Задержан подозреваемый в глобальной утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года

    Пример визуализации похищенных данных.

    Согласно информации издания РБК, следственными органами Московского межрегионального следственного управления на транспорте СК России при содействии управления «К» МВД и службы безопасности ОАО «Российские железные дороги» удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. На данный момент молодому человеку предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).

    В ходе расследования было установлено, что в июне 2019 года молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации. Для удаленной авторизации на ресурсах ОАО «РЖД» злоумышленник использовал незаконно добытые им учетные записи двух пользователей работников ОАО «РЖД», имена этих сотрудников и способ получения их учетных записей не разглашены.

    После того, как злоумышленник заходил под аккаунтами сотрудников внутрь корпоративной сети, за некоторое продолжительное время он совершил незаконное копирование нескольких сотен тысяч фотографий и сведений о работниках ОАО «РЖД», являющихся персональными данными. Позже эта информация была сгруппирована в единую базу данных и опубликована в открытом доступе в сети интернет на одном из интернет-ресурсов, хостинг которого расположен в Федеративной Республике Германия. Тем самым, по словам из заявления следственного коммитета РФ, был нанесен существенный вред законным интересам государства и общества.

    В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»).

    На сайте, который через несколько часов после публикации данной информации стал недоступен, была надпись: «Спасибо ОАО „РЖД“ за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». После опубликования данной информации представитель ОАО «РЖД» сообщил, что компания начала внутреннюю проверку и собирает материалы по этому инциденту для передачи правоохранительным органам, также в ОАО «РЖД» отметили, что данные о пассажирах и их заказах в эту утечку не попали. Тогда жа в следственном комитете уточнили, что утечка данных сотрудников ОАО «РЖД» произошла из-за несанкционированного проникновения на серверы компании, не предоставив больше дополнительной информации об этом происшествии.

    И вот, спустя три месяца появилась официальная информация о ходе расследования, в которой сообщается о задержании подозреваемого в утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года. «Молодой человек признал вину в совершении указанной кибератаки на внутренние ресурсы ОАО «РЖД». В настоящее время следствием продолжается сбор доказательственной базы, расследование уголовного дела продолжается», — заявили представители следственного комитета. Небольшой видеоролик с задержанным можно посмотреть тут. В этом видео злоумышленник рассказывает, что не ожидал, что будет такой резонанс после опубликования данных в сети. Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.


    Задержанный молодой человек. Источник: СК России.

    Вдобавок было дополнительно сообщено, что задержанный злоумышленник по своей специализации является хорошо подготовленным IT-специалистом, он использовал девяносто шесть уникальных IP-адресов при совершении своей удаленной атаки на ресурсы ОАО «РЖД». Каждая из вменяемых молодому человеку статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации) предусматривает наказание в виде лишения свободы на срок до двух лет.

    «Подозреваемого удалось обнаружить благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям во взаимодействии со службой безопасности ОАО „РЖД“ и управления „К“ МВД», — подытожили представители следственного комитета.

    В ОАО «РЖД» также подтвердили факт расследования. «В компании усилен контроль за соблюдением защиты информационных систем, прорабатываются дополнительные технические и организационные мероприятия по повышению уровня информационной безопасности», — дополнительно сообщил представитель ОАО «РЖД».

    В ноябре 2019 года ОАО «РЖД» проводило другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».

    15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

    А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что не выявили серьезных уязвимостей при проверке мультимедийного портала поезда «Сапсан».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 45

      0

      Жаль, что нет технических подробностей, как вышли на злоумышленника. От того и оценить уровень сложности проделанной отделом К работы не получится.

        +9

        Я думаю было примерно так — вяли за жабры того под чьим логином качалась информация, дальше пробито окружение.

        +2

        Непонятно при чем тут статья 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", если выложены были персональные данные работников. Или для ОАО РЖД персональные данные работников имеют коммерческую ценность?
        Кстати, часть 1 статьи 183 — только собирание сведений, без разглашения!

          +2

          ИНН и СНИЛС тысяч людей с привязкой к персональным данным я думаю попадают и под налоговую и под банковскую. К тожу же за персональные данные тоже есть отдельная ответственность.

            0
            Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, следственными органами, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, плательщике страховых взносов.
            Банковская тайна: Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

            К тожу же за персональные данные тоже есть отдельная ответственность.

            Увы, нет. Есть универсальная 272-я УК РФ «Неправомерный доступ к компьютерной информации».
          +2
          Ни в коем случае не оправдывая того мудака, всё же отмечу — я почти уверен, что он ничего не хакал, а просто вынес то, что валялось на какой-нибудь бухгалтерии или отделе кадров в свободном доступе.
            +7

            Безусловно. Но если вы видите, что в квартире на окнах нет решёток, а дверь оказалась не закрыта — это ещё не повод выносить из квартиры телевизор, согласитесь.

              0
              В США как то судили учительницу, за то что не блокировала телефон паролем/отпечатком.
              Ученик взял телефон нашёл интересные фотки и разослал их.
              Чем правда закончилось не помню.
                0

                теперь, как минимум не учительница, а дальше не помню

                +4
                Не повод. Увы, но без таких проишествий данные так и будут дальше валяться фактически в открытом доступе. Сотрудников, пассажиров…
                А учитывая «особенности» нашей страны — просто обнаружить и передать хозяевам — в лучшем случае молча прикроют конкретную проблему без планирования системы по международным нормам — всяким HIPAA, PCI DSS и подобным, это не принесёт денег же, а в худшем ещё и посадят.
                Ну и что, что можно сотней методов украсть эти данные и продавать их всем подряд, подход роспозора показывает всю политику страны — если проблему спрятать, её больше нет.
                Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.

                И очень неприятный пример. Представьте что у вас в городе начали воровать детей. Но вместо предупреждения граждан по всем каналам для повышения бдительности — все такие случаи будут засекречивать, всех кто посмеет что-то рассказывать — сажать в тюрьму, в сми будет полная тишина. При этом для поимки ничего делаться не будет, вдруг народ что-то заподозрит. Именно этим сейчас и занимается роспозор.
                  +6
                  Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.
                  Крупный скандал? Для 95% жителей страны (давайте предположим, что все жители прочли эту статью) все выглядит хорошо: какой-то дятел похулиганил, органы его обнаружили «благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям», дятлу светят несколько лет. Данные наверняка вернут обратно.

                  Это не скандал, это подвиг МВД.
                    0
                    Тем не менее, внутри компании меры скорее всего тоже будут приняты. А при хоть немного адекватном руководстве — внутреннее расследование по уязвимости будут проведены, и отдельные руководители могут быть наказаны, может понижением в должности или переводом в другой отдел, но совсем бесследно не пройдёт. Хотя не скажу именно про ржд, но я слышал что например запись в школы через сайт госуслуг несколько лет подряд не работала в день Х, и там сменили руководство отдела.
                    0

                    Все эти международные нормы, к сожалению, есть, по большей части, средство перекладывания ответственности и прикрытия своих мягких частей тела, а не обеспечения безопасности — см. Equifax и им подобные случаи. Такой же бардак, только дороже. Компетентных специалистов ничто не заменит.

                      0
                      Там прописаны в том числе нормы по строению баз и разграничению доступов, как удалённо, так и физически, аудитам. Отдельно таблица с параметрами номер-список, отдельно имя-номер… Даже тупое следование этим нормам уже существенно снижает риск серьёзных утечек и упрощает контроль доступа и анализ проишествий. Плюс это вектор специалистам, что нужно делать. Так что не могу сказать что это тупое прикрытие, хотя разумеется специалисты нужны.
                        +1

                        Я имею богатый опыт конкретно с HIPAA — там широчайший простор для технических реализаций (что и логично), главное там — распределение ответственности. Что уже не так и мало, но отнюдь не панацея. Насмотрелся я на формальный подход к этому, все по закону, притом утекает только так. Compliance != Security.

                          0
                          Я тоже по HIPAA больше года работаю. Думаете, от него нулевой эффект? Если нет — внедрять однозначно. Понятно что всегда можно накосячить, это не даёт 100% защиты. Но в целом ситуацию улучшает.
                          Согласны?
                            0

                            Ну вот в данном случае HIPAA вообще ничем не помог бы. Аудит помог бы увидеть, кто смотрел — и так увидели, со всеми бы тренинг провели, как надо жить — и тут наверняка провели, толку то. Был бы внешний аудит, на него можно спихнуть ответственность хотя бы репутационную, при этом ничто не мешает взять в аудиторы контору шараш-монтаж, которая теми же студентами укомплектована. Видел это все в реальности в США и Израиле. В итоге все пункты выполнены, мягкие места прикрыты, толку никакого.


                            Конечно, можно сделать по уму. Но HIPAA тут не при чем. Собственно меня зацепила фраза про защиту по международным стандартам — как будто эти самые стандарты сами по себе способны что-то защитить, либо наличие Заграничной Бумажки даёт какие-то плюсы. Не способны и не даёт. Проблемы решают люди, а не бумажки. Хотя бумажки могут умным людям помочь, спору нет.

                +2

                Блин, я уж подумал, что хакера из поезда таки задержали.

                  0
                  К сожалению, вполне могли задержать как раз его и повесить все нераскрытые дела.
                    –1

                    Двушка условно — это печально

                    –1
                    del
                      0

                      "… молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации."

                    +2
                    Робин гуд персональных данных! Отбирает данные у фсбшников, банкиров, кадровиков, других служб и отдает их обычным людям. Быть может так и рушится государственная монополия на данные и мы становимся чуть более равными.
                      +2
                      Халатность руководства, ит-подразделения, кадровой службы и прочих, вплоть до начальника этого соплежуя. Я бы на месте контролирующих органов, выписал РЖД штрафец на 10млн рублей, может это заставит их прикупить железок в серверную, по типу Кронос. Любите и дальше студентоту нанимать, а не бородатых 30-45 летних вменяемых сотрудников, пусть и не шарящих в последних веенях, но зато с головой на плечах.
                        +4
                        10 мало, это зп их топов. Чтобы они начали чесаться, лучше штрафануть лямов на 500, и если за 3 года не приведут безопасность к международным стандартам — лярдов 5 ещё.
                        Увы, это никому не нужно и такого в этой стране точно не будет.
                          +1
                          Ага. А потом дотации и прочие прелести. Сколько взяли помножили на 10 и вернули обратно.
                          UPD. Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления. И как раз на такие суммы.
                            0
                            Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления.
                            Отвественные люди вводят промежуточную должность, на неё переводят ответственность, и назначают зарплату выше среднего. Или создают проект «ИБ», при этом ответственным за ИБ (и последствия) назначается подчиненный. Или нанимают подрядчика, скидывая ответственность на него.
                              0

                              Так может так и надо делать? Он мозг склюет что надо делать выделять бюджет доносить до вышестоящего. Не каждый согласится себя подставить.

                                0
                                Не каждый согласится себя подставить

                                У нас дураков которые за 100 рублей клады разносят на сто лет вперед припасено. За возможностью поработать зицпредседателем, еще и на хорошем окладе — очередь выстроится и передерется
                                +1

                                Так может начать работать правоохранителям и все вот эти промежуточные должности определять и штафовать конкретных бенефициаров всего этого банкета?
                                Но для этого работать нужно, а не палки собирать.

                              0

                              Но платить будете вы, т.к. ржд — государенная де-факто.
                              Отличный план.

                            +1

                            Теперь из-за этого инцидента не работает my.rzd.ru. И непонятно будет ли дальше работать. А жаль, удобный по работе был ресурс.

                              0
                              … смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации

                              Надеюсь, не в сети Сапсана?
                                0
                                В президенты! Хотя не, он же вроде не украл их…
                                  +3
                                  Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.

                                  как феноменальная память у виновника, мельком глянуть и запомнить пароль вида jP@as;1Xdf$
                                    0
                                    Ему помогли вспомнить. ) Ну и на такой выборке данные могут и случайно совпасть.
                                      0
                                      А может там пароль вида 8-999-123-12-12
                                      (типа телефон, или день рождения). Тут хошь-нехошь придется про «бумажку» рассказывать, иначе совсем глупо
                                        0
                                        т.е. обладатель паспорта имеет настолько паршивую память, что неспособен запомнить легкий пароль? Да и не верится, что требования к паролю настолько занижены.
                                          0

                                          Не все пин 4х значный запоминают. А тут как я понял навязанный сервис. Как на него реагировать? Какой пароль ставить?

                                            +1
                                            Как ни странно, политика частой смены пароля ведёт к таким же результатам. Можно помнить 1 пароль на всё, можно потом его менять с привязкой на конкретный сервис (T00LateForCoffe@mailru) — сложный, цифры (0), большие-маленькие, спецсимволы, уникальный под каждый сервис, нужно знать логику формирования), но когда менять его надо каждый месяц — дальше появится или всегда одинаковая последовательность (1019 — ноябрь 19 года), а при «ваш пароль похож на прошлые» или принудительная выдача пароля — он БУДЕТ записан. И лежать под клавой/в паспорте/наклеен на монитор. Это неизбежность. С этим невозможно бороться, 90% людей уже 3-4 пароль не смогут запомнить. Поэтому и имеет смысл введения дополнительных факторов типа google auth или duo security, а для рабочих мест — карта плюс постоянный пароль, который пользователь сам придумал.
                                              0
                                              Не могу не вспомнить XKCD про «correct horse battery staple»
                                          0

                                          Не могу сказать, что у меня отличная память (хотя и не сильно жалуюсь), но этот пароль я запомнил сразу после прочтения комментария, а если утекший пароль был написан от руки, то для некоторых людей в этом будет ещё больше зацепок для запоминания.


                                          В этом плане радуют разные конторы (от театров до банков), которые оставляют в разных местах бумажки с паролями и данными сотрудников. При наличии времени (а его было много, пока я ждал менеджера в банке) запомнить ФИО и номер карты другого клиента было несложно.

                                          0
                                          там логином является СНИЛС
                                            –1

                                            Ерунда какая-то. Звучит как дурной детектив "Соблазнил главного бухгалтера Тамару Филипповну 1953-го года рождения с целью завладения её учётными данными для доступа..."


                                            Допустим, ладно, сотрудник хранит у себя в паспорте бумажку с паролем. Данные явно из отдела кадров или бухгалтерии. Дальше вопросы:


                                            • почему доступ сотрудников бухгалтерии организован по паролям, не по картам, например?
                                            • зачем к компам бухгалтерии есть вообще удалённый доступ?
                                            • причем удалённый доступ с произвольного адреса (..96 ip-адресов, да?)
                                            • почему нет аудита доступа к большому количеству записей с одного аккаунта сотрудника?

                                            Это какая то дыра в дыре...

                                              –1
                                              Лапша это все. В нормальной системе доступа к базе целиком нет ни у кого. Да и не нужен он никому. Доступ бывает к отделным записям и у начальников к отчетам.

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое