По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В июльской подборке: блюститель порядка украл биткоины у преступника, сотрудник ИТ-компании пошел на сомнительную сделку, а мстительный админ разгромил сеть работодателя.
Бразильская классика
Что случилось: хакеры похитили 140 миллионов долларов у бразильских банков, подкупив сотрудника финтех-провайдера C&M Software.
Как это произошло: компания C&M Software подключает небольшие финансовые учреждения, у которых нет собственной ИТ-инфраструктуры, к основным платежным системами Бразилии. В марте 2025 года злоумышленники связались с сотрудником ИТ-отдела C&M Software и предложили ему заработать на продаже данных. Сотрудник принял предложение и передал хакерам корпоративные учетные данные за 4,5 тысячи долларов.
30 июня злоумышленники получили полный контроль над инфраструктурой поставщика и системами, связанными с ключевыми бразильскими платежными ИТ-платформами. В результате атаки хакеры украли 140 миллионов долларов со счетов 6 организаций, которые пользовались услугами C&M Software. Инцидент обнаружили лишь 2-3 июля, тогда же правоохранители задержали сотрудника ИТ-отдела. К этому времени злоумышленники успели отмыть около 40 миллионов долларов. Бразильские власти заморозили 49 миллионов долларов и работают над поиском остальных активов.
В официальном заявлении C&M подтвердила, что инцидент произошел не из-за технической уязвимости, а в результате человеческой ошибки и социальной инженерии.
Это не глупость, это манифест!
Что случилось: мстительный ИТ-специалист разгромил сеть работодателя.
Как это произошло: Мохаммед Умар Тадж работал сисадмином в британской компании. В 2022 году его временно отстранили от работы за некий неназванный проступок. При этом оставили привилегированный доступ ко всем внутренним системам. Через несколько часов после отстранения Мохаммед начал мстить работодателю: поменял пароли и логины. Но этого ему оказалось недостаточно, поэтому спустя сутки Мохаммед вернулся в сети компании и перенастроил системы MFA.
Действия сисадмина привели к остановке работы компании и ее клиентов из других стран и финансовому ущербу в размере 200 тысяч долларов.
Доказать причастность Мохаммеда к атаке не составило большого труда: сисадмин логировал все действия, а также активно обсуждал атаку по телефону. В 2025 Мохаммед предстал перед судом и признал вину. Теперь бывший сисадмин проведет в тюрьме 7 месяцев.
А вдруг не заметят
Что случилось: сотрудник Национального агентства по борьбе с преступностью украл изъятые у злоумышленника биткоины.
Как это произошло: Пол Чоулз, сотрудник Национального агентства по борьбе с преступностью (NCA), в 2013 году участвовал в совместном расследовании NCA и ФБР. Целью операции был известный даркнет-наркоделец Томас Уайт, и она удалась: Уайта задержали и в апреле 2019 года приговорили к 64 месяцам тюремного заключения. В рамках операции у него изъяли 97 биткоинов, однако, пока он находился под следствием, кто-то вывел с его счета 50 биткоинов. Томас сообщил об этом полиции и предположил, что это может быть кто-то из NCA.
В ходе расследования офицеры обнаружили, что биткоины украл Чоулз еще в 2017 году. В течение следующих пяти лет он тратил деньги преступника в супермаркетах и хозяйственных магазинах (а где же еще). Следователи выявили сотни транзакций по дебетовым картам. В офисе Чоулза полиция обнаружила несколько блокнотов с именами пользователей, паролями и выписками, связанными с криптовалютными счетами Уайта. Экс-сотрудник NCA признал вину и в этом июле был приговорен судом к пяти с половиной годам лишения свободы (кстати, срок на три месяца больше, чем у Уайта).
На момент кражи первоначальная стоимость биткоинов составляла около 60 000 фунтов стерлингов, но за то время, пока Чоулз их тратил, стоимость резко выросла. На момент вынесения приговора полиция заявила, что украденные 50 биткоинов выросли в цене и теперь стоят около 4,4 млн фунтов стерлингов.
Сами виноваты
Что случилось: менеджер компании по торговле промышленным оборудованием основал «боковичок», вынес базу клиентов и поставщиков своего работодателя и остался безнаказанным.
Как это произошло: наш герой устроился в компанию, хотя у него уже была своя – логистическая. На новом месте в его обязанности входило взаимодействие с клиентами и поставщиками из Китая, участие в тендерах и выстраивание логистики. В должности менеджера у него был доступ к коммерческой тайне: контактам поставщиков из Китая, сотрудников организаций-клиентов, чертежам и др. Известно, что менеджер общался с контрагентами через WeChat.
Вникнув в суть работы, сотрудник решил перепрофилировать свою компанию в прямого конкурента работодателя. После этого он использовал данные о клиентах и поставщиках работодателя, чтобы «переманить» контрагентов на более выгодных условиях. В судебных актах не уточняется, как именно сотрудник сохранил себе конфиденциальную информацию, но, судя по обстоятельствам дела, он мог скачать данные из мессенджера.
Обманутый работодатель обратился в ФАС с заявлением о недобросовестной конкуренции и неправомерном использовании комтайны. Регулятор удовлетворил заявление, но экс-сотрудник обжаловал его решение в суде.
Суд определил, что компания-работодатель недостаточно четко определила виды сведений, составляющих комтайну, и не регламентировала допустимые способы ее передачи. Таким образом, не приняла должных мер по ее защите. Решение УФАС было отменено. Так что никакого хэппи-энда: предприимчивый менеджер не понес ответственности за свои действия, как и его «боковик».
P.S Чтоб такого не случилось с вами, рекомендуем заранее удостовериться, что режим КТ введен у вас введен правильно и работает эффективно. Как это сделать, рассказали в чек-листе.
Переговорщик с выгодой
Что случилось: сотрудника компании, специализирующейся на переговорах с хакерами-вымогателями, обвиняют в получении выплат от злоумышленников.
Как это произошло: по данным издания Bloomberg, Министерство юстиции США проводит расследование в отношении экс-сотрудника DigitalMint. Эта ИТ-компания основана в 2014 году и специализируется на расследовании кибератак и переговорах с вымогателями. А ее сотрудник, как выяснилось, предположительно заключал сделки, чтобы получать от хакеров часть выкупов от пострадавших компаний.
В DigitalMint подтвердили, что один из сотрудников стал фигурантом расследования и был немедленно уволен. Теперь экс-переговорщика DigitalMint обвиняют в сотрудничестве с преступными хакерскими группировками. Скандал вокруг DigitalMint привел к тому, что некоторые компании рекомендовали клиентам временно отказаться от ее услуг.
Зачем усложнять
Что случилось: уязвимость ИИ-бота для найма сотрудников McDonald's раскрыла данные миллионов соискателей.
Как это произошло: киберэксперты Иэн Кэрролл и Сэм Карри сообщили, что нашли способы взломать платформу чат-бота, созданного компанией Paradox.ai. Этим чат-ботом пользуется McDonald's для найма сотрудников в США. Процедура сводится к тому, что желающие работать в ресторанах сети должны подать заявку в чат-бот Olivia, который проверяет кандидатов, запрашивает их контактную информацию и резюме, направляет на тест.
Киберэксперты обнаружили уязвимость, благодаря которой любой пользователь мог получить доступ к записям всех переписок соискателей с ИИ-рекрутером. Оказалось, что доступ к платформе был «защищен» паролем «123456». Кроме того, исследователи обнаружили уязвимость, которая позволяла получить доступ к любым чатам и контактам всех кандидатов, контактировавших с Olivia. Киберэксперты получили доступ 64 миллионам записей, среди которых были имена, адреса электронной почты и номера телефонов кандидатов. По словам Иена Кэррола, это удалось ему всего за полчаса.
В McDonald's отреагировали на инцидент и заявили, что разочарованы в Paradox.ai, а также требуют от поставщика услуг соблюдения стандартов защиты данных.
Компания Paradox.ai признала и оперативно устранила уязвимости, отключила слабые учетные данные и закрыла доступ к API. В компании отметили, что лишь пять записей, к которым получили доступ исследователи, содержала персональные данные. А учетная запись администратора с дефолтным паролем «123456» не была доступна третьим лицам (конечно, кроме Кэрролла и Карри).
Мастер своего дела
Что случилось: индийский ИТ-специалист устроился в 80 компаний, чтобы ничего не делать.
Как это произошло: индийский ИТ-специалист Сохам Парекх за 4 года прошел собеседования в 80 компаний, однако ни в одной не выполнял свои задачи. После того, как его увольняли за безделье, он находил новую «работу». Профит заключался в том, что везде он успевал получать зарплату, и весьма неплохую.
Махинации ИТ-специалиста раскрылись после того, как его уволили из стартапа Playground AI. Основатель стартапа разместил у себя в соцсетях пост, в котором предупредил другие компании не нанимать на работу недобросовестного ИТ-специалиста. Бывший работодатель также рассказал, что Сохам работал у него в течение недели, однако потом вскрылась информация о том, что он одновременно был трудоустроен еще в нескольких местах. Также он заявил, что резюме Сохама на 90% состоит из вранья. Например, известно, что в резюме в разделе «Предыдущие работодатели» он указал такие компании, как Dynamo AI, Union AI, Synthesia и Alan AI.
Пост вызвал «бум» – многие компании узнали в разоблаченном программисте своего бывшего или даже нынешнего сотрудника. Некоторые работодатели решили тоже поделиться печальным опытом найма Сохама. Основатель Lindy заявил, что Парекху удалось произвести хорошее впечатление на собеседовании, однако спустя неделю его уволили. Генеральный директор компании Fleet AI рассказал, что его команда также сталкивалась с индийским ИТ-специалистом, и заявил, что Сохам промышляет подобным уже несколько лет. Глава Antimetal также прокомментировал ситуацию. Он назвал трудоустройство Сохама своеобразным «посвящением» для любой крупной компании. Однако к спору присоединились пользователи, которые утверждали, что лично работали с Сохамом Парекхом и были впечатлены его знаниями и скоростью выполнения сложнейших задач.
Парекх не стал отмалчиваться и заявил, что почти все обвинения в его сторону правдивы. Он действительно одновременно работал во многих компаниях и не гордится этим. ИТ-специалист пошел на это из-за финансовых обстоятельств: "Никому не нравится работать по 140 часов в неделю, но мне пришлось это делать по необходимости".
Также известно, что Парекх лично связался с основателем Playground AI, который первым пролил свет на его махинации. Он выразил сожаление и попросил совета, как ему улучшить свое положение. Даже интересно, что ему посоветовали…
