(не) Безопасный дайджест: новые мегаутечки и один пароль на всех

Привет! Завершаем год традиционным дайджестом «классических» и нетривиальных ИБ-инцидентов, о которых писали зарубежные и российские СМИ в декабре. Нас лично впечатлило, как создатели «Чёрного зеркала» предсказали свои собственные проблемы. А вас?

a67207b6d9a1ed2022bec115de5d45c3.png

У них

Оживший сюжет

Что случилось: Одна из крупнейших продюсерских студий мира EndemolShine, которая создает и распространяет телешоу «Большой брат» и «Голос» (в Нидерландах), а также сериал «Чёрное зеркало», столкнулась с вымогателями.

Кто виноват: За атакой стоит группировка DoppelPaymer, известная случаями шантажа крупных корпораций и госорганов. Злоумышленники украли персональные данные нынешних и бывших сотрудников Endemol, а также часть информации, составляющей коммерческую тайну. Некоторые из документов DoppelPaymer уже слила в интернет и теперь требует выкуп у руководства компании, а иначе грозит обнародовать остальные данные. Размер выкупа не называют, но по аналогии с другими «делами» DoppelPaymer, речь может идти о семизначной сумме.

По сообщениям СМИ, среди скомпрометированных файлов есть доказательства того, что деятельность Endemol не полностью отвечает требованиям Общего регламента о защите данных (GDRP). А это грозит фирме серьезными штрафами.

Любопытно, что в третьем сезоне нашумевшего «Чёрного зеркала», сценаристы которого вскрывают язвы цифрового мира, есть эпизод на тему вымогательства в обмен на непубликацию компромата. В фильме (как часто бывает и в жизни) все завершилось печально — жертвы хакера выполнили все условия «договора», но их личная информация все равно была обнародована. Мораль проста: никогда не иди на сделки с вымогателями, лучше проверь, насколько хорошо защищены твои данные.

Страховка от утечки

Что случилось: На сервер израильской страховой компании «Ширбит» попал троян, который за несколько часов «переслал» на адрес злоумышленников базу с полными данными клиентов, включая их адреса, телефоны, номера кредитных карт, копии паспортов, места работы и списки близких родственников.

Кто виноват: Судя по всему, с антивирусами в частности и информационной безопасностью вообще в «Ширбите» дела плохи, поскольку компания узнала об утечке только когда украденная информация всплыла в общем доступе. Разгорелся скандал, поскольку среди пострадавших есть военные и сотрудники силовых структур. По этой причине к расследованию утечки подключились государственное Управление по кибербезопасности и Служба общей безопасности (ШАБАК).

Против «Ширбита» уже подано несколько компенсационных исков, и, судя по всему, компании грозит если не полное разорение, то массовый отток крупных клиентов.

Слив «по бразильской системе»

Что случилось: Журналисты газеты Estadao обнаружили логин и пароль к базе данных Министерства здравоохранения в исходном коде сайта ведомства. Просмотреть его мог любой, просто нажав F12 в своем браузере. Эти данные позволяли получить доступ к SUS (Sistema Único de Saúde), официальной базе Минздрава Бразилии, в которой хранится информация о 243 млн граждан (в том числе, умерших) — полное имя, домашний адрес, номер телефона, медицинские сведения.

Кто виноват: Налицо прокол разработчиков. После сообщения об утечке, данные из исходного кода удалили, но остается неясным, успели ли воспользоваться этой уязвимостью злоумышленники.

По иронии судьбы, это уже второй в стране ИБ-инцидент с медицинской информацией за последнее время. В прошлом месяце по схожей причине в Бразилии утекли данные 16 млн пациентов с COVID-19. Похоже, «госсектор+персданные» — опасная смесь не только для России.

У нас

Адрес смерти

Что случилось: В Павловском районе Нижегородской области осудили очередных участников тандема «полицейский + ритуальщик».

Кто виноват: На протяжении года местные полицейские незаконно передавали предпринимателям, занимающимся организацией похорон, имена и домашние адреса умерших. За это служилые получали от 3 до 30 тыс. рублей. В итоге возбуждено несколько уголовных дел, подозреваемых отстранили от работы.

Скучающий торговец

Что случилось: ИБ-специалист телеком-компании в подмосковном Реутове засек подозрительные обращения в корпоративную базу с персданными клиентов. Кто-то обращался к ней трижды с перерывом в несколько дней.

Кто виноват: Нарушителем оказался менеджер по работе с клиентами. По словам сотрудника, он зашел в систему «от скуки» на фоне отсутствия покупателей. При этом сфотографировал данные 14 абонентов, что позднее подтвердили записи с камер видеонаблюдения в салоне. Данные были нужны ему для перепродажи.

Мужчину обвинили в неправомерном доступе к охраняемой законом компьютерной информации и ее копировании. С учетом некогда хорошей репутации, а также раскаяния в содеянном суд приговорил экс-менеджера к одному году условно с исправительным сроком в один год.

Один на всех и все на одного

Что случилось: Маркетолог компании-разработчика мобильного приложения SkinSwipe для обмена игровыми предметами из CS: GO, Dota 2 и Team Fortress 2 поделился историей о мошенничестве. В выходной день кто-то начал массовую распродажу промокодов и игровой валюты из приложения, хотя команда такую активность не планировала.  

Кто виноват: Оказалось, в деле замешан бывший сотрудник техподдержки SkinSwipe. Он вошел в админку приложения в нерабочее время и создал несколько сот позиций на продажу. Но обвинять в инциденте только его неправильно, ведь для входа в админку мужчина использовал логин и пароль, которые после его увольнения никто не изменил. Более того, этими данными для входа пользовалась вся команда. Потому что «мы маленький сплоченный коллектив и доверяем друг другу».  

Продвинутый поиск

Что случилось: В Сеть утекли учетные данные нескольких медучреждений для подключения к закрытой IT-системе. Слив произошел через поисковую строку Яндекса.

Кто виноват: Логины и пароли поисковику «передали» пользователи. Оказалось, что сотрудники учреждений для быстрого поиска страницы входа вставляли в адресную строку запрос вида «полная ссылка на ресурс+логин+пароль». То есть копировали строки из таблицы, в которой хранились учетки. Яндекс принимал их в качестве запросов и выдавал как подсказки любым пользователям. Неизвестно, воспользовался ли случаем посторонний юзер с дурными намерениями. Но поисковый сервис проблему со своей стороны устранил.

Двухфакторная аутентификация, говорите? Регулярное обновление парольных фраз? А выходит, начинать нужно с азов — что можно, а что нельзя вводить в поисковую строку Яндекса и Гугла.

Таким был ИБ-декабрь. До встречи в январе. Пусть каникулы будут фантастическими, а Новый год счастливым!

© Habrahabr.ru