"Вы слили наши фаерволы вымогателям" — финтех-компания тащит SonicWall в суд за утечку защиты

Финтех-компания Marquis подала в суд на своего поставщика межсетевых экранов SonicWall, утверждая, что взлом инфраструктуры вендора в 2025 году стал отправной точкой для атаки вымогателей на её собственную сеть. Иск зарегистрирован в федеральном суде Восточного округа Техаса, компания требует рассмотрения дела присяжными.

В заявлении говорится, что инцидент у SonicWall привёл к утечке критически важной информации о конфигурациях клиентских межсетевых экранов, использовавших облачную службу резервного копирования. По версии Marquis, это касалось не только её самой, но и всех заказчиков, которые хранили резервные копии настроек через сервис производителя.

Глава Marquis Сатин Мирчандани заявил, что SonicWall не обеспечила должную защиту своей облачной платформы, в результате чего компания понесла серьёзные репутационные, операционные и финансовые потери. Ранее Marquis уже уведомляла клиентов, что считает именно поставщика причиной утечки конфигурационных файлов её фаерволов.

Суть претензии сводится к тому, что злоумышленники получили данные, позволившие обойти защитный контур. Межсетевой экран должен блокировать несанкционированный доступ к внутренней инфраструктуре, однако, как утверждает истец, атакующие использовали украденные резервные копии настроек, включая так называемые аварийные коды доступа, чтобы проникнуть во внутреннюю сеть Marquis. После этого инфраструктура компании была зашифрована с помощью программ-вымогателей.

Marquis предоставляет сотням банков и кредитных союзов инструменты для анализа клиентских данных. В ходе атаки, по данным компании, были похищены персональные сведения клиентов некоторых финансовых организаций, работающих с ней. Речь идёт об именах, датах рождения, почтовых адресах и финансовых данных, включая номера банковских счетов, дебетовых и кредитных карт, а также номера социального страхования.

SonicWall впервые признала факт взлома в середине сентября. Тогда компания сообщала, что из её облачного хранилища, размещённого в инфраструктуре Amazon и обслуживаемого самим вендором, были похищены резервные копии конфигураций менее чем у 5% клиентов. В октябре производитель уточнил, что в действительности утечка затронула все клиентские файлы резервных копий.

Marquis начала уведомлять пострадавших в декабре 2025 года, указав, что её собственная сеть была скомпрометирована ещё в августе. SonicWall не раскрывала, когда именно злоумышленники получили первоначальный доступ к её системам.

Причина взлома до сих пор официально не названа. В иске Marquis утверждает, что в феврале 2025 года SonicWall внесла изменения в один из API, что привело к появлению уязвимости. По версии истца, эта ошибка позволяла получать доступ к резервным копиям конфигураций без надлежащей аутентификации, если подобрать предсказуемые серийные номера устройств.

Мирчандани заявил, что расследование внутри Marquis показало связь между проникновением в её сеть и утечкой у поставщика, а также указал, что компания не получила от SonicWall подробной непубличной информации о первопричине инцидента. Он рассчитывает, что дополнительные данные удастся выяснить в рамках судебного разбирательства. Представитель SonicWall оперативных комментариев не предоставил.

Marquis не раскрывает точное число пострадавших. Однако согласно уведомлению, поданному в офис генерального прокурора Техаса, известно как минимум о 400 тысячах затронутых лиц по всей территории США. По мере подачи новых уведомлений в разные штаты эта цифра может увеличиться.