Я вам скажу Сбербанк ещё легко отделался.
name='more'>
Вот перечень всего того, что есть в активной директории. Вытащить можно, к примеру, ФИО, почту, должность и отдел, домашний/рабочий адрес и телефон, ФИО начальника, дату последнего входа в сеть (неточно), дату последней смены пароля и рабочую станцию (редко).
Всё это тем же самым единственным запросом Get-ADUser. Например, таким:
Get-ADUser -Filter * -SearchBase "DC=sigma,DC=sbrf,DC=ru" -Properties enabled,Name,Surname...... | export-csv login.csv -NoTypeInformation
Запрос должен отработать за пару минут и выдать инфу по всем текущим и уволенным сотрудникам Сбербанка, и это штатная операция. Именно так AD и работает, и ничего с этим не сделаешь. Активная Директория - публичное место.
Можно запретить доступ на чтение к пользовательским контейнерам - и вы что-нибудь сломаете. Можно выделить гостей в отдельный лес - сработает, но проблема с инсайдерами/троянами останется. Можно выключить PowerShell на рабочих местах, но это не так просто сделать, ничего не сломав. К тому же, пользователи могут и принести свой powershell или использовать доменную учётку на BYOD ноутбуке.
Кроме Get-ADUser, список пользователей можно получить еще и через адресную книгу Аутлука (Outlook Global Address List).
[Microsoft.Office.Interop.Outlook.Application] $outlook = New-Object -ComObject Outlook.Application
$entries = $outlook.Session.GetGlobalAddressList().AddressEntries
$content = @()
foreach($entry in $entries){
$content += New-Object PsObject -property @{
'Name' = $entry.Name
'PrimarySmtpAddress' = $entry.GetExchangeUser().PrimarySmtpAddress
'JobTitle'= $entry.GetExchangeUser().JobTitle
'MobileTelephoneNumber'= $entry.GetExchangeUser().MobileTelephoneNumber
}
}
#export to csv
$content | export-csv Outlook.csv -NoTypeInformation
То, что произошло - это, конечно, серьезный инцидент, который, однако, мог бы произойти в любой другой компании, использующей Активную Директорию. Это никакой не взлом. Даже сливом назвать это я не могу, так как с точки зрения разработчиков Майкрософт это всё открытая информация, просто не все про неё знают.
Любопытный момент тут - как такой "слив" воспринимать с точки зрения 152-ФЗ и GDPR? Если всё-таки считать это утечкой ПДн, то непонятно что можно сделать, чтобы её предупредить (даже обнаружение такой утечки техническими средствами - серьезный вызов).
Наверное, в будущем плохие парни начнут такую информацию монетизировать. Первое, что пришло мне в голову, это письма типа "Тебя зовут <Иванов Иван Иванович>, <инженер отдела ЗИ>. Если ты не отсыпешь мне биткоинов, я сообщу твоему начальнику <Петрову> что ты посещал порносайты в рабочее время".
