Пришло время традиционной ежемесячной подборки из «классических» и нетривиальных ИБ-инцидентов, о которых писали в СМИ. В майской программе удивляемся «сливу» длиною в десятилетие, взлому учетки сотрудника, который еще не успел выйти на работу, и внезапным киберканикулам.
Что случилось: Toyota Motor более 10 лет сливала информацию о пользователях. Инцидент затронул данные более 2 миллионов клиентов компании, которые были зарегистрированы на облачных сервисах.
Как это произошло: представители Toyota Motor заявили, что данные о транспортных средствах 2,15 миллионов клиентов находились в открытом доступе в течение 10 лет из-за «человеческого фактора». Оказалось, что в ноябре 2013 года облачная система компании случайно стала общедоступной. Известно, что затронуты данные пользователей экосистемы T-Connect, которая информирует владельцев автомобилей через смартфон о месторасположении и состоянии их транспортных средств. Также пострадали пользователи G-Link, аналогичного сервиса для владельцев автомобилей Lexus.
В облачной системе хранилась информация о местонахождении транспортных средств и идентификационных номерах автомобильных устройств. Но, как заявили представители Toyota, они не получали никаких сообщений о том, что скомпрометированные данные попали в руки злоумышленников.
В Toyota заявили, что заблокировали доступ к данным сразу (через 10 лет), как обнаружили проблему. Представители компании обещали, что внедрят систему для аудита облачных настроек и систему для постоянного мониторинга настроек. Также Toyota планирует тщательнее обучать сотрудников правилам обработки данных.
Что случилось: личные данные и истории болезни 100 тысяч пациентов гонконгской группы OT&P Healthcare оказались украдены в результате кибератаки.
Как это произошло: сотрудники ИТ-отдела OT&P Healthcare заметили подозрительную активность в ИТ-инфраструктуре и обратились за помощью к сторонним киберэкспертам. Те посоветовали OT&P Healthcare немедленно отключить систему. Генеральный директор группы компаний заявил, что злоумышленники не получили доступа к финансовой информации пациентов или банковским реквизитам. Но номера паспортов и удостоверений личности некоторых пациентов хранились в системе, поэтому хакеры получили к ним доступ.
Об инциденте представители OT&P Healthcare сообщили в полицию, Министерство здравоохранения и Управление уполномоченного по конфиденциальности персональных данных. Министерство здравоохранения заявило, что нет никаких признаков того, что какие-либо записи о пациентах в электронной медицинской карте были опубликованы в открытом доступе.
Что случилось: Samsung запрещает сотрудникам пользоваться ИИ из-за риска утечки данных.
Как это произошло: сообщается, что компания выпустила меморандум, запрещающий сотрудникам использовать генеративные системы искусственного интеллекта, такие как ChatGPT. «Запретить» ИИ в Samsung решили для того, чтобы предотвратить загрузки конфиденциальных данных компании на внешние серверы. Еще в апреле инженеры Samsung случайно слили внутренний исходный код, загрузив его в ChatGPT.
По информации Bloomberg, Samsung уведомил сотрудников ключевого направления о том, что им не следует использовать инструменты искусственного интеллекта. Работников, которые используют ИИ на личных устройствах, предупредили, что им не стоит загружать туда данные, связанные с компанией, или любую другую информацию, которая ставит под угрозу интеллектуальную собственность Samsung.
Что случилось: французская туристическая компания La Malle Postale допустила утечку личных данных клиентов и переписок с ними.
Как это произошло: эксперты из исследовательской группы Cybernews обнаружили общедоступное хранилище с более чем 4 ГБ личных данных, принадлежащих клиентам туристической компании. Среди скомпрометированных данных оказались: имена, адреса электронной почты и номера телефонов почти 90 тысяч клиентов. Также киберэксперты обнаружили 70 тысяч учетных данных клиентов и более 13 тысяч SMS-сообщений, отправленных между туроператором и клиентами.
Cybernews несколько раз пытались связаться с компанией, но не получили ответа. Эксперты рассказали, что доступ к хранилищу данных был открыт с конца апреля. Кроме личных данных клиентов La Malle Postale, скомпрометированными оказались драйверы компании и учетные данные администратора (электронные письма, пароли, токены аутентификации). В Cybernews считают, что слив учетных данных сотрудников может подвергнуть компанию риску целенаправленных кибератак. Злоумышленники могут использовать данные, чтобы получить доступ к сети компании и украсть конфиденциальную информацию.
Что случилось: киберпреступники атаковали компанию Dragos, специализирующуюся на защите промышленных объектов от кибератак.
Как это произошло: представители Dragos заявили, что 8 мая хакерская группировка попыталась атаковать ИТ-инфраструктуру компании. В заявлении компании сказано, что злоумышленникам не удалось взломать внутренние системы Dragos, однако они получили доступ к облачному сервису SharePoint и системе управления контрактами компании.
Оказалось, что хакеры получили доступ к системам, после компрометации учетной записи нового сотрудника, который еще не успел выйти на работу. Доступ к аккаунту сотрудника у хакеров был 16 часов, в течение этого времени они пытались попасть в системы обмена сообщениями, финансовые и маркетинговые системы и др.. После неудачных попыток получить доступ к системам, злоумышленники отправили руководству компании сообщение с требованием выкупа, после чего специалисты Dragos отключили взломанную учетку сотрудника и заблокировали злоумышленникам доступ к системам компании. В Dragos считают, что их многоуровневая система безопасности помешала хакерам достичь главной цели – запустить вымогательское ПО.
Что случилось: 500 тысяч клиентов итальянского поставщика воды Alto Calore Servizi пострадали в результате кибератаки.
Как это произошло: об инциденте стало известно после того, как на сайте компании появилось официальное заявление о том, что в результате взлома все их ИТ-системы временно недоступны. Ответственность за взлом Alto Calore Servizi взяла на себя хакерская группировка Medusa. Оказалось, что злоумышленники предоставили руководству компании образцы данных, украденные в результате кибератаки, и потребовали выкуп. Хакеры предложили компании несколько вариантов: заплатить 10 тысяч долларов за продление срока выкупа на один день или 100 тысяч долларов за удаление всех украденных данных. Киберпреступники заявили, что получили доступ к личным данным клиентов и внутренней документации (контракты, отчетность, протоколы заседаний и др..). Представители Alto Calore Servizi отказались от комментариев по поводу выкупа.
Что случилось: данные пользователей Discord оказались в открытом доступе в результате взлома учетной записи техподдержки.
Как это произошло: слив данных произошел после взлома учетной записи стороннего агента техподдержки. В результате инцидента злоумышленники получили доступ к e-mail адресам, содержанию обращений в техподдержку и вложениям, которые прикрепляли пользователи Discord. В компании заявили, что они сразу же отреагировали на инцидент и заблокировали учетную запись. Сейчас Discord рассылает уведомления пользователям, чьи данные оказались под угрозой в результате инцидента. В сообщении компания просит клиентов обращать внимание на любые подозрительные действия, так как они могут быть мошенническими.
Компания не раскрывает информацию о том, какое количество данных оказалось в руках злоумышленников.
Что случилось: нескольким учебным заведениям пришлось закрыться из-за кибератаки.
Как это произошло: 15 мая всем школам округа штата Вирджиния пришлось закрыться из-за киберинцидента с программой-вымогателем. Управляющая школьным округом заявила, что занятия на территориях учебных заведений были отменены в целях безопасности, также она рассказала, что для профилактики им пришлось отключить внутренние школьные системы. Сейчас школы активно работают с правоохранителями и ФБР, чтобы установить детали кибератаки.
ИБ-совет месяца: Не ждите инцидента ИБ – будет уже поздно. Узнавайте об опасных действиях пользователей в реальном времени – DCAP обнаружит подозрительные файлы в корпоративных хранилищах, DLP пресечет утечки, а SIEM обработает большой поток событий информационной безопасности. Это бесплатно на 30 дней.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных