз и Симмонс только с июня 2022-го по июль 2023 года украли более 900 билетов. Примечательно, что почти все они были на концертный тур Тейлор Свифт.
Если преступников признают виновными, каждому из них грозит максимальное наказание в виде лишения свободы на срок от трех до пятнадцати лет.
БЫЛО ЗА ЧТО
Что случилось: конкуренты взломали имиджборд 4chan.
Как это произошло: вечером 14 апреля веб-форум 4chan хакерской атаке и приостановил работу. Ответственность за инцидент взяли участники конкурирующего имиджборда Soyjak.party.
Они сообщили, что больше года находились внутри 4chan и в качестве доказательств опубликовали скриншоты административных панелей и исходный код сайта. Также неизвестные временно возродили ранее забаненный раздел форума /qa/ и разместили там надпись «U GOT HACKED XD».
Позже хакеры подробностями взлома. По их словам, некоторые разделы 4chan поддерживали загрузку PDF-файлов. При этом сайт никак не проверял, что пользователь загружает именно PDF-файл, а не что-то другое. Это позволило загрузить PostScript-файл, который потом интерпретировался устаревшей версией Ghostscript со множеством уязвимостей, и закрепиться на форуме.
На текущий момент сайт недоступен и, по мнению сообщества, навряд ли вернется в ближайшее время. Бесславный конец для 20-летней истории.
