(не) Безопасный дайджест: горе-инсайдеры, клоны госсайтов и авиаутечки

31.08.2020

Вернуться к списку новостей

Собрали «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в августе. 

Дайджест ИБ-инцидентов от СёрчИнформ за август

У них

Двоечник от инфобеза

Что случилось: Учебный центр SANS, который проводит тренинги по кибербезопасности (!), отправил неизвестному адресату 513 писем с личными данными сотрудников и клиентов. На сторону утекли 28 тыс. записей, содержащих email-адрес, должность, ФИО, рабочий телефон, название компании, почтовый адрес, страну пребывания. Инцидент обнаружили во время внутреннего аудита – специалисты заметили, что все исходящие письма одного из работников дублируются на внешний электронный адрес.

Кто виноват: Выяснилось, что несколько недель назад этот работник открыл фишинговое письмо. В итоге его email был скомпрометирован, а злоумышленники настроили пересылку всех писем с этого ящика на внешний адрес.


Как распознать фишинговое письмо? Советы ИБ-эксперта.


Чаепитие с мошенником

Что случилось: Клиентка ресторана в престижном лондонском отеле Ritz попалась на удочку мошенников. Женщина забронировала столик для послеобеденного чаепития. Накануне ей позвонил «работник ресторана» с просьбой сообщить данные платежной карты, чтобы подтвердить бронь. Используя эту информацию, мошенники попытались сделать несколько онлайн-покупок на сумму свыше 1000 фунтов стерлингов. А затем позвонили жертве снова якобы «из банка», чтобы выудить у нее секретный SMS-код для успешного завершения транзакции. 

Кто виноват: Ritz подозревает утечку данных из системы бронирования. Пока неясно, замешаны ли в деле инсайдеры или речь о направленной атаке. Однако очевидно, что злоумышленники использовали в схеме подмену caller ID, поскольку клиентке позвонили с номера, принадлежащего отелю.

«Все на выход!»

Что случилось: ИБ-исследователь Боб Дьяченко нашел открытую базу с персональными данными аргентинцев с помощью поисковика BinaryEdge. В ней содержалась информация о 115 тыс. гражданах, которые подали в Минздрав онлайн-заявления с просьбой смягчить для них карантин по COVID-19. В общий доступ попали имена, идентификационные номера, номера карт налогоплательщиков.

Кто виноват: База не была защищена паролем, а это камень в огород IT-службы ведомства. Интересно, что после обращения Дьяченко в министерство, база исчезла из онлайна, но вскоре появилась там вновь. А это повод засомневаться в компетентности ответственных специалистов. Данные защитили, как положено, только после повторного уведомления об инциденте – уже в офис аргентинского регулятора. 

IT-перебежчик

Что случилось: Google лишилась корпоративных секретов, связанных с разработкой беспилотного автомобиля в рамках проекта Waymo. Данные «утекли» в аналогичный проект Uber вместе с уволившимся работником. 

Кто виноват: На днях экс-инженер Google Энтони Левандовски признался на суде, что в январе 2016 года перед уходом из компании скопировал на личный ноутбук 14 000 файлов с описанием ее технологий. Из Uber его в итоге уволили через год, а сама история получила большую огласку и поспособствовала тому, что проект Waymo обанкротился. Суд приговорил Левандовски к 18 месяцев тюрьмы. Кроме того, мужчина должен вернуть Google 178 млн долларов.


Установите «СёрчИнформ КИБ», чтобы вовремя заметить попытку инсайдера скопировать ценные данные на свой девайс, переслать их на почту или в облако.


«Давайте сделаем вид, что ничего не было»

Что случилось: Uber обвинила бывшего руководителя службы безопасности Джо Салливана в сокрытии масштабной утечки данных 57 млн клиентов и 600 тыс. водителей в 2016 году. Тогда из-за хакерской атаки в общий доступ попали имена, email-адреса, номера телефонов и водительских удостоверений. 

Кто виноват: По мнению следствия, сотрудник намеренно скрыл инцидент от Федеральной торговой комиссии. Также подозревают, что Салливан имел отношение к выплате хакерам 100 тыс. долларов за удаление данных клиентов и замалчивание инцидента. Однако утечка оказалась слишком масштабной, и вскоре о ней узнало и руководство, и регуляторы. Мужчине грозит до восьми лет тюрьмы и штраф до 500 тыс. долларов.

У нас

Услуги, которых не было

Что случилось: Роскомндазор заблокировал 34 мошеннических ресурса, которые имитировали официальный сайт Росреестра. Регулятор получил массовые жалобы от граждан и организаций на недостоверную информацию, полученную от «псевдо-Росреестра». Некоторые пользователи пострадали финансово: мошенники не вышли с ними на связь после получения оплаты «за услугу». 

Кто виноват: Обычно создателей сайтов-двойников вычислить так же нереально, как и заказчиков «пробива» из мессенджеров. Здесь можно лишь посетовать на доверчивость граждан и еще раз предупредить их о существовании такой угрозы.

Вот, кстати, реальные, сайты, на которых можно получить информацию из Единого государственного реестра недвижимости (ЕГРН):


Какие еще госсайты подделывают мошенники и как их отличить от настоящих? Читать.


«Слитые» пассажиры

Что случилось: В открытый доступ попала база клиентов и сотрудников сервиса online-бронирования трансферов «Киви-такси». Всего 330 тыс. записей: имена и фамилии, адреса электронной почты, номера телефонов, должности, хеши паролей и соль для хеширования (модификатор входа хэш-функции).

Кто виноват: По всей видимости служба безопасности «Киви-такси» (как и многие до нее) не озадачилась защитой open source сервера MongoDB, на котором была размещена база данных.  

«Симочный» миллионер 

Что случилось: В Оренбурге 124 клиента телеком-компании лишились денег с банковских счетов.

Кто виноват: Сотрудник мобильного оператора скопировал идентификационные коды SIM-карт абонентов, а затем уволился. Новым источником дохода мужчины стало воровство денег с чужих банковских счетов. Он отправлял сообщения на единый номер обслуживания клиентов одного из банков, чтобы проверить привязана ли к «симке» банковская карта. В случае удачи мужчина переводил деньги с чужих карт на свои счета и конвертировал заработанное в криптовалюту. Афера принесла ему больше 1 млн рублей. Но злоумышленником уже занимаются следователи. 

Персональный «улет» 

Что случилось: На англоязычном форуме по продаже персданных появилась база с личной информацией о клиентах авиакомпании Utair. В ней 530 098 записей: ФИО, серия номер паспорта, адрес, дата рождения, пол, телефон, email, данные из программы лояльности.

Кто виноват: В авиакомпании рассказали, что полтора года назад один из ее серверов пострадал от хакерской атаки. Тогда служба безопасности Utair «приняла дополнительные меры по защите данных пользователей и минимизации рисков спама и фишинга». У ИБ-исследователя Ашота Оганесяна другой взгляд на причину утечки. По его словам, инцидент произошел из-за ошибки в конфигурации сервера MongoDB, которая допускала неавторизованный доступ к нему. 

ИБ-совет месяца. Лето 2020-го определенно не попадет в список лучших – коронакризис, карантин и пол-офиса на удаленке. Но, во-первых, в сентябре будет еще одно – бабье. Во-вторых, вместе с бизнес-сезоном начнутся рыжики. В-третьих, хлопоты по защите данных уже сейчас можно передать на аутсорсинг.

А давайте!


Дайджест инцидентов Фишинг Персональные данные Утечка данных


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними