По информации Bleeping Computer, хакеры взломали один из серверов африканского подразделения финансовой и страховой компании TransUnion South Africa с помощью пароля «password». «Взломали» — громкое слово, скорее, просто зашли. После этого они скачали незашифрованную базу с данными 54 млн. клиентов и потребовали выкуп.
В TransUnion South Africa сообщили, что хакеры действительно проникли на один из их серверов, используя украденные учетные данные, и потребовали выкуп, чтобы не разглашать информацию. Компания отказалась платить хакерам. TransUnion South Africa привлекла экспертов по кибербезопасности и цифровой криминалистике для расследования инцидента. Они также работают с правоохранительными органами и регулирующими органами страны по минимизации утечки данных.
Бразильская хакерская группа N4ughtysecTU рассказала, что во время рутинной кибератаки они нацелились на SFTP-сервер TransUnion South Africa, начали проводить процедуру брутфорса, так как у них не было никаких скомпрометированных учетных данных сотрудников. Но в итоге все оказалось прозаичнее. Через несколько секунд, подобрав нужный логин и пароль, они смогли зайти на сервер. Хакеры не раскрыли логин, но пароль был просто «password».
По данным NordPass, это пятый из самых используемых паролей в 2021 году. Экспертам этой компании непонятно, как вообще он мог быть установлен в настройках учетных данных пользователя SFTP-сервера серьезной финансовой компании.
В итоге хакеры смогли зайти на сервер и скачать 4 ТБ данных, включая базы данных клиентов, а также информацию по коммерческому и потребительскому страхованию и финансовым рискам по различных проектам.
После атаки хакеры выдвинули пострадавшей компании требование о выкупе в размере $15 млн долларов в криптовалюте, а также начали угрожать клиентам TransUnion, потребовав у них страховой платеж, если сама компания не выплатит деньги. Набор данных тех, кто заплатит эту страховку, якобы будет исключен хакерской группой из публикации. Страховка для крупных клиентов TransUnion у хакеров составляет $1 млн, в то время как с небольших компаний N4ughtysecTU требуют всего $100 тыс.
Эксперты компании-посредника по оплате требований о вымогательствах Coveware пояснили, что такие страховки-выплаты вообще не означают, что хакеры удалят данные компаний. По ее данным, злоумышленники уже передали украденные сведения третьим лицам до уплаты выкупа; данные будут каким-то образом использованы ими в будущем, независимо от того, заплатили ли выкуп хакерам.
Примечательно, что по информации сервиса разведки утечек данных и мониторинга даркнета DLBI, среди самых популярных паролей в 2021 году у россиян password занимал всего 7 место.
