Сотрудники Kaseya пытались предотвратить взлом, но безуспешно

Сотрудники американской компании Kaseya, взлом которой ранее в этом месяце затронул 1,5 тыс. предприятий, неоднократно предупреждали свое начальство о проблемах с безопасностью, но безрезультатно.

Как сообщили информагентству Bloomberg осведомленные источники из числа бывших сотрудников Kaseya, с 2017-го по 2020 год они несколько раз сообщали руководству о проблемах безопасности программного обеспечения, однако эти проблемы так и не были решены. Источниками Bloomberg являются бывшие сотрудники компании, принимавшие непосредственное участие в проектировании и разработке ПО Kaseya и пожелавшие сохранить анонимность, поскольку они либо подписали договор о неразглашении, либо опасаются за свою дальнейшую карьеру.

Одними из самых серьезных проблем являются использование в продуктах и на серверах Kaseya устаревшего кода, слабого шифрования и ненадежных паролей, несвоевременная установка обновлений безопасности и сфокусированность на увеличении доходов и снижении расходов в ущерб базовым практикам кибербезопасности.

В Kaseya комментировать заявления экс-сотрудников отказались, ссылаясь на свои политики неразглашения сведений о сотрудниках и проводимых расследованиях хакерских атак.

По словам одного из источников, в начале 2019 года он прислал руководству компании сорокастраничный отчет об уязвимостях и через две недели был уволен. Экс-сотрудник уверен, что увольнение связано с его попытками обратить внимание на проблемы с безопасностью.

Как сообщил другой источник, Kaseya редко устанавливала патчи на свои серверы и хранила пароли клиентов в незашифрованном виде на сторонних платформах. Он заявил, что руководство компании было уведомлено о множественных уязвимостях в ПО Virtual System Administrator (VSA) и о необходимости его заменить, но ничего не предприняло. В итоге этими уязвимостями воспользовалась кибервымогательская группировка REvil для атаки на Kaseya.

В апреле нынешнего года специалисты нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure) в частном порядке сообщили компании о семи уязвимостях в VSA. Четыре были исправлены весной с выпуском обновлений безопасности, а оставшиеся три должны были быть исправлены в следующей версии – VSA 9.5.7. REvil успела проэксплуатировать неисправленную уязвимость ( CVE-2021-30116 ) до выпуска патча.