Крупнейшая в ЮАР электроэнергетическая компания оказалась полным профаном в ИБ

image

Теги: утечка данных, Eskom, ЮАР

Компания игнорирует сообщения об утечке, а ее сотрудники заразили корпоративные сети трояном через поддельный установщик SIMS.

Принцип «если прикинуться дурачком, то все образуется само собой» сыграл злую шутку с крупнейшей электроэнергетической компанией ЮАР. Государственная компания Eskom (генерирует 95% от всей электроэнергии, используемой в ЮАР, и 45% – во всей Африке) допустила утечку данных своих клиентов, проигнорировав сообщения о проблеме от исследователя безопасности.

Во вторник, 5 февраля, исследователь безопасности Девин Стоукс (Devin Stokes) опубликовал твит с открытым обращением к Eskom. Стоукс выразил свое глубокое недовольство тем, что компания в течение нескольких недель упрямо игнорирует электронные письма и сообщения с просьбой убрать данные пользователей из открытого доступа. В качестве доказательства утечки исследователь прикрепил к твиту скриншот с данными.

Через несколько часов, так и не дождавшись ответа от Eskom, Стоукс выложил еще один скриншот с данными. «ОК, становится хуже», - отметил он. На этот раз на скриншоте были видны платежные данные клиента компании, в том числе его имя, часть номера банковской карты, CVV и трехзначный код безопасности для осуществления покупок.

По словам Стоукса, Eskom оставила базу данных своего ПО для биллинга без какой-либо защиты. Более того, ситуацию усложнили сотрудники самой компании, предположительно допустившие заражение корпоративных сетей вредоносным ПО.

Исследователь безопасности MalwareHunterTeam опубликовал скриншот твита от еще одного пользователя, предупреждавшего Eskom о проблеме. Согласно скриншоту, сети компании были заражены трояном, попавшим туда через поддельный установщик игры SIMS 4.

Eskom поблагодарила пользователя, сообщившего о трояне, однако про открытую базу данных не обмолвилась ни словом.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.