По информации Bleeping Сomputer, хакерская группировка Desorden смогла за одну неделю взломать сеть Acer дважды. Причем второй взлом стал более глобальным. Помимо получения доступа к серверам компании в Тайване, злоумышленники смогли проникнуть во внутреннюю сеть филиалов Acer в Малайзии и Индонезии, а ИБ-служба Acer до сих пор не может изолировать этот сегмент от утечек.
15 октября тайваньская компания Acer подтвердила недавний факт взлома своих серверов в Индии. За взломом Acer стояли хакеры из Desorden. Они сообщили, что смогли в конце сентября украсть 60 ГБ данных из сети компании, включая финансовые и аудиторские документы, сведения о клиентах, а также учетные данные розничных продавцов и дистрибьюторов Acer. Злоумышленники сообщили, что имели доступ к внутреннему сегменту сети Acer India с середины сентября по середину октября.
После этого взлома представитель Acer заверил, что компания провела расследование и обнаружила несанкционированное проникновение в свою информационную систему послепродажного обслуживания в Индии. По сообщениям Acer, ее специалисты закрыли уязвимость, а случившаяся атака не оказала существенного влияния на деятельность и непрерывность работы компании в мире. Acer также уведомила всех пострадавших от утечки клиентов, но не раскрыла их число.
Оказалось, что эта атака не была единичной. Desorden смогли по такой же схеме проникнуть в сеть компании на Тайване, Малайзии и Индонезии. Хакеры украли там данные клиентов и финансовую информацию. Acer не пояснила, почему этот вектор атаки там не был закрыт сразу после взлома в Индии.
Хакеры предоставили Bleeping Сomputer доказательства своих действий — скриншоты внутреннего тайваньского портала Acer и файлы, содержащие учетные данные сотрудников компании.
Причина второй атаки была уже не в получении выкупа. Desorden захотели показать, что компания до сих пор уязвима и ей нужно усовершенствовать свою защиту полностью, а не клепать ее частично.
Хакерам не понравилось, что Acer пренебрегла своей кибербезопасностью после первой атаки. По словам взломщиков, после второго вторжения ИБ-специалисты компании так и не смогли до конца закрыть доступ к внутренней сети. Они отключили только уязвимый тайваньский сервер, но часть серверов Acer в Малайзии и Индонезии по-прежнему остаются открыты для хакеров.
Acer подтвердила Bleeping Сomputer вторую атаку за неделю. Она заявила, что тайваньская утечка затронула только данные сотрудников компании, а данные клиентов не пострадали.
В марте этого года Acer пострадала от атаки криптовымогателя. Тогда хакеры потребовали от компании выкуп $50 млн и угрожали опубликовать часть утекших данных — документы, включающие финансовые и банковские таблицы и сообщения компании. Вероятно, тогда за взломом Acer стояла группа REvil, которая прекратила всю свою деятельность 13 июля. Злоумышленники смогла получить доступ к закрытой сети Acer через уязвимость Microsoft Exchange (ProxyLogon), но вот выкуп они за это официально не получили.
В 2012 году сервера сегмента Acer India были взломаны хакерами, которые смогли похитить данные около 20 тыс. учетных данных пользователей.
