В середине июля 2018 года ИБ-исследователь из команды UpGuard Крис Викери обнаружил в открытом интернете без всякой защиты десятки тысяч конфиденциальных корпоративных документов крупнейших мировых автоконцернов.
Находка включает файлы минимум 100 компаний, которые вели с дела с Level One Robotics and Controls. Эта небольшая канадская фирма с офисами в Виндзоре и пригороде Детройта оказывает инженерные услуги по роботизации и автоматизации производства.
Среди документов Крис Викери обнаружил детализированные чертежи продукции и схемы цехов, контракты с клиентами, счета и производственные планы, а также десятки соглашений о неразглашении данных (NDA).
«Это большой красный флаг. Как только вы видите NDA, сразу понимаете – нашли то, что не предназначено для общего доступа», – объяснил Крис Викери.
Кроме корпоративных секретов среди документов оказались скан-копии водительских удостоверений и паспортов сотрудников фирмы Level One. Кто еще видел или загружал незащищенные данные, неясно. Крис Викери предупредил компании, и уязвимую информацию вывели в офлайн в течение дня.
Непреднамеренное раскрытие данных автогигантов иллюстрирует проблему, разрушающую бизнес: наибольшая угроза безопасности исходит от поставщиков и подрядчиков.
Пять лет назад розничная сеть Target стала жертвой утечки платежных данных 40 млн банковских карт. Ущерб от инцидента в общей сложности достиг 75 млн долларов. Для кражи данных у шестой по величине торговой сети США хакеры использовали доступ, который получили, взломав подрядчика, обслуживающего системы отопления и вентиляции в магазинах Target.
Месяц назад, в июне 2018 года, сервис по продаже билетов Ticketmaster обнаружил утечку персональных данных и реквизитов банковских карт клиентов. Причина инцидента – взлом и инъекция вредоносного ПО в систему подрядчика, который отвечает за чат-боты поддержки клиентов на сайте Ticketmaster.
Согласно свежим данным Ponemon Institute, в 56% компаний хотя бы однажды случались инциденты, связанные с поставщиками. И риск будет только усиливаться, поскольку все большему количеству сторонних компаний требуется доступ для выполнения обязательств по контрактам.
«Топ-менеджеры компаний относительно недавно начали признавать, что некоторые их связи с третьей стороной создают невероятную угрозу для конфиденциальных данных», – отметил основатель Ponemon Institute Ларри Понемон.
В автомобильной индустрии образуются сложные, разветвленные цепочки из поставщиков и подрядчиков. Связанные со сторонними компаниями угрозы образуют зону растущей обеспокоенности. На первом месте у автопроизводителей находится защита от уязвимостей, которые открывают пути для атак на критические компоненты автомобилей. В сравнении с этим утечка корпоративных документов не так страшна, поскольку не создает угрозу для жизни, а скорее, для недобросовестной конкуренции. И все же ИБ-экспертов беспокоит факт раскрытия такого рода информации.
Крис Викери нашел резервную копию сервера Level One, не требующую для доступа ни пароля, ни специального разрешения. Любой, кто так же нашел сервер, мог бы скачать минимум 157 гигабайт данных, или примерно 47 тысяч файлов, связанных с производственными процессами автогигантов, включая Fiat Chrysler, Ford, General Motors, Tesla, Toyota и Volkswagen.
В фирме Level One считают «крайне маловероятным», что данные видел кто-то еще, кроме профессиональных исследователей, но подробно комментировать утечку не стали, сославшись на интересы расследования. В автомобильных концернах также воздержались от комментариев.
Работа Крис Викери и его коллег-исследователей часто вызывает скептицизм и критику со стороны компаний, которые получают уведомления о том, что их данные скомпрометированы. Однако ИБ-эксперты уверены: огласка – эффективный способ заставить другие компании бороться с утечками.
«Молчание не улучшит кибербезопасность, – цитирует Криса Викери The New York Times. – Человеческая природа сопротивляется тому, чтобы выносить сор из избы, а это вредит обществу. Нам нужна лучшая защита данных, но ничего не изменится, пока люди не осознают, что есть проблема».
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных