(Не) безопасный дайджест New Year Edition: презентация секретов, мстительные сотрудники и случайная утечка
Традиционно в канун Нового года и Рождества мы просим наших аналитиков поделиться самыми запоминающимися инцидентами уходящего года. Итак, в финальном дайджесте 2023 года рассказываем о краже корпоративных секретов, мнимых тружениках, утечке генетической информации и очень мстительных сотрудниках.
Презентация секретов
Что случилось: сотрудник Santa ClaraNVIDIA случайно показал исходный код с прошлого места работы во время видеоконференции с бывшими коллегами. Теперь компанию NVIDIA обвиняют в использовании украденной коммерческой тайны.
Как это произошло: в 2021 году разработчик Мохаммад Монируззамана уволился из немецкой компании Valeo Schalter und Sensoren и устроился в NVIDIA. Спустя год работы в NVIDIA у Мохаммада состоялся видеозвонок с бывшими коллегами из Valeo для обсуждения работы с общим клиентом. Звонок пошел не по плану: Мохаммад включил демонстрацию экрана, показал презентацию участникам конференции и после выступления забыл отключить демонстрацию. Мохаммад свернул презентацию, и все участники видеозвонка увидели содержимое его ПК. На экране осталось окно с исходным кодом Valeo и файлом под названием «ValeoDocs». Сотрудники Valeo узнали файл и успели сделать скриншоты экрана Мохаммада до того, как он успел отключить демонстрацию.
После этого инцидента в Valeo провели аудит и выяснили, что Мохаммад перед увольнением прихватил с собой учебную документацию и исходный код ПО для парковки и управления транспортом.
В своем иске компания Valeo заявила, что украденная информация была раскрыта другим разработчиками ПО NVIDIA. Представили Valeo считают, что их коммерческая тайна помогла NVIDIA ускорить разработку своего первого ПО для парковки, тем самым сэкономив компании миллионы долларов на разработку. В NVIDIA отказались комментировать иск. В письме, которое получили адвокаты Valeo, указано, что компания NVIDIA ничего не знала о действиях Мохаммада.
Слив на миллионы ДНК
Что случилось: хакер украл данные о происхождении 6.9 миллионов клиентов биотехнологической компании 23andMe.
Как это произошло: в начале октября пользователь одного из хакерских форумов заявил, что украл информацию о ДНК клиентов 23andMe. В качестве доказательства взлома злоумышленник опубликовал данные одного миллиона пользователей.
Представитель компании заявила, что хакеры получили доступ к личной информации около 5,5 миллионов человек, которые согласились на функцию DNA Relatives 23andMe. Эта функция позволяет пользователям делиться своими данными с другими пользователями. Известно, что хакер получил доступ к именам, датам рождения, информации о родстве и отчетам о происхождении.
В 23andMe заявили, что инцидент произошел из-за того, что пользователи повторно используют пароли, которые были раскрыты в результате утечек данных других компаний.
Безупречные бездельники
Что случилось: сотрудница три года получала зарплату в 16 компаниях, но так и не вышла на работу.
Как это произошло: жительница Китая Гуань Юэ за три года устроилась на работу в 16 компаний. Гуань Юэ вела специальный журнал, в котором фиксировала данные о работодателе, информацию о своей должности, дату начала работы и банковский счет для перечисления зарплаты. Чтобы проворачивать из раза в раз аферу злоумышленница использовала фейковые удостоверения личности.
Каждый раз, когда женщина проходила очередное собеседование, она снимала видео о том, что якобы проводит рабочие встречи. Эти видео мошенница отправляла в рабочие чаты других компаний, чтобы у коллег не возникало вопросов. Спустя несколько месяцев работодатели понимали, что результата от работы новой сотрудницы нет, и увольняли ее.
Раскрыть обман удалось после того, как Гуань Юэ решила сделать свою схему более масштабной. Женщина устроилась на позицию старшего менеджера в одну ИТ-компанию и убедила руководителя взять на работу еще 7 менеджеров с впечатляющими резюме и релевантным опытом. Спустя три месяца директор компании не заметил никакого результата от работы команды и разорвал с ними трудовые отношения.
Вскоре после увольнения сотрудников директор просматривал документацию и заметил некоторые несостыковки, указывающие на мошенничество. Кроме того, один из сотрудников проговорился, что одновременно работал в другой компании. В итоге директор обратился в полицию.
Полиция выяснила, что в мошеннической схеме Гуань Юэ участвовали 53 человека, которые успешно проходили собеседования и затем ничего не делали. Вместе с мужем, который также участвовал в мошеннических схемах, Гуань купила квартиру в Шанхае. За три года доходы мошенников составили порядка 50 миллионов юаней (около 673 миллионов рублей).
Мстительный инженер
Что случилось: уволенный сотрудник «разгромил» инфраструктуру разработки ПО крупного банка.
Как это произошло: Миклос Дэниел Броуди работал инженером по облачным сервисам в американском банке First Republic Bank (FRB). В марте 2020 года ИБ-отдел сообщил руководству банка о том, что Броуди нарушает политики безопасности, подключая к рабочему ноутбуку флешки с порнографическим контентом. Вице-президент по кадрам вызвал инженера на разговор. Миклос Броуди объяснил, что флешку, с якобы записанным фильмом «Матрица», ему передали друзья, а к ноутбуку он ее подключил случайно. На следующий день вице-президент получил от инженера письмо, в котором тот объяснял свою ошибку неким помутнением рассудка и болезнью. Письмо не повлияло на ситуацию и Броуди уволили в тот же день.
Экс-сотрудника попросили отправить почтой выданный MacBook. Вместе этого, вернувшись домой, инженер решил отомстить банку. По удачному для Броуди стечению обстоятельств его рабочий ноутбук все еще был подключен к корпоративной сети банка. Он подключился к сети FRB, удалил содержимое репозиториев банка, запустил вредоносный скрипт, внес изменения в код, «поломал» некоторые сервисы, запуская при этом сеансы от имени бывших коллег. Инженер также отправил себе по почте код, над которым работал в FRB. Стоимость кода составила 5 тысяч долларов. Броуди заходил в систему с использованием личного идентификатора, при этом пытался выдать себя за другого сотрудника. После этого инцидента представители банка связались с экс-сотрудником и попросили все-таки вернуть ноутбук, но Миклос проигнорировал просьбу и отправил FRB очередное письмо, в котором пожаловался на несправедливое увольнение.
Очистка от софта
Что случилось: бывший сотрудник водоочистной станции чуть не устроил экологическую катастрофу.
Как это произошло: с июля 2016 по конец 2020 года Рамблер Галло работал техником по контрольно-измерительным приборам в компании Veolia North America. Компания также обслуживала станцию по очистке воды в городе с 15-тысячным населением в Северной Калифорнии.
Экс-сотрудник имел полный доступ к системе водоочистной станции и отвечал за обслуживание всех контрольно-измерительных приборов и программируемых контроллеров. Системы станции были объединены во внутреннюю сеть, которая напрямую не была подключена к интернету, но доступ к ней можно было получить через ноутбук подрядчика, находящийся на станции. На этот ноутбук Рамблер Галло установил программу для удаленного доступа.
После увольнения Галло подключился к системе и отправил команду на удаление инструмента, предназначенного в том числе для контроля давления, фильтрации и химического состава воды. Взлом обнаружили специалисты компании и закрыли сотруднику доступ к системе. Бывшему технику грозит до 10 лет лишения свободы и штраф в размере 250 тысяч долларов.
«Небольшой» случайный слив
Что случилось: данные 5.6 тысяч вип-клиентов сервиса VirusTotalпо ошибке оказались в открытом доступе.
Как это произошло: сотрудник компании случайно опубликовал на платформе сервиса файл, который содержал информацию о корпоративных клиентах VirusTotal (принадлежит Google). В файле, весом 313 КБ, оказались такие данные, как: ФИО, адреса электронной почты, названия компаний.
Также файл содержал информацию о сотрудниках спецслужб США и Великобритании и экспертов по ИБ из различных ведомств. Эксперты выяснили, что утечка затронула данные сотрудников Deutsche Bahn (железнодорожный оператор Германии), Bundesbank, BMW, Mercedes-Benz и Deutsche Telekom.
Компания подтвердила непреднамеренную утечку «небольшого» количества контактных данных и предупредила клиентов о возможных фишинговых атаках.
Это не у нас
Что случилось: данные клиентов Mail.ru оказались в открытом доступе по вине «стороннего сервиса».
Как это произошло: в начале этого года эксперты сообщили о том, что данные 3.5. миллионов пользователей, предположительно принадлежащие Mail.ru, оказались в открытом доступе. Утечка включала почтовые адреса на доменах mail.ru, bk.ru, inbox.ru, телефонные номера, имена и фамилии. В пресс-службе Mail.ru заявили, что в ходе тщательной проверки удалось установить, что опубликованные данные связаны с утечкой у стороннего сервиса в начале 2022 года.
Взлом в одном стиле
Что случилось: атака с использованием программы-вымогателя парализовала работу полиции Далласа.
Как это произошло: в мае 2023 года власти Далласа подтвердили, что хакеры атаковали ресурсы полицейского управления и получили доступ к внутренней информации. Инцидент затронул диспетчерскую систему департамента, которая уведомляет полицию об экстренных вызовах. Киберэксперты полагают, что атака началась с фишингового электронного письма, которое случайно открыл сотрудник. Ответственность за атаку взяли на себя хакеры из группировки Royal. Злоумышленники утверждают, что зашифровали «важные данные», также они обещают опубликовать в открытом доступе украденную конфиденциальную информацию.
В декабре стало известно о похожей атаке. На этот раз жертвой злоумышленников из INC Ransom стала калифорнийская больница скорой помощиTri-City Medical Center. 9 ноября специалисты обнаружили подозрительную активность во внутренних системах учреждения, в результате чего руководство приняло решение отправить пациентов в другие больницы. Ответственность за инцидент взяли на себя хакеры из Ransom, в качестве доказательства они опубликовали образцы файлов, предположительно украденных у больницы: индивидуальные медицинские карты, формы согласия на хирургическое вмешательство, финансовые отчеты Tri-City и отчеты по распределению 1.5 млрд. долларов между медицинскими учреждениями штата.
Безопасная утечка
Что случилось: база данных Cigna Health, содержащая17 миллиардов записей, оказалась в открытом доступе.
Как это произошло: киберэксперт Джеремайя Фаулер обнаружил в сети незащищенную базу данных весом 6.35 ТБ. Оказалось, что данные принадлежат крупному игроку на рынке медицинского страхования Cigna Health. Опубликованная информация включала названия больниц и имена врачей, адреса местонахождения, контактные данные и различные идентификационные номера, например, национальный идентификатор поставщика услуг (NPI). Эксперты также обнаружили в записях информацию о расценках на медицинские процедуры.
Компания признала утечку и сообщила, что закрыла доступ к базе данных. Также представители Cigna Health сослались на то, что опубликованная информация предназначена для публичного доступа в соответствии с нормативными требованиями. Однако эксперты считают, что этот инцидент свидетельствует о проблемах с безопасностью в Cigna Health.