(Не) безопасный дайджест: слив премьер Netflix, мошенники в McDonald’s, грызуны против токенов
По традиции делимся подборкой ярких ИБ-инцидентов прошедшего месяца. В августе успели случиться: кошмар для фанатов League of Legends, крупнейшая утечка в истории США, а также очередной сбой в работе Microsoft.
Преждевременная премьера
Что случилось: будущие новинки Netflix утекли в сеть из-за атаки на подрядчика.
Как это произошло: 9 августа в соцсетях и на тематических форумах стали появляться еще не вышедшие эпизоды аниме и мультсериалов Netflix. Среди них: Arcane, Terminator Zero, Dandadan, Ranma ½ и другие.
Netflix быстро отреагировали на утечку, сообщив, что «хакеры взломали одного из наших партнеров по постпродакшну». Это также подтверждается и низким качеством «слитых» видео с водяными знаками «для рабочего пользования».
Медиагигант попытался удалить слитые данные из сети, а также разместил новый сюжетный трейлер самой громкой новинки — второго сезона аниме по игре League of Legends — Arcane, чтобы унять шумиху. Но это не помогло, миллионы фанатов, ожидавших второй сезон, уже увидели главные сюжетные спойлеры.
Управляй мечтой, но не забывай про ИБ
Что случилось: американское подразделение Toyota стало жертвой кибератаки.
Как это произошло: 16 августа на хакерском форуме появилось 240 ГБ данных калифорнийского подразделения Toyota. Среди утекшего: данные сотрудников и клиентов, внутренние документы и базы данных, а также логины и пароли от админских учеток в открытом тексте.
Примечательно, что злоумышленники не продают данные, а раздают их бесплатно. Это может говорить о том, что атака была актом «хактивизма».
Toyota подтвердила факт утечки и заверила, что занимается расследованием инцидента, который «носит ограниченный характер». Тем не менее, спустя несколько дней после этого заявления слитые учетки админов были валидны, продолжали работать.
Зашли через дворецкого
Что случилось: хакеры вызвали крупный сбой в работе индийских банковских приложений.
Как это произошло: злоумышленники атаковали компанию C-Edge Technologies, крупного сервисного провайдера. Из-за этого 1 августа почти на всей территории Индии не работали мобильные банковские приложения.
Инцидент расследовали специалисты Juniper Networks. По их информации, C-Edge Technologies взломали из-за неверно настроенного сервера Jenkins. Это автоматизированная система для тестирования и доставки модулей мобильных приложений.
Атакующие начали с отправки POST-запроса на сервер, пытаясь выполнить вредоносную команду. Это удалось, и преступники закрепились на сервере, получили доступ к другим системам компании, а затем внедрили программу-вымогатель.
Примечательно, что помимо неверной конфигурации Jenkins, одна из его частей некорректно обрабатывала POST-запросы, сам сервер не был обновлен до актуальной версии. Это позволило эксплуатировать критичную уязвимость CVE-2024–23897 (оценка CVSS: 9.8/10) и провести атаку.
Холодная месть из теплой Италии
Что случилось: бывший подрядчик атаковал криптоплатформу Holograph.
Как это произошло: Holograph — криптоплатформа с собственным протоколом токенизации. Хакеры воспользовались уязвимостью в нем и с помощью прокси-кошелька сгенерировали 1 млрд токенов Holograph — HLG.
Общая стоимость сгенерированных токенов составила примерно $15 млн. Из-за такой «криптоинфляции» стоимость HLG токенов за несколько часов упала с $0,014 до $0,0029.
После инцидента началось международное расследование, подозреваемых арестовали на территории Италии. Их имена не разглашаются, однако выяснилось, что организатор атаки — «недовольный бывший подрядчик», который разбирался в устройстве работы протокола Holograph.
Сага о ПДн: продажа клонов
Что случилось: данные 2,7 млрд американцев попали в открытый доступ.
Как это произошло: 6 августа на хакерском форуме появился пост с личной информацией 2,7 млрд американцев. В утечке содержатся имена, номера социального страхования, все известные почтовые адреса, а также возможные псевдонимы пострадавших.
Исследователи считают, что предположительный источник утечки — компания National Public Data. Она собирает ПДн граждан, а затем за оплату предоставляет к ним доступ для проверки судимостей и для работы частных детективов.
По информации СМИ, дамп со схожими данными уже продавался весной этого года на том же хакерском форуме. Тогда другой хакер заявил, что взломал National Public Data и получил личные данные граждан США, Великобритании и Канады.
После первоначальной утечки разные хакеры публиковали частичные копии этого дампа, причем в каждой копии фигурировало разное количество записей, а в некоторых случаях различались и сами данные. Последняя же и самая полная версия дампа появилась 6 августа.
Пока точная подлинность утечек-клонов не установлена. Зато выяснилось, что National Public Data собирала данные американцев без их согласия из непубличных источников. В связи с этим компании были предъявлены обвинения.
Полгода вместе, уже как родные
Что случилось: Kootenai Health, крупный американский поставщик медицинских услуг, стал жертвой хакеров.
Как это произошло: злоумышленники проникли инфраструктуру компании при помощи программы-вымогателя. Далее они зашифровали файлы и слили ПДн клиентов и сотрудников, включающие: возраст, паспортные данные, номер соцстрахования, водительские права и медицинские документы.
По информации исследователей, злоумышленники проникли в компанию еще в феврале 2024 года, но проблему обнаружили лишь в августе 2024 года. В итоге от утечки пострадало порядка 500 тыс. человек.
Microsoft и неожиданный выходной
Что случилось: произошел глобальный сбой в работе сервисов Microsoft.
Как это произошло: 30 июля с 14:45 до 23:43 по МСК были недоступны многие сервисы и приложения Microsoft: Azure, Outlook, Minecraft, Entura и Microsoft Intune и т.д. Это нарушило работу многих организаций: судов, коммунальных служб, банков и медицинских учреждений по всему миру!
Microsoft открыто сообщила, что сбой произошел из-за DDoS-атаки, и что их меры безопасности только усилили масштаб атаки, а не смягчили его. Ответственность за атаку взяла ранее неизвестная группа хактивистов.
Также компания заявила, что настроила Azure Web Application Firewall, средство защиты от подобных атак. Непонятно только, почему мировой ИТ-гигант не установил межсетевой экран для веб-приложений ранее.
Стерли подчистую
Что случилось: хакеры удаленно стерли данные с устройств учеников и студентов по всему миру.
Как это произошло: злоумышленники взломали разработчика MDM-систем для образовательного сектора, компанию Mobile Guardian. Она занимается разработкой кроссплатформенного ПО для фильтрации трафика, контроля деятельности учеников, а также для удаленного управления устройствами.
По сообщениям компании, 4 августа произошла кибератака, в результате которой хакеры получили доступ к платформе Mobile Guardian. Полученные возможности были использованы не для кражи данных, а для их удаления. Так, например, в Сингапуре данные были удалены с 13 тыс. устройств, а закончилось это разрывом контракта с Министерством образования страны.
Компания, увы, сдалась: после атаки она полностью остановила свои сервера управления, из-за этого пользователи не могут войти в Mobile Guardian, а учащиеся ограничены в доступе к своим устройствам.
Бобры атакуют!
Что случилось: блокчейн-инфраструктура Nexera была атакована хакерами.
Как это произошло: 7 августа неизвестные злоумышленники взломали систему для управления смарт-контрактами Fundrs, используя вредоносное ПО BeaverTail. Так они смогли украсть 47 миллионов токенов инфраструктуры Nexera — NXRA стоимостью $1,76 миллиона.
15 млн токенов на сумму $450 тысяч злоумышленники обналичили, другие 32 млн команда Nexera успела убрать из оборота. После этого компания приостановила торговлю своими токенами на децентрализованных биржах и рекомендовала другим площадкам поступить так же. Однако это привело к падению цены токена на 86%.
Вот, что я не люблю
Что случилось: хакеры украли около 700$ тыс. у подписчиков McDonald«s.
Как это произошло: хакерская группа взломала Instagram* аккаунт McDonald«s и разместила там рекламу мошеннического криптовалютного токена. Он назывался так же, как и один из маскотов компании, Grimace.
Реклама сделала свое дело, и капитализация токена мгновенно выросла с нескольких тысяч до $25 млн. После этого мошенники продали имеющиеся у них токены, тем самым заработав примерно 700$ тыс. в криптовалюте Solana (SOL). Стоимость же самого токена упала до 65$ тыс.
В итоге компания смогла вернуть свой аккаунт, но в описании его профиля какое-то время «висела» благодарность от хакеров за криптовалюту. McDonald«s извинились перед подписчиками за инцидент.
*Meta Platforms Inc. признана в России экстремистской организацией и запрещена.
ИБ-совет месяца: для предотвращения инцидентов ИБ-специалисту важно уметь говорить на языке бизнеса. Объяснять руководству и коллегам, чем грозит пренебрежение правилами ИБ и средствами защиты. Узнать, как подружить бизнес и ИБ, вы сможете на ежегодной серии практических конференций Road Show SearchInform с 19 сентября по 28 ноября. В программе 27 городов РФ и СНГ, присоединяйтесь!