Сегодня в обед украинские хакерские телеграм-каналы сообщили, что осуществлён взлом в качестве «ответки за Новую Почту». Дальше информация про взлом стала распространяться через СМИ.

Что мы узнали: вчера в 3 ночи был сформирован файл с, предположительно, дампом данных покупок автобусов, сделанных через наш сайт tutu.ru, там 2,5 миллиона строк технических неочищенных данных (в том числе с повторами). Там номера заказов, имена пассажиров и почты. Платёжных данных и данных о маршрутах в дампе нет.

Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека.

Произошло следующее: с 24 февраля мы вошли в списки целей для атак в хакерских и краудхакерских группах. Сначала нас банально дидосили, потом небанально дидосили, после чего хакерам удалось на короткий промежуток времени уронить сайт РЖД (фронты, но не АСУ Экспресс), и мы стали целью №1, потому что продолжали выписывать билеты. Положить нас тогда так и не удалось. С тех пор продолжаются и волны DDoS, и атаки на почту и другие типы направленных атак.

Основные версии утечки:

  1. Сопоставление данных пользователей с утечками крупных сервисов вроде Яндекса, Деливери, Пикабу и взломов почт. Похоже, что нет, в таблице есть технические учётные записи.
  2. Один из внешних технических контрагентов, связанных с эквайрингом.
  3. Собственные разработчики или члены инфраструктурной команды. Эту версию нельзя исключать никогда ни на каком проекте ни при каких условиях.
  4. Направленная атака на неизвестный нам баг.

Теперь детали про расследование.

Что утекло


На текущий момент в анонсе хакеров три таблицы. В них, предположительно, данные на разные виды транспорта. Судя по анализу той таблицы, к которой мы получили доступ, это части заказов за последние два месяца по одному продукту (автобусам), плюс точечно — за пределами этого срока. UPD: продолжаем анализировать, вероятно, база включает данные больше двух месяцев.

Ещё раз: платёжные данные не утекли. Маршруты (конечные-начальные пункты) не утекли.

Это далеко не полная база, объём — менее процента от общего объёма заказов.

Что мы делаем сейчас


Первое — если не сработали, скажем так, мониториговые части контура, нужно на низком уровне найти поток данных, который мог привести к утечке. Инфраструктурная команда сразу же начала разбирать все потоки за последние месяцы, чтобы увидеть передачу похожих массивов по трафику. Естественно, тут мы не можем раскрывать детали реализации, но очень коротко — найдём, что это было, но не прямо сегодня.

Второй задачей было получить доступ к таблице с дампом. Его мы получили спустя полчаса после анонсов хакеров.

Третья часть — отработать основные версии.

Как я уже говорил, их четыре, и первую, с сопоставлением данных других утечек с нашими клиентами (либо использование утекших авторизационных данных почт при масштабных взломах почтовых провайдеров прошлых лет) мы отбросили почти сразу. Кто-то получил доступ к одному из технических потоков.

Вторая версия — это внешний поставщик, разрабатывавший одно из решений в сфере эквайринга. Платежные данные не утекли, решение проходит ежегодную сертификацию по стандартам PCI DSS высшего из возможных классов (Service Provider Level 1), поэтому такая версия маловероятна, но тем не менее мы её тоже тщательно прорабатываем.

Третья версия — сотрудник компании. Такое нельзя исключать. Хочется верить, что это окажется только версией, а не реальностью.

Четвёртая версия — возможная эксплуатация бага, о котором мы не знаем. Для этого тоже нужен анализ потоков данных на низком уровне.

Это пока всё, что известно на текущий момент. Скорее всего, будут апдейты в следующие дни, но если тут стоит национально-политический вопрос, то, скорее всего, я до какого-то момента смогу делиться только частью технических данных, чтобы сохранять тайну следствия.

UPD: 5 июля хакеры объявили о фейковой утечке — по факту это компиляция уже известных почт с ранее скомпрометированными паролями из других баз. Почты из таблицы с нашими данными сопоставили с утечками других интернет-ресурсов. Если пароль от почты был скомпрометирован ранее, его могут попробовать для личного кабинета у нас. Мы получили доступ к компиляции и сейчас занимаемся сбросом паролей пользователей, которых сопоставили с другими утечками. UPD (5 июля, 16:22) : Утром сбросили пароли, сейчас закончили уведомлять пользователей. В выборке 21133 почты реальных пользователей.