(не) Безопасный дайджест New Year Edition: гаджеты-ябеды, утечки персданных и уличная социнженерия
Весь год хакеры взламывали компании, сотрудники то и дело становились инсайдерами, а СМИ пестрили очередными новостями о масштабных утечках. В канун Нового года и Рождества мы попросили нашего начИБ Алексея Дрозда (aka @labyrinth) поделиться его личным топом инцидентов, которые особенно запомнились в 2022 году.
Все карты на стол…и данные, тоже
Что случилось: Apple, Meta* и Discord передали хакерам конфиденциальные данные пользователей.
Как это произошло: по информации Bloomberg, компании Apple, Meta* и Discord предоставили информацию о клиентах киберпреступникам, которые выдавали себя за сотрудников правоохранительных органов. Apple и Meta* любезно поделились с хакерами такими данными о пользователях, как: адреса, номера телефонов и IP-адреса. Киберэксперты утверждают, что хакеры использовали полученную информацию для шантажа и финансовых махинаций.
Вызывало удивление, почему компании предоставили личную информацию о пользователях, ведь обычно запросы от правоохранительных органов подкрепляются ордером на обыск или повесткой в суд, подписанной судьей. Но оказалось, что в некоторых случаях злоумышленники использовали поддельные подписи реальных сотрудников органов.
Представитель Meta* заявил, что компания проверяет каждый запрос данных своих пользователей и использует специальные системы для выявления поддельных запросов. Руководители Discord также рассказали, что процесс проверки подтвердил, что учетная запись правоохранительных органов была настоящей (не уточняется, через какую систему пришел запрос), только позже выяснилось, что учетку взломали. Компании не раскрывают информацию о том, сколько клиентов пострадало в результате инцидента.
@labyrinth : «Новость интересна тем, что напоминает, насколько может быть «глубока кроличья нора». Непрозрачные и, порой, тайные механизмы цензуры\модерации\передачи информации, тесные связи соцсетей с силовыми ведомствами и т.п. Возможно, это отрезвит некоторых пользователей, думающих, что соцсети — это их друзья».
По данным издания Forbes правоохранительные органы стали чаще использовать технологии для слежки. Например, служба таможенного контроля использует функционал инструментов под названием iVe от компании автомобильной криминалистики Berla. Эти инструменты включают в себя мобильное приложение для идентификации автомобиля, а также специализированное ПО, которое собирает данные и подключается к медиасистемам. Правозащитники заявляют, что автомобили хранят данные о пассажирах, которые без труда может извлечь полиция.
Киберкарманник
Что случилось: женщина помогла потерявшемуся подростку и лишилась почти 4 тысяч долларов.
Как это произошло: жительница США выгуливала собаку, когда, по ее словам, к ней за помощью обратился ребенок лет 12. Подросток пояснил, что потерялся и не может связаться со своей семьей и друзьями, потому что его телефон разрядился. Женщина, недолго думая, передала маленькому мошеннику свой телефон, чтобы тот мог связаться с друзьями. Подросток позвонил кому-то по громкой связи, а затем спросил у женщины разрешения открыть на ее смартфоне приложение с картами, чтобы уточнить местоположение своих друзей. Уже на следующий день женщина получила уведомление от банка о двух списаниях с ее карты на общую сумму 3,8 тысячи долларов. Оказалось, что злоумышленник пытался снять деньги с помощью цифрового кошелька Venmo. Позже платежный сервис вернул средства на счет пострадавшей, однако заблокировал к ним доступ до завершения расследования. В Venmo подтвердили, что счет, на который пытались перевести деньги женщины, был открыт всего за 30 минут до того, как она встретила подростка на улице.
Представители Venmo сообщили, что они изучили инцидент и разрешили ситуацию. Они также добавили, что знают об этом типе мошенничества, но пока не наблюдают его массового использования. Компания заявила, что у клиентов есть несколько вариантов повышения безопасности своих учетных записей — использование Touch ID и PIN-кода, а также двухфакторной аутентификации.
@labyrinth: «Новость в очередной раз показывает, что человеку сложно принять новую реальность: в руках у него не телефон, который еще и в Интернет выходить умеет, а мощный компьютер, который может в том числе и звонить. Следовательно, меры предосторожности необходимо предпринимать, как для компьютера. Еще один показательный момент: возраст нарушителя. «Хакер» может быть любого возраста».
Понять, простить и компенсировать
Что случилось: сотрудник доставки «Яндекс.Еда» слил в открытый доступ информацию о клиентах и их заказах. Предположительно утекло несколько миллионов строк с данными.
Как это произошло: в марте сотрудники ИБ-отдела «Яндекс.Еды» обнаружили, что из-за действий инсайдера произошла утечка данных пользователей. В открытом доступе оказались имена (как они указаны в профиле сервиса), телефонные номера клиентов из РФ, Беларуси и Казахстана, а также адреса, комментарии и даты заказов. Виновником инцидента оказался сотрудник компании. После внутреннего расследования сервис ужесточил подход к защите данных. Известно, что после этого сотрудникам запретили обрабатывать вручную информацию о заказах. «Яндекс Еда» извинилась перед пользователями, которые пострадали в результате действий инсайдера. Но этим дело не кончилось.
В конце марта по telegram-каналам разлетелась ссылка, которая вела на сайт с интерактивной картой. Неизвестные визуализировали личные данные клиентов сервиса так, что можно было посмотреть имя, номер телефона, адрес и даже общую сумму заказов. Сервис «Яндекс.Еда» новую утечку не подтвердил, сославшись на то, что хакеры визуализировали данные из февральского слива.
В апреле 20 пострадавших пользователей решили подать коллективный иск на сервис. Они просили компенсацию в размере 100 тысяч рублей. В ноябре стало известно, что суд Москвы частично удовлетворил иски заявителей. В итоге 13 пострадавших получили компенсацию в размере 5 тысяч рублей, другие 7 исков суд отклонил.
@labyrinth: «Появление карты, визуализирующей слитые личные данные, — это важный социальный аспект. Не помню, чтобы какие-либо предыдущие публикации данных вызывали такой обширный отклик, как эта user friendly утечка. Хакеры дали простым пользователям готовый, и что более важно, простой в использовании инструмент OSINT: одни смогли обнаружить «похождения» своих вторых половинок, другим было интересно, что заказывают чиновники, а третьи пожаловались на то, что общая сумма, потраченная на заказы, огорчила их гораздо больше, чем утечка. Этот инцидент привел к тому, что уже на государственном уровне не только «озаботились», но и начали активнее действовать в направлении ужесточения наказания за утечки ПД в виде оборотных штрафов, а в декабре — даже введения уголовной ответственности. Посмотрим, к чему придут в итоге».
UPD. В подкасте Сергея Мезенцева на YouTube директор по безопасности компании «Яндекс» представил другую версию. По его словам злоумышленники взломали внешний хостинг, на котором располагались виртуальные машины сервиса. В пресс-службе сервиса сообщили, что «Яндекс.Еда» признана потерпевшей по делу об утечке данных клиентов.
«Тайная» переписка
Что случилось: скриншоты из CRM-системы маркетплейса Ozon оказались в открытом доступе.
Как это произошло: в официальном заявлении для СМИ компания подтвердила утечку внутренней информации и представила общественности виновника инцидента — недобросовестного сотрудника техподдержки. Оказалось, что все скрины с информацией о клиентах маркетплейса делались на протяжении месяца из аккаунта одного и того же пользователя. Также представители Ozon заявили, что в скриншотах не содержалось платежных данных и пообещали уволить инсайдера.
Интересно, что у операторов техподдержки Ozon есть доступ ко всей информации о заказах, такой как контактные данные клиентов и адреса доставки. Из дополнительных данных, которые им доступны: способ заказа (сайт, мобильное приложение), просьбы по упаковке товаров, стоимость заказа и способ оплаты. Представители Ozon заявили, что в скриншотах не содержалось платежных данных и пообещали уволить инсайдера. Но даже та информация, которая все же попала в утечку может представлять интерес для социнженеров.
@labyrinth : «Иногда для выполнения своих задач сотрудникам нужно меньше данных, чем работодатель готов предоставить. Но часто руководству «затратно» перестраивать уже существующие бизнес-процессы и решать проблемы с избыточными правами. При этом проблема «супер-пользователей» часто дает о себе знать. Например, в 2021 году Яндекс рассказал, что системный администратор с «высоким уровнем доступа» продавал доступы к почтовым ящикам. В итоге больше 4 тысяч почтовых ящиков оказались скомпрометированы».
Зловредные дипфейки
Что случилось: женщина создала дипфейк, чтобы запугивать соперниц из группы поддержки своей дочери.
Как это произошло: 50-летней Раффаэле предъявили обвинение в киберпреследовании. Оказалось, что женщина анонимно отправляла тренерам видео, на котором участницы группы поддержки были изображены в непристойном виде, курили и пили. Делала она этой в надежде, что девочек заставят покинуть группу. Также Раффаэла отправляла жуткие видео и самим участницам, призывая их покончить с собой. В итоге родители одной из жертв обратились в полицию. Семья была обеспокоена тем, что такие фотографии и видео могут привести к исключению дочери из Victory Vipers. В ходе расследования полиция заявила, что еще две семьи заявили о том, что их дочери получали подобные сообщения с неизвестного номера. В полиции отследили IP-адрес, с которого были отправлены анонимные сообщения и вышли на Раффаэлу Споне.
Еще один инцидент, связанный с дипфейками, произошел с исполнительным директором Binance. Директор по связям с общественностью крупнейшей в мире криптовалютной биржи Патрик Хиллманн утверждает, что мошенники создали его дипфейк и использовали его для видеозвонков в Zoom. В заявлении руководства биржи говорится о том, что как минимум четырем представителям партнерских криптовалютных проектов звонил некто, представлявшийся или выглядевший как Хиллманн.
@labyrinth: «Чем это интересно? В первую очередь, иллюстрацией того, что будет, если качественный, простой и бесплатный инструмент для создания подделок появится, а ответственность нет. Не только западные компании обеспокоены проблемой дипфейков. Российские банки планируют провести эксперимент по использованию видеозвонков для удаленного открытия счетов новым клиентам. При этом видео с клиентом изначально будет проверяться на программы для создания дипфейков. В целом дипфейки — это часть глобальной проблемы фейков. Известный физик Этьен Кляйн решил привлечь внимание общественности к вопросу, опубликовав на свой странице фото колбасы, выдав его за якобы сделанный космическим телескопом снимок».
Инсайдер или все-таки хакер?
Что случилось: отечественный видеохостинг Rutube пострадал от масштабной хакерской атаки.
Как это произошло: в начале мая 2022 года, в результате хакерской атаки на Rutube, пользователи на несколько дней потеряли доступ к сервису. Ответственность за атаку взяла на себя хак-группа Anonymous. Потом в интервью для СМИ один из бывших сотрудников компании признался, что еще в 2021 году во время тестовых кибератак было выявлено несколько уязвимостей в офисной инфраструктуре компании. Сотрудник считает, что во время майского инцидента кибератаке подверглись именно те офисные ресурсы, в которых ранее нашли уязвимости. Сотрудник предположил, что среди злоумышленников либо был инсайдер, либо кто-то посторонний получил доступ к технической документации и данным аудита. Rutube отрицает, что взлом платформы произошел из-за действий сотрудника. В 2022 году киберпреступники то и дело проверяли крупные российские организации на прочность, а кибератаки на КИИ стали более целенаправленными. Вспомнить хотя бы 1 сентября, когда хакеры организовали пробку из машин такси. Тогда в результате кибератаки на сервис «Яндекс.Такси» десятки водителей получили заказы на один адрес. Службе безопасности сервиса удалось оперативно остановить попытки искусственного скопления автомобилей.
@labyrinth: «Чем это интересно? Масштабом. Создается ощущение, что вскоре мы станем свидетелями еще одной операции «Олимпийские игры».
Гаджеты под колпаком
Что случилось: Google забанил учетку мужчины за то, что он сфотографировал гениталии сына, чтобы отправить фото врачу.
Как это произошло: Марк из Сан-Франциско заметил, что гениталии его сына опухли. Отвести ребенка в больницу он не мог из-за коронавирусных ограничений. Поэтому Марк решил назначить онлайн-встречу с врачом, а чтобы задокументировать проблему, сфотографировал ребенка. На одном из снимков, которые мужчина сделал для врача, была видна его рука. Затем жена Марка отправила фотографии на свой телефон и загрузила их в систему обмена сообщениями с поставщиком медицинских услуг. Врач установил диагноз, проконсультировал обеспокоенных родителей и выписал ребенку лекарства.
Спустя два дня Марку пришло уведомление о том, что его учетка заблокирована из-за «сексуального насилия над детьми». Марк предположил, что причиной блокировки стали фотографии его ребенка, которые алгоритмы Google отнесли к «опасному контенту». После этого мужчина заполнил заявку на восстановление учетки, но Google отказал ему без объяснения причин. В итоге из-за блокировки учетной записи мужчина потерял большую часть своей «цифровой жизни»: электронные письма, контакты, документы и тд. Марк даже не мог зайти в свои другие аккаунты, потому что ключи для их восстановления приходили в заблоченную почту на Gmail.
Google не только заблокировала учетку Марка, но еще и передала сведения о «детской порнографии» в Департамент полиции Сан-Франциско. Но следователи, тщательнее изучив дело, установили, что Марк невиновен.
@labyrinth: «Выводов здесь много лично для меня. И про «не клади все яйца в одну корзину»; и про «люди делятся на тех, кто уже делает бэкапы, и кто еще нет»; и про полезность аудита; и вновь про то, кто на самом деле является хозяином гаджетов и информации на них».
* — признана экстремистской организацией, ее деятельность в России запрещена