Прощаемся с летом, вспоминая забавные и поучительные ИБ-инциденты августа. Сегодня в обзоре: аналог TikTok страдает от инсайдеров, TSMC подает в суд на бывших сотрудников, а ФБР ловят взяточника на живца.
Что случилось: стало известно сразу о двух громких случаях промышленного шпионажа.
Как это произошло: 6 августа 2025 года ИБ-служба TSMC, крупнейшего мирового производителя полупроводников, подозрительные паттерны доступа к файлам и начала расследование. Результаты показали, что несколько сотрудников попытались украсть конфиденциальную информацию о передовой технологии 2-м чипов. За это нарушителей уволили и начали юридическое разбирательство.
О другом кейсе стало известно 4 августа. Тогда СМИ , что аж четырнадцать бывших сотрудников Huawei приговорили к лишению свободы за кражу конфиденциальных данных о чипах.
В судебных документах сказано, что один из корпоративных шпионов ушел из Huawei в 2019 году и основал собственную фирму – Zunpai Communication Technology. После он нанял бывших коллег, и они разработали собственные чипы.
Huawei посчитали, что разработка бывших сотрудников основана на их конфиденциальных данных и потому обратились в суд с просьбой заморозить активы Zunpai. Что тогда решил суд – неизвестно, открытых данных в интернете нет. Но судя по тому, что бывших сотрудников техногиганта приговорили к тюремному сроку, скорее всего, решение было положительное.
ЗАКОНОПОСЛУШНЫЙ ГРАЖДАНИН
Что случилось: безопасник на службе правительства США попытался подкупить коллегу, чтобы получить контракт для своего бизнеса.
Как это произошло: летом 2025 года прокуроры предъявили Эдварду Доэрти, специалисту по безопасности из Министерства энергетики США. Его обвиняют в попытке подкупа коллеги с целью получения госконтракта для своей компании.
Из судебного пресс-релиза стало известно, что в феврале 2025 года Доэрти согласился принять участие в программе отложенного увольнения. Это инициатива, которая позволяет сотрудникам уйти с работы по собственному желанию, но при этом остаться в оплачиваемом отпуске на определенный срок.
Не прельстившись перспективой заслуженного отдыха, безопасник решил «подстелить соломки» для своего бизнеса: компании, которую открыл на случай ухода с госслужбы. Перед самым увольнением безопасник попытался подкупить другого сотрудника, отвечавшего за поиск подрядчика на контракт. Но тот оказался честным и сообщил об этом в правоохранительные органы. Началась ловля на живца: нужно было поймать злоумышленника с поличным. Так и произошло в июле этого года, когда Доэрти передавал первому взятку. За это Эдварду грозит минимум 15 лет лишения свободы – так себе почетная отставка.
ПЕНСИИ ОТМЕНЯЮТСЯ
Что случилось: CEO компании-аутсорсера украл почти $2,5 млн, предназначавшиеся пожилым американцам.
Как это произошло: 47-летний Джеймс Кэмпбелл основал компанию (Axim), чтобы помогать организациям в США с максимальной выгодой и соблюдением всех норм закона разбираться с соцвыплатами для персонала.
В частности, Axim занимается оплатой пенсионных, страховых и иных взносов и пособий сотрудникам клиентов. Работает это по следующей : Axim получает средства на оплату пособий и переводит их на нужные счета. За это компания берет комиссию в размере $40 в месяц за человека.
Недавно Джеймса обвинили в том, что он 135 раз несанкционированно снял почти $2,5 млн, предназначенных для прошлых и нынешних сотрудников клиентов. В судебных утверждается, что Кэмпбелл отмыл и потратил эти средства на личные нужды: ювелирные изделия, азартные игры, охоту на Аляске и т.д.
Если предприимчивого аутсорссера признают виновным, то ему грозит до 15 лет лишения свободы.
ТИКТОКНУЛИ
Что случилось: сотрудник организовал преступную схему, с помощью которой украл $20 млн у работодателя.
Как это произошло: китайская прокуратура района Хайдянь выпустила белую книгу о своей работе. Из нее стало известно об интересном внутренней ИБ.
В центре истории Фэн – старший менеджер Kuaishou, китайской платформы создания и просмотра коротких роликов. Он отвечает за работу с подрядчиками: решает, кто из них подходит платформе, помогает к ней подключиться, а также начисляет и выплачивает бонусы.
Отметим, что подрядчики – это не только пользователи, которые создают контент, но и разные бизнесы, для которых платформа является инструментом продвижения.
Во время бурного роста Kuaishou, когда все были заняты навалившейся работой, Фэн незаметно изменил политику распределения бонусов. После он связался с Таном и Яном – поставщиками товаров. Вместе, используя лазейки в политике платформы и инсайдерскую информацию, они обманным путем получали выплаты. Хотя при этом никакой реальной работы не выполняли.
Так продолжалось в течение года, пока служба безопасности Kuaishou не выявила подозрительные транзакции – они были слишком большие и частые. Началось совместное с прокуратурой расследование, которое выявило, что за год Фэн вывел порядка 140 млн юаней (~$20 млн) на подставные компании.
Далее деньги поступали на зарубежные трейдинговые платформы и переводились в криптовалюту. Для конспирации мошенники использовали криптомиксеры. Но это не помогло. В конце концов Фэна и сообщников раскрыли и приговорили к разным срокам – от трех до четырнадцати лет, а также обязали выплатить штрафы.
GOTTA CATCH 'EM All
Что случилось: сотрудник потратил $140 тыс. со счетов работодателя на игры и карточки с покемонами.
Как это произошло: в сентябре 2021 года 34-летний американец Майкл Гросс стал использовать кредитку, выданную работодателем, для покупки карточек с покемонами, видеоигр и подарочных карт для пополнения онлайн-магазинов. Чтобы не вызывать подозрений, Майкл врал о тратах и подделывал квитанции для бухгалтерии.
Так продолжалось вплоть до октября 2022 года, пока, видимо, интерес сотрудника к покемонам сам собой не остыл. Преданный фанат Пикачу так бы и остался непойманным, но ему . Недавно ФБР нагрянуло в компанию в рамках другого расследования, и обнаружило старые подозрительные траты. Выяснилось, что всего за год Майкл незаконно потратил чуть больше $140 тыс. За это в августе 2025 года его к 4 месяцам тюрьмы.
Кстати: чтобы бюджет компании не пострадал от чрезмерно страстных увлечений сотрудников, можно заранее выявить и автоматически контролировать такие группы риска. Оставляем о том, как сделать это с DLP, не переходя границы этики.
Заметим, что это не первый случай, когда любовь к покемонам толкает сотрудников к нарушению закона. Например, в этом январе стало известно о схожей из Сингапура. «Собрать их всех» захотел Линберг Йео Ю Вэй, бухгалтер биомедицинской компании.
На работе Йео отвечал за проведение платежей и смог несколько раз согласовать перевод средств, предварительно сменив реквизиты на собственные. Но в ноябре 2023 года коллеги «тренера» обнаружили неладное, попросили его перевести деньги обратно и подали на него в суд.
В итоге выяснилось, что за все время Йео украл больше $500 тысяч, которые потратил на злополучные карточки, часы Rolex, азартные игры и т.д. За это 22 января 2025 года его приговорили к 19 месяцам тюрьмы.
МЕЧТАЮТ ЛИ БУХГАЛТЕРЫ О ВТОРОЙ ЗАРПЛАТЕ
Что случилось: бухгалтер университета украла у работодателя более €2,3 млн.
Как это произошло: 14 августа 2025 года Франсин Фарруджа, менеджер отдела заработной платы Мальтийского колледжа искусств, науки и технологий (MCAST), предстала перед судом. Ее в незаконном присвоении более €2,3 млн.
Информсистема MCAST позволяет распределять зарплату между двумя счетами. Этим воспользовалась Фарруджа и стала начислять экстра-зарплаты сотрудникам. Только они уходили на ее собственный счет. После транзакции мошенница удаляла записи о ней, чтобы коллеги ничего не заметили.
Так продолжалось в течение двух прошлых лет, а общая сумма украденного перевалила за €2 млн. Полиция выяснила, что Франсин потратила эти деньги на роскошную одежду, дизайнерские сумки, дорогие украшения, а также недвижимость.
21 августа бухгалтера под залог в €50 тысяч и обязанность ежедневно отмечаться в полицейском участке. Но предполагаем, что на этом дело не кончится. Помимо работы бухгалтером Фаруджа была еще и политиком, советником города Сиджиуи.
БЕЗОТВЕТСТВЕННО И ТОЧКА
Что случилось: исследователь нашел множество уязвимостей в сервисах MacDonald’s, но столкнулся с халатным отношением к ИБ.
Как это произошло: 17 августа 2025 года этичный хакер под ником bobdahacker рассказал на личном об уязвимостях в сервисах McDonald’s, но отдельного внимания стоит его опыт взаимодействия с компанией.
История началась с того, что специалист обнаружил уязвимость в мобильном приложении. Оно не сверялось с сервером при проверке количества бонусных баллов. Это позволяло накручивать баллы и тем самым заказывать бесплатную еду.
Bobdahacker связался с инженером компании, чтобы сообщить о проблеме. Но сотрудник ответил, что «слишком занят» и найдет кого-нибудь другого. После исследователь упомянул, что это важно и может быть привести к мошенничествам. Спустя несколько дней уязвимость все же исправили.
Далее этичный хакер продолжил изучать публично доступные сервисы американской корпорации. Его внимание привлек Центр дизайна McDonald's Feel-Good. Это платформа для размещения маркетинговых материалов, которой пользуются сотрудники корпорации в 120 странах. Исследователь выявил, что она защищалась паролем только на клиентской стороне.
Bobdahacker сообщил и об этом, но одной из крупнейших компаний в мире потребовалось 3 месяца, чтобы внедрить систему учетных записей с разными способами входа для сотрудников и внешних партнеров.
Тем не менее, появилась новая проблема. Если заменить «login» на «register» в URL-адресе платформы, то можно было создать внутреннюю учетную запись. Пароль от нее прилетал прямо в тексте электронного письма.
Еще bobdahacker обнаружил в JavaScript-коде платформы секретный ключ и ключ от Magicbell API. С их помощью любой мог узнать, какие пользователи есть в системе, и отправлять фишинговые письма с инфраструктуры McDonald's.
Помимо этого, исследователь нашел еще несколько серьезных «дыр». Одна из них позволила дефейснуть один из сайтов, разместив там Шрека.
Самое интересное началось позже, когда этичный хакер попытался сообщить о найденных проблемах. Оказалось, что на сайте компании не было security.txt файла, который позволяет легко сообщать об уязвимостях.
Поэтому bobdahacker пришлось звонить в штаб-квартиру McDonald’s и называть случайные имена их ИБ-специалистов, которые он нашел в LinkedIn. Так продолжалось, пока кто-то достаточно важный не перезвонил и не дал реальный адрес, куда можно сообщить об проблемах.
