Привет в 2026-м с традиционным ИБ‑дайджестом от «СёрчИнформ»: собрали инциденты за декабрь‑январь, которые зацепили нас больше всего. В подборке: инсайдер скидывает концы в воду, банковские служащие кооперируются с хакерами, а техногигант судится за «бизнес на бумаге».

Без срока годности

Что случилось: прокуратура Южной Кореи обвинила бывших сотрудников Samsung в утечке инновационной технологии производства оперативной памяти (DRAM).

Как это произошло: сразу после основания в 2016 году компания ChangXin Memory Technologies (CXMT), производитель DRAM‑чипов, переманила часть персонала Samsung Electronics. Экс‑сотрудники конкурента отвечали за разработку прорывной «оперативки» на 10-нанометровом техпроцессе. Samsung сделали ее первыми в мире, инвестировав около 1,6 триллиона корейских вон.

В итоге CXMT стала первой в Китае (и четвертой в мире) компанией, которая наладила производство DRAM 10-нанометрового класса, и почти сразу заняла ~15% мирового рынка оперативной памяти.

Спустя почти 10 лет, в январе 2024, Прокуратура Южной Кореи обнаружила доказательства утечки ключевых DRAM‑технологий Samsung и начала расследование. Оно показало, что бывшие сотрудники техногиганта систематически передавали технологии в CXMT. Например, один из работников переписал около 600 этапов производственного процесса на 12 листов бумаги. Он полагал, что попадется службе ИБ, если просто скопирует файлы на флешку или сфотографирует на телефон.

Следствие считает, что злоумышленники, чтобы не попасться правоохранителям, использовали подставные компании, а вся коммуникация велась с применением криптографии повышенной стойкости. Но это не помогло, и в декабре 2025-го Прокуратура предъявила обвинения пяти бывшим сотрудникам Samsung. Что им грозит, пока не ясно, но поскольку украденные данные относятся к особо защищаемым, а местами даже к гостайне, то точно можно сказать: наказание будет серьезным.

Концы в воду

Что случилось: бывший сотрудник корейской компании, обвиняемый в краже данных, попытался избавиться от улик — и нестандартно (или как посмотреть) подошел к решению проблемы.

Как это произошло: в конце 2025 года корейский интернет‑магазин Coupang обнаружил несанкционированный доступ к своей инфраструктуре. Неизвестные получили имена, номера телефонов, адреса электронных почт и другую информацию 33,7 млн клиентов компании. Финансовые данные, например, номера кредитных карт, не пострадали.

В Coupang подтвердили утечку, сообщили о ней в правоохранительные органы и совместно с Mandiant, Palo Alto Networks и Ernst & Young приступили к расследованию. Спустя полмесяца специалисты нашли потенциального преступника, получили от него показания, сопоставили с имеющимися данными и составили хронологию инцидента.

Злоумышленником оказался бывший сотрудник Coupang. После увольнения он прихватил с собой внутренний ключ безопасности, с помощью которого получил доступ к данным миллионов клиентов. Однако на свои личные устройства он скачал информацию только из 3 тыс. аккаунтов и якобы никому ее не передавал.

Далее, когда в СМИ запестрели заголовки об утечке, инсайдер запаниковал и попытался уничтожить улики. Он удалил данные с личного ПК и MacBook. А ноутбук, вдобавок, разбил, положил в сумку вместе с кирпичами и бросил в ближайшую реку.

Правда, перестраховка не помогла. Когда к нему пришли полицейские и настало время давать показания, он сам во всем признался и предоставил оставшиеся в ПК жесткие диски. На них нашли скрипт, который использовался для атаки, а серийный номер iCloud в утопленном ноутбуке совпадал с серийником в аккаунте преступника.

Несмотря на то, что пострадали данные только 3 тыс. аккаунтов, Coupang анонсировали выдачу подарочных купонов всем 33,7 млн клиентов в качестве извинений. Такая акция, по подсчетам компании, обойдется в более чем 1,5 триллиона корейских вон.

Вскрываемся

Что случилось: американская госслужба случайно разместила данные 700 тыс. своих сограждан в открытом доступе.

Как это произошло: в конце 2025 года департамент социальных служб штата Иллинойс (IDHS) обнаружил утечку данных из‑за неправильных настроек конфиденциальности веб‑сайта. Там хранились карты внутреннего планирования (internal planning maps): они состоят из различных данных американцев, на основе которых департамент принимает решения о распределении ресурсов.

Чуть больше 32 тыс. карт находились в открытом доступе с 2021 по 2025 год. Они включали в себя имена, адреса, номера и статусы медицинских дел и так далее Другие 600 тыс. карт состояли из адресов, демографических данных и названия программ медицинской помощи, которые люди получали от IDHS. Они также находились в открытом доступе, но уже с 2022 по 2025-й.

На данный момент доступ к этим данным ограничен, но сайт, на котором они хранились, никак не регистрировал обращения к информации. Поэтому достоверно сказать, получил ли кто‑то неправомерный доступ к картам планирования — нельзя.

В соответствии с законом, IDHS уведомили регуляторов и разместили информацию об инциденте на своем сайте 2 января.

Лишнее звено

Что случилось: работники индийских банков помогали киберпреступникам отмывать деньги.

Как это произошло: по всему миру кибермошенники используют дропов, чтобы отмывать деньги. Но в Индии пошли дальше: в последнее время там набрала обороты схема, когда мошенники напрямую обращаются к работникам банков, чтобы создавать «липовые» счета.

Такой случай 24 декабря 2025 года обнаружило Центральное бюро расследований Индии и арестовало двух подозреваемых. Злоумышленники использовали персональные данные клиентов из банковской информсистемы, чтобы создавать фиктивные счета и проводить с их помощью нужные мошенникам транзакции. Также работники помогали киберпреступникам избегать антифрода.

Например, антифрод считает попытку открытия счета по документам другого человека мошенническим действием. По правилам банка такое делать нельзя, но некоторые работники игнорировали предупреждение системы, и создавали счета без личного присутствия предполагаемого владельца или подтверждения личности заявителя.

Пока что Центральное бюро разбирается с масштабом схемы и устанавливает «заказчиков». Предполагается, что случай не единичный — сколько банковских служащих вовлечены и о каких оборотах идет речь, еще предстоит разобраться.

Тоже так могу

Что случилось: правительство США обвиняет бывшего сотрудника Google в краже ИИ‑секретов.

Как это произошло: в марте 2024 года власти США арестовали экс‑сотрудника Google по подозрению в краже коммерческой тайны. Программист Линьвэй Дин устроился в техногигант в 2019 году. Сторона обвинения считает, что Дин в период с мая 2022 года по май 2023 года скопировал как минимум 105 документов с информацией о передовом ИИ Google. Для этого он копипастил строки из документации, используя рабочий ноутбук, в приложение для заметок, конвертировал их в PDF и загружал в личное облако.

Также известно, что в 2022 году он тайно стал техническим директором китайской компании Rongshu, а весной следующего года основал ИИ‑стартап. При этом на презентации компании для инвесторов Дин сообщил, что у него есть опыт работы с ИИ‑платформой Google и он может воспроизвести и модернизировать ее. Немногим после того, как корпорация узнала о «боковике» программиста‑стартапера, она попрощалась с сотрудником и отключила его от своей сети.

Спустя почти два года после ареста дело Дина наконец дошло до суда, и 12 января 2026 года сторона защиты сделала первое заявление. Адвокат Дина подтвердила, что программист действительно делал много личных заметок. Но у стороны обвинения якобы нет доказательств того, что информация в них составляет коммерческую тайну. Все что у них есть — подозрения, что заметки связаны с началом бизнеса в Китае. Тем более, этот бизнес «существует только на бумаге».

Также защита подчеркнула, что если информация, скопированная Дином, являлась защищаемой, то Google не приняла разумных мер по обеспечению мер ИБ. Ведь для работы и создания заметок сотрудник использовал выданный компанией ноутбук. И более чем за четыре года работы программист не получил ни одного предписания о нарушении со стороны службы ИБ.

Скрытый текст

Кстати, вот вам немного полезных материалов, чтоб не повторить оплошность Google. Делимся чек‑листами: как собрать и оформить доказательства утечки и как расстаться с инсайдером по букве закона.

В общем, дело только набирает обороты, но если Дина признают виновным, ему грозит до 15 лет лишения свободы и штраф в $5 млн за каждое нарушение, связанное с коммерческим шпионажем.

Игры кончились

Что случилось: два крупных многопользовательских шутера стали жертвами хакерских атак.

Как это произошло: в декабре 2025-го и январе 2026 года произошло два схожих ИБ‑инцидента, в центре которых — компьютерные игры: Rainbow Six Siege (R6) и Apex Legends.

В конце 2025-го злоумышленники получили доступ к серверам R6 и устроили хаос: стали рандомно банить и разбанивать игроков, вмешиваться в работу модерации, а также раздали всем пользователям 2 млрд единиц платной внутриигровой валюты.

27 декабря разработчики подтвердили атаку и временно отключили сервера, но уже через два дня игра снова стала доступна. Ubisoft оказались не в восторге от использования «робин‑гудской» валюты и откатили большинство покупок с ее участием.

В случае с Apex Legends хакеры не могли банить игроков или бесплатно раздавать валюту. Зато перехватывали персонажа игрока под удаленный контроль и вели его к краю карты. Разработчики исправили проблему на следующий день и написали, что всему виной читеры. Но в игровом сообществе думают, что все не так просто: никнейм у некоторых похищенных персонажей менялся на «RSPN Admin». Это может говорить о том, что кто‑то получил админские привилегии на отладочном сервере игры.