Пришло время поделиться традиционной ежемесячной подборкой громких ИБ-инцидентов. В майском дайджесте расскажем про недобросовестную медицинскую компанию, как SaaS-поставщик случайно слил данные и про халатность крупнейшего производителя электроники Индии.
Аналитический просчет
Что случилось: крупная американская компания Sisense стала жертвой кибератаки.
Как это произошло: 11 апреля агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило о взломе крупной американской компании Sisense. Ее сферой деятельности является разработка ПО для бизнес-аналитики, а среди клиентов — крупнейшие компании мира: Nasdaq, Philips Healthcare, Verizon, Air Canada и другие.
Об инциденте стало известно благодаря неназванным исследователям. Именно они сообщили в CISA об утечке клиентских данных Sisense. По результатам предварительного расследования выяснилось, что в числе пострадавших оказались критически важные инфраструктурные организации США. Более подробные детали инцидента неизвестны.
Регулятор рекомендовал клиентам Sisense заменить все учетные данные и токены доступа, связанные с инструментами и услугами компании. Позже исследователь Брайан Кребс выложил в общий доступ сообщение Sisense, которое распространялось в приватной клиентской рассылке. В ней компания дублирует рекомендации регулятора и подтверждает факт утечки клиентских данных.
Извините, у вас открыто!
Что случилось: Microsoft оставила открытым и публично доступным один из внутренних серверов разработки поисковой системы Bing.
Как это произошло: Исследователи из SOCRadar нашли открытый и публично доступный сервер Microsoft. Он был размещен в облачной службе Microsoft Azure и хранил в себе внутреннюю информацию: код, скрипты, пароли и учетные данные пользователей, которыми сотрудники Microsoft пользовались для доступа к другим внутренним системам.
Несмотря на то, что исследователи уведомили Microsoft о проблеме 6 февраля, утечка была закрыта только 5 марта. При этом неизвестно, получил ли кто-то, кроме исследователей, доступ к серверу, так как он не был защищен паролем. Напомним, что подобное уже случалось ранее в 2020 году.
Инкогнито, так ведь?
Что случилось: Google удалит миллиарды записей, полученных от пользователей режима «Инкогнито» браузера Chrome.
Как это произошло: В 2020 году против Google был подан коллективный иск на $5 млрд за сбор данных пользователей режима «Инкогнито» браузера Chrome. Изначально корпорация хотела добиться досудебного решения, но судья отклонила запрос. Она утверждала, что описание режима «Инкогнито» не в полной мере уведомляет пользователей о действиях компании.
В итоге Google договорилась с истцами о соглашении, согласно которому корпорация обновит описание стартовой страницы режима «Инкогнито», а также удалит часть данных пользователей этого режима. Помимо этого, представитель корпорации заявил, что компания «рада удалить старые технические данные, которые никогда не ассоциировались с каким-либо конкретным лицом и не использовались для персонализации».
Утечка в индийском стиле
Что случилось: индийский производитель электроники boAt допустил утечку данных 7,5 млн клиентов.
Как это произошло: 5 апреля хакер под псевдонимом «ShopifyGUY» опубликовал в даркнете базу данных индийской компании boAt, содержащую клиентскую информацию: имена, адреса, номера телефонов, электронные письма и многое другое. По заявлениям хакера, утечка произошла еще в марте и коснулась 7,5 млн клиентов компании.
Индийский гигант сообщил, что расследует вопрос утечки, но не раскрыл никаких подробностей. Однако, по сообщению СМИ, утечка произошла из-за халатности компании.
Изначально эксперты сомневались в подлинности данных, так как стоимость слитой базы была всего 2 доллара. Но с тех пор несколько индийских СМИ подтвердили подлинность информации.
Трое в яхте, считая хакеров
Что случилось: киберпреступники взломали ритейлера яхт MarineMax и получили доступ к чувствительной информации его клиентов и сотрудников.
Как это произошло: 1 апреля компания MarineMax, ведущий мировой продавец яхт, заявила, что неизвестная третья сторона “получила несанкционированный доступ к частям нашей ИТ-инфраструктуры”. Это привело к “нарушению работы части бизнеса компании”, а также к утечке чувствительных данных, в том числе и персональных.
Ответственность за атаку взяла на себя группировка Rhysida, которая выставила базу данных компании на продажу за 15 BTC (примерно $1 млн). В доказательство подлинности группировка поделилась несколькими скриншотами: финансовыми документами MarineMax, водительскими правами и паспортами сотрудников и многим другим.
Панды под угрозой
Что случилось: Торговая платформа PandaBuy стала жертвой кибератаки, в результате которой утекли данные более миллиона клиентов.
Как это произошло: 1 апреля два злоумышленника под псевдонимами "Sanggiero" и "IntelBroker" выложили в даркнет базу данных крупной онлайн-платформы PandaBuy. Злоумышленники завладели такой информацией, как: ФИО, идентификатор пользователя, номер телефона, IP-адрес, даты и номера заказов, домашний адрес, почтовый индекс и т.д.
Как заявляют сами хакеры: "Данные были украдены путем использования нескольких критических уязвимостей в API платформы, которые позволили получить доступ к внутренним сервисам веб-сайта".
Сама компания пока не дала никаких комментариев по поводу утечки, но, по некоторым данным, PandaBuy пытается скрыть инцидент, подвергая цензуре сообщения пользователей в Discord и Reddit.
Посторонние в доме
Что случилось: американская торговая сеть The Home Depot стала жертвой атаки на цепочку поставок.
Как это произошло: 4 апреля хакер под псевдонимом "IntelBroker" выложил в даркнет базу данных компании The Home Depot. По заявлениям самого хакера, в ней содержится корпоративная информация примерно 10 тысяч сотрудников торговой сети.
The Home Depot не стала отрицать факт утечки. Она заявила, что утечка произошла из-за ошибки одного из SaaS поставщиков, который непреднамеренно предоставил небольшую выборку данных (имена, электронные почты, ID пользователей) о сотрудниках в период тестирования систем.
Медтайна на продажу
Что случилось: медицинская компания Cerebral была оштрафована на $7 млн за передачу чувствительных данных.
Как это произошло: Федеральная торговая комиссия США (FTC) наложила штраф на телемедицинскую компанию Cerebral за передачу чувствительной информации клиентов третьим лицам в рекламных целях.
По утверждениям регулятора, Cerebral передавала данные более 3 млн пользователей на такие платформы, как LinkedIn, Snapchat и TikTok. Данные собирались при помощи веб-сайта, на котором были использованы приложения и сервисы для отслеживания. Среди передаваемых данных были имена, медицинские данные, адреса, номера телефонов, даты рождения, IP-адреса, информацию о страховании и прочие сведения.
ИБ-совет месяца: пускай кибератаки, утечки данных и штрафы остаются в наших дайджестах, а ваши системы всегда будут в безопасности. Обеспечить ее можно с помощью решений «СёрчИнформ». Это бесплатно на 30 дней.