25 марта в сервис Have I Been Pwned, собирающий сведения об утечках персональных данных, была добавлена информация о краже базы электронных адресов у основателя этого сервиса Троя Ханта. Данные были украдены из учетной записи на сервисе Mailchimp, которую Трой использовал для рассылки писем на персональном веб-сайте. Хант подробно рассказал о том, как он стал жертвой фишинга, и это очень интересный кейс. На уловки мошенников попался человек с огромным опытом именно в сфере защиты персональных данных.
Главной причиной успеха фишинговой атаки Трой Хант посчитал усталость. Он получил письмо сразу после длительного авиаперелета из Австралии в Великобританию. В сообщении говорилось о том, что на учетную запись в сервисе почтовых рассылок Mailchimp наложены ограничения якобы из-за подозрения в рассылке спама. Кликнув на ссылку в письме, Трой ввел свой логин и пароль, а затем и код двухфакторной аутентификации. Свою ошибку исследователь обнаружил сразу же, сменил пароль доступа, но база из 16 тысяч адресов электронной почты уже была похищена.
Трой Хант отдает должное организаторам атаки: они разослали правдоподобное сообщение, вызывающее у администратора системы рассылок опасение, что его учетная запись будет заблокирована. Создали качественный фишинговый веб-сайт, учитывающий вероятность использования двухфакторной аутентификации. Подготовили автоматизированную систему выгрузки базы данных e-mail (в нее также сохраняется IP-адрес, использованный при регистрации, и примерная геолокация), которая срабатывает сразу же после атаки.
Создатель сервиса Have I Been Pwned также отмечает и свои собственные ошибки. Дело здесь не только в том, что он среагировал на фишинговое письмо. Такие письма приходят на публичные адреса любых сколько-нибудь популярных сервисов десятками, и здесь действительно сказалась усталость. Но кроме того, Трой вручную вставил в форму на фишинговом сайте данные из менеджера паролей — автоматически эти данные не были вставлены, естественно, потому, что домен фишинговой страницы отличался от домена легитимного сервиса. В свое оправдание Хант отмечает, что такая ситуация нередко происходит и без кибератак. В качестве примера он приводит сайт авиакомпании Qantas, где регистрация пользователя происходит по одному адресу, а авторизация — по другому.
Нашлись поводы для критики и в адрес сервиса Mailchimp. Прежде всего, в нем не реализована аутентификация с использованием парольного ключа (passkey): такая система делает фишинг почти невозможным. Кроме того, Хант критикует Mailchimp за то, что сервис хранит избыточную информацию. Из 16 тысяч утекших адресов примерно 7,5 тысяч принадлежат тем, кто отписался от рассылки. Впрочем, тут представители Mailchimp приводят аргумент, что хранение контактных данных отписавшихся пользователей необходимо, чтобы случайно не подписать их заново.
Небольшую порцию критики получил почтовый клиент Microsoft Outlook, который, как минимум в версии для iOS, скрывает почтовый адрес отправителя и показывает только имя. В данном случае для фишинговой рассылки использовался, скорее всего, взломанный почтовый сервер организации из Бельгии. Абсолютно «левый» адрес мог вызвать дополнительные подозрения, но, находясь в командировке и просматривая почту на смартфоне, Трой Хант его просто не увидел.
Наконец, наиболее интересная деталь данного инцидента пока до конца не расследована. Трой придерживается здоровой практики, когда для регистрации в различных сервисах используется непубличный адрес электронной почты. Фишинговое сообщение было направлено именно на этот адрес. Ханту пришло сообщение от другого получателя похожей фишинговой рассылки. Этот пользователь утверждает, что также получил письмо на непубличный адрес. В обоих случаях злоумышленники могли получить данные об этих адресах e-mail, например, в результате взлома какого-либо из сервисов, где данный адрес также был использован. В независимом разборе данной фишинговой атаки отмечается, что она является частью организованной деятельности по взлому учетных записей со множеством однотипных доменов, предназначенных для кражи паролей в популярных сетевых сервисах.
Обновление для браузера Google Chrome закрыло уязвимость нулевого дня, обнаруженную специалистами «Лаборатории Касперского». Общая информация об уязвимости CVE-2025-2783 и индикаторы компрометации опубликованы в этой статье. По результатам анализа этой проблемы «похожий паттерн» обнаружили в коде браузера Mozilla Firefox, причем только в версии под Windows. Там уязвимость получила идентификатор CVE-2025-2857.
В исследовании компании Qualys предложены новые способы локального повышения привилегий в Ubuntu Linux версий 23.10 и 24.04. В развернутом ответе от разработчиков Ubuntu говорится о том, что эти методы обхода системы AppArmor User Namespace Restriction нельзя считать уязвимостями, и предлагаются методы усиления защиты, если это необходимо.
Главной причиной успеха фишинговой атаки Трой Хант посчитал усталость. Он получил письмо сразу после длительного авиаперелета из Австралии в Великобританию. В сообщении говорилось о том, что на учетную запись в сервисе почтовых рассылок Mailchimp наложены ограничения якобы из-за подозрения в рассылке спама. Кликнув на ссылку в письме, Трой ввел свой логин и пароль, а затем и код двухфакторной аутентификации. Свою ошибку исследователь обнаружил сразу же, сменил пароль доступа, но база из 16 тысяч адресов электронной почты уже была похищена.
Трой Хант отдает должное организаторам атаки: они разослали правдоподобное сообщение, вызывающее у администратора системы рассылок опасение, что его учетная запись будет заблокирована. Создали качественный фишинговый веб-сайт, учитывающий вероятность использования двухфакторной аутентификации. Подготовили автоматизированную систему выгрузки базы данных e-mail (в нее также сохраняется IP-адрес, использованный при регистрации, и примерная геолокация), которая срабатывает сразу же после атаки.
Создатель сервиса Have I Been Pwned также отмечает и свои собственные ошибки. Дело здесь не только в том, что он среагировал на фишинговое письмо. Такие письма приходят на публичные адреса любых сколько-нибудь популярных сервисов десятками, и здесь действительно сказалась усталость. Но кроме того, Трой вручную вставил в форму на фишинговом сайте данные из менеджера паролей — автоматически эти данные не были вставлены, естественно, потому, что домен фишинговой страницы отличался от домена легитимного сервиса. В свое оправдание Хант отмечает, что такая ситуация нередко происходит и без кибератак. В качестве примера он приводит сайт авиакомпании Qantas, где регистрация пользователя происходит по одному адресу, а авторизация — по другому.
Нашлись поводы для критики и в адрес сервиса Mailchimp. Прежде всего, в нем не реализована аутентификация с использованием парольного ключа (passkey): такая система делает фишинг почти невозможным. Кроме того, Хант критикует Mailchimp за то, что сервис хранит избыточную информацию. Из 16 тысяч утекших адресов примерно 7,5 тысяч принадлежат тем, кто отписался от рассылки. Впрочем, тут представители Mailchimp приводят аргумент, что хранение контактных данных отписавшихся пользователей необходимо, чтобы случайно не подписать их заново.
Небольшую порцию критики получил почтовый клиент Microsoft Outlook, который, как минимум в версии для iOS, скрывает почтовый адрес отправителя и показывает только имя. В данном случае для фишинговой рассылки использовался, скорее всего, взломанный почтовый сервер организации из Бельгии. Абсолютно «левый» адрес мог вызвать дополнительные подозрения, но, находясь в командировке и просматривая почту на смартфоне, Трой Хант его просто не увидел.
Наконец, наиболее интересная деталь данного инцидента пока до конца не расследована. Трой придерживается здоровой практики, когда для регистрации в различных сервисах используется непубличный адрес электронной почты. Фишинговое сообщение было направлено именно на этот адрес. Ханту пришло сообщение от другого получателя похожей фишинговой рассылки. Этот пользователь утверждает, что также получил письмо на непубличный адрес. В обоих случаях злоумышленники могли получить данные об этих адресах e-mail, например, в результате взлома какого-либо из сервисов, где данный адрес также был использован. В независимом разборе данной фишинговой атаки отмечается, что она является частью организованной деятельности по взлому учетных записей со множеством однотипных доменов, предназначенных для кражи паролей в популярных сетевых сервисах.
Что еще произошло
Обновление для браузера Google Chrome закрыло уязвимость нулевого дня, обнаруженную специалистами «Лаборатории Касперского». Общая информация об уязвимости CVE-2025-2783 и индикаторы компрометации опубликованы в этой статье. По результатам анализа этой проблемы «похожий паттерн» обнаружили в коде браузера Mozilla Firefox, причем только в версии под Windows. Там уязвимость получила идентификатор CVE-2025-2857.
В исследовании компании Qualys предложены новые способы локального повышения привилегий в Ubuntu Linux версий 23.10 и 24.04. В развернутом ответе от разработчиков Ubuntu говорится о том, что эти методы обхода системы AppArmor User Namespace Restriction нельзя считать уязвимостями, и предлагаются методы усиления защиты, если это необходимо.
