По традиции делимся подборкой ярких ИБ-инцидентов. В последний месяц зимы в профильных сообществах обсуждали: штрафы за утечки, масштабную кражу криптоактивов, облака, которые забыли защитить, мошенничество с пособиями и новую прайм-эру фишинга.
Что случилось: управленческая ошибка южнокорейского маркетплейса Coupang персональные данные участников. Среди них: паспорта миллиардеров, глав криптобирж и экс-премьера Великобритании.
Как это произошло: утечку обнаружил исследователь Рони Суховски. Оказалось, на незащищенном «облаке», связанном с инвестиционной конференцией Abu Dhabi Finance Week (ADFW), хранились сканы более 700 паспортов и государственных удостоверений личности. Среди тех, чьи документы были доступны любому пользователю, оказались также американский инвестор и бывший директор по коммуникациям Белого дома.
В ADFW подтвердили наличие уязвимостей в системе хранения данных, которой управляет сторонний подрядчик. Представители ADFW уверяют, что доступ к данным получил лишь исследователь, обнаруживший инцидент. Однако по заявлению Рони Суховски, доступ к данным был у любого пользователя веб-браузера. ADFW защитили сервер лишь 16 февраля этого года после того, как исследователь сообщил об инциденте.
Каждому по штрафу
Что случилось: Louis Vuitton, Dior и Tiffany 25 миллионов долларов за утечку данных.
Как это произошло: в 2025 году все три бренда, входящие в группу Louis Vuitton Moët Hennessy (LVMH), допустили утечки информации – всего пострадали данные более 5,5 миллионов клиентов. Хакеры получили доступ к облачному сервису управления клиентами, в результате чего в открытый доступ попали их имена, номера телефонов, адреса электронной почты, почтовые адреса и история покупок.
Комиссия по защите персданных Южной Кореи (PIPC) опубликовала отчет об инциденте. В случае с Louis Vuitton утечка произошла из-за того, что устройство сотрудника оказалось заражено вредоносным ПО. Это привело к компрометации одного из сервисов и утечке данных 3,6 миллионов клиентов.
Представили PIPC считают, что компания Louis Vuitton не защитила надлежащим образом персональные данные, и поэтому стала жертвой хакеров. Регулятор наложил на Louis Vuitton штраф в размере 16,4 миллионов долларов и обязал компанию объявить о штрафе на сайте.
В Dior взлом произошел в результате фишинговой атаки на сотрудника службы поддержки клиентов, которого хакеры убедили предоставить доступ к системе SaaS. Это привело к утечке данных 1,95 миллиона клиентов.
Компания использовала SaaS с 2020 года, но не внедрила списки разрешенных пользователей, не установила ограничения на массовую загрузку данных и не проверила журналы доступа, это задержало расследование утечки более чем на три месяца.
Взлом системы Tiffany произошел аналогичным образом: злоумышленники использовали голосовой фишинг, чтобы убедить сотрудника службы поддержки предоставить им доступ к SaaS-системе. Под угрозой оказались данные 4600 клиентов.
Этот инцидент – наглядный пример, как работает социнженерия и как человеческий фактор помогает хакерам. Поэтому важно своевременно повышать цифровую грамотность сотрудников.
Кстати, мы собрали советы, как сделать это эффективно.
- Белая книга
Серия обучающих материалов от нашего НачИБ для рядовых пользователей:
- .
Регулятор обвиняет компании в том, что несоблюдение надлежащих мер безопасности привело к несанкционированному доступу и утечке данных более чем 5,5 миллионов клиентов. В результате компании Louis Vuitton, Christian Dior Couture и Tiffany обязаны выплатить штраф в размере 25 миллионов долларов.
Не уследили
Что случилось: хакеры Odido, крупнейшего оператора мобильной связи Нидерландов, через фишинг.
Как это произошло: сотрудники отдела поддержки Odido получили мошеннические письма. В техподдержке не распознали фишинг, в результате чего злоумышленники получили пароли от учетных записей сотрудников. После этого хакеры позвонили жертвам, представились специалистами ИТ-отдела Odido и убедили их одобрить мошенническую попытку входа в систему. В результате под учетками сотрудников хакеры получили доступ к системе Salesforce, в которой хранились данные клиентов оператора мобильной связи.
Киберспециалисты предполагают, что злоумышленники вряд ли успели скачать всю базу данных. В настоящее время Odido проводит внутреннее расследование. Пока оператор не раскрывает, какое количество данных мог затронуть инцидент, однако уже предупредил около 6,2 миллиона бывших и действующих клиентов о том, что их данные могли попасть к злоумышленникам. Компания сообщила об инциденте в Управление по защите данных Нидерландов.
Вдруг не заметят
Что случилось: экс-сотрудник городского совета Болтона со счетов муниципалитета пособия на сумму почти 900 000 фунтов стерлингов.
Как это произошло: Ричард Шоу занимался бухгалтерским учетом в отделе финансовой защиты городского совета Болтона. В 2023 году его сначала отстранили от должности после нескольких нарушений, а потом и вовсе уволили по подозрению в мошенничестве. Длительное расследование показало, что Шоу в период с 2015 по 2023 год перевел себе 893 296 фунтов стерлингов со счетов получателей пособий. Также экс-сотрудник переводил деньги между счетами граждан, пытаясь скрыть следы мошенничества.
В ходе расследования выяснилось, что предприимчивый бухгалтер потратил 100 000 фунтов стерлингов на покупку дома для отдыха и почти 18 000 фунтов стерлингов на благоустройство сада. В ходе обыска в доме Шоу были изъяли два автомобиля BMW и другие ценные вещи.
Изначально Шоу отрицал причастность к мошенничеству с использованием служебного положения, но в декабре 2025 года все-таки сознался. В итоге в этом феврале бывшего сотрудника приговорили к четырем годам и восьми месяцам тюремного заключения.
