Российский разработчик средств защиты информации «ИнфоТеКС» подтвердил утечку данных о пользователях своего сайта infotecs.ru.
20 мая около 19:00 в телеграмм-канале «Утечки информации» была опубликована информация о появлении в открытом доступе данных, полученных, предположительно, из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключён личный кабинет (ЛК) пользователей сайта infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.
В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании «Перспективный мониторинг» (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).
Проверка подтвердила факт утечки базы данных с учётными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учётных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп.
В настоящее время идёт очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.
Также расследование установило, что сервисы сайта «ИнфоТеКС» (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учётные записи сервисов сайта хранятся в других базах и не были скомпрометированы.
Всё программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищённые SSL/TLS-соединения.
Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.
Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу ещё ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передаёт третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учётных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.
Мы настоятельно рекомендуем зарегистрированным пользователям сайта infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учётных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учётных записях, не дожидаясь запуска в работу ЛК.
В «ИнфоТеКС» пояснили, что компания со всей ответственностью относится к произошедшему инциденту и предпринимает все возможные усилия для успешного завершения расследования и установления причин произошедшей утечке.
20 мая 2023 года в открытый доступ попал SQL-дамп из CMS Bitrix с частичной базой данных зарегистрированных пользователей сайта infotecs.ru, принадлежащего российской ИБ-компании «ИнфоТеКС».
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованном файле размером около 9 МБ содержится 60 911 строк с данными пользователей, включая:
логин в системе;
имя/фамилия;
адрес электронной почты (3093 адресов в домене infotecs.ru);
номер телефона (не для всех строк, 7 614 номеров);
хешированный пароль;
место работы, должность (не для всех);
дата регистрации и последней активности (с 24.03.2010 по 24.04.2023).
После публикации информации об утечке сайт компании перестал работать.
