Продолжаем собирать «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone.
У них
Заводская проходная
Что случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.
Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль — admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.
Слив-подряд
Что случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб.
Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля.
Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы «засветили» данные 150 миллионов пользователей тех же соцсетей.
Доплата за энергию
Что произошло: Британский поставщик электроэнергии People’s Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках «третьей стороны» оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в People’s Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия.
Кто виноват: По версии People’s Energy, причиной инцидента стало «неблагоприятное стечение обстоятельств». Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой People’s Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были.
Международная «заброшка»
Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации.
Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai – в рамках проверки на уязвимости, которую инициировала сама ООН.
Ограбление по-итальянски
Что произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете.
Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают – дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.
Новичок на миллион
Что произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.
Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с «приданым» – коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции.
Цена любви
Что произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов.
Кто виноват: По одной из версий – дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы – и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе.
Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку – и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу).
У нас
Зряплата
Что произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на «левые» карты под видом зарплаты и обналичили через банкоматы.
Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной «начинкой». Злоумышленники получили удаленный доступ к ее компьютеру и провели транзакцию.
Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами – в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ – за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.
Сим-сим, закройся
Что произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости.
Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты.
После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть «дыры» в безопасности. Пресс-служба компании, правда, публично выступила против «неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках». Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.