Подоспела подборка необычных ИБ-инцидентов и новостей, о которых мы узнали в прошлом месяце. В сентябре обсуждали: новые детали в деле Coinbase, еще одну дырявую AI-платформу, очередные находки кибер-исследователей в американском общепите.
ЗА КАШУ МАННУЮ, ЗА ЖИЗНЬ КИБЕР-ТУМАННУЮ
Что случилось: более половины инсайдерских ИБ-инцидентов в школах Великобритании совершили ученики.
Как это произошло: 11 сентября 2025 года британское Управление комиссара по информации (Information Commissioner’s Office, ICO) поделилось результатами интересного . Регулятор проанализировал 215 сообщений об утечке персональных данных в сфере образования по вине инсайдеров и выяснил, что 57% инцидентов произошли из-за самих учащихся.
Например, один из студентов получил доступ к информсистеме учебного заведения, используя учетку сотрудника организации. После он просмотрел, изменил или удалил персданные более 9 тыс. человек.
Как именно юный инсайдер получил учетные данные работника школы – неизвестно. Но, судя по другой статистике регулятора, это могло произойти из-за ошибки работника. Например, если он оставил рабочий ноутбук без присмотра.
Оставляем на белую книгу по эффективным практикам ИБ-обучения сотрудников. Она поможет снизить количество инцидентов, которые происходят из-за случайных ошибок.
Другой пример – трое шестиклассников (!) неправомерно получили доступ к информационной системе школы с личными данными более 1400 учеников. Школьники сказали, что сделали это из-за интереса к кибербезопасности и желания проверить свои силы. Для взлома «хакеры» использовали инструмент обхода паролей и защитных протоколов, который просто скачали в интернете.
А как бы вы отреагировали, если – чисто гипотетически, конечно – ваш ребенок взломал информсистему своей школы? Поделитесь в комментариях.
ОТ КАРМЫ НЕ УБЕЖАТЬ
Что случилось: подрядчика криптобиржи Coinbase обвиняют в сокрытии инсайдерского ИБ-инцидента.
Как это произошло: в майском НБД мы про кейс Coinbase. Напомним, что платформа стала жертвой инсайдеров. Сотрудники службы поддержки на аутсорсе фотографировали данные клиентов с экрана монитора и продавали их злоумышленникам. Из-за этого пострадало более 69 тыс. человек.
16 сентября некоторые жертвы подали коллективный к TaskUs. Это компания-аутсорсер, чьими услугами пользовалась биржа. В судебных документах сказано, что главной героиней инсайдерской драмы является Ашита Мишра. Она работала в TaskUs и фотографировала данные клиентов Coinbase с сентября 2024 года. За день она могла делать до 200 снимков, за каждый из которых получала по 200$.
Сотрудница поделилась с коллегами схемой легкого заработка и те присоединились к афере. В иске утверждается, что руководство аутсорсера было в курсе незаконных действий своих сотрудников. И даже обнаружило на телефоне Мишры более 10 тыс. фото с конфиденциальной информацией клиентов Coinbase.
TaskUs уволили весь работавший с биржей персонал, когда дело запахло жареным, и понадеялись, что это исправит ситуацию. Не помогло: информация просочилась через бывших сотрудников и теперь компанию обвиняют в сокрытии инцидента.
Пока не ясно, чем кончится эта судебная эпопея, но шансы явно не на стороне аутсорсера. Они выбрали неоднозначную линию защиты. , что инсайдеров было всего двое и вообще – некоторые сотрудники Coinbase тоже были частью схемы.
Как говорится, берем попкорн и наблюдем за развитием событий.
ИНСПЕКТОР ГАДЖЕТ
Что случилось: сотрудник провернул мошенническую схему с товаром экс-работодателя и выручил более $1 млн.
Как это произошло: компания Milwaukee Electric Tool разрабатывает, производит и продает электроинструменты и аксессуары для них. Один из уже бывших ее сотрудников, айтишник Мэтью Янг, доступы к информсистеме организации для оформления мошеннических заказов. Он создавал запросы на доставку определенного товара на указанный адрес, а когда курьеры заканчивали работу – удалял данные из системы, чтобы не оставлять следов. Конечно, ни за один заказ инсайдер не платил.
Таким образом с марта 2024 года по март 2025-го Янг создал и удалил в общей сложности 115 заказов. Полученный благодаря мошенничеству товар сотрудник продавал текущим клиентам Milwaukee Electric Tool и в итоге заработал чуть больше $1 млн.
Все закончилось, когда коллеги Янга заметили неладное и обратились в полицию. Правоохранители провели внутреннее расследование, опросили сотрудников и нашли логи с удаленной историей заказов. Теперь Янгу предъявляют 14 обвинений и, если его признают виновным по всем пунктам, инсайдеру грозит до 98 лет тюремного заключения и штраф.
ПРОДОЛЖЕНИЕ БАНКЕТА
Что случилось: уязвимость во внутренней платформе Burger King позволяла получить персданные сотрудников и записи разговоров с клиентами.
Как это произошло: этичный хакер BobDaHacker, о котором мы в прошлой подборке, продолжил изучать уровень ИБ североамериканского общепита. На этот раз он вместе с другом BobTheShoplifter заинтересовался системами Restaurant Brands International (RBI). Эта компания владеет сетями Burger King, Tim Hortons и Popeyes.
По словам исследователей, взломать сервисы RBI было очень просто. Настолько, что защиту сравнили с промокшей оберткой от воппера. В частности, из-за таких резких высказываний отчет с техническими деталями пришлось удалить вскоре после публикации. Но информация из него уже распространилась в .
Исследователи получили доступ к внутренней платформе RBI под названием Assistant. Для этого они использовали функцию регистрации, которую забыли отключить разработчики. Пароли к созданным учеткам прилетели в тексте письма в открытом виде, как и в случае с MacDonald’s.
Далее хакеры изучили API GraphQL и смогли использовать его функцию createToken. Она позволила назначить учетке права администратора на всей платформе и тем самым управлять системой. В том числе просматривать и изменять данные всех магазинов сети, включая профили сотрудников.
Другая находка – диагностические страницы были «защищены» паролем admin, зашитым в код.
Но самое важное, по мнению исследователей – они получили доступ к аудиозаписям реальных заказов в drive‑thru (это окно обслуживания клиентов на авто). Нередко среди записей встречались личные данные посетителей общепита. RBI хранила эти файлы для анализа качества обслуживания и обучения ИИ, который должен отслеживать настроение клиентов, работу персонала и эффективность продаж.
По заявлению самого BobDaHacker они сообщили об уязвимостях спустя час после их обнаружения. К чести, сотрудники RBI исправили проблемные места в тот же день – в отличие от желто-красных коллег.
ИИНТЕРЕСНАЯ НАХОДКА
Что случилось: компания-разработчик ИИ-приложений оставила 100+ ГБ данных пользователей в открытом доступе.
Как это произошло: 22 апреля 2025 года исследователи Cybernews о том, что обнаружили БД компании Vyro AI в открытом доступе. И не какую-то устаревшую база, а самую актуальную, которая регулярно пополнялась свежими данными.
Утечка содержала 116 ГБ логов рабочих и тестовых сред трех приложений: ImagineArt (10+ млн загрузок), Chatly (100+ тыс. загрузок) и Chatbotx (~50 тыс. посетителей в месяц). В логах находились запросы пользователей, токены аутентификации, данные об используемых устройствах и браузерах. Такой набор данных потенциально позволяет следить за действиями людей, перехватывать аккаунты и извлекать информацию из чатов.
По словам исследователей, поисковые системы проиндексировали БД еще в середине февраля 2025. Но специалисты обнаружили сервер только 22 апреля, а сообщать об этом до решения проблемы – неэтично. У самой компании, в которую передали информацию, ушло и того больше времени, чтоб сообщить регулятору. Только в конце лета компания отчиталась об инциденте в местный CERT, а в сентябре новость попала в СМИ.
Кейс Vyro AI не уникален и схожие проблемы есть даже у лидеров ИИ-рынка. Например, в августе пользователи ChatGPT и Grok обнаружили, что их переписки с чат-ботами появились в поиске Google из-за функции обмена ссылками.
То есть, как это часто и бывает, в погоне за новыми фичами вопрос безопасности остается за бортом – ведь бизнес считает скорость выпуска обнов важнее ИБ.
