(не) Безопасный дайджест: ИБ-наука, летальная кибератака и банковские утечки

02.10.2020

Вернуться к списку новостей

Собрали «классические» и нетривиальные инциденты, о которых писали зарубежные и российские СМИ в сентябре.

Дайджест утечек за сентябрь от СёрчИнформ

У них

Восстание принтеров

Что случилось: Журналисты CyberNews (тире эксперты от инфобеза) взломали 27 944 принтеров по всему миру и отправили на печать краткое руководство по ИБ. Для поиска устройств с открытыми портами и подключением к Интернету затейники использовали поисковики интернета вещей Shodan и Censys. Чтобы распечатать документы, они написали специальный скрипт.

Кто виноват: Авантюра удалась, потому что захваченные принтеры не были скрыты из общего доступа. Например, в них стояли пароли по умолчанию, не был подключен брандмауэр, были разрешены беспроводные подключения к маршрутизатору и т.д. Авторы эксперимента утверждают, что больше всего уязвимых устройств в США, Китае и Гонконге, Германии, Франции.

Горе-спамеры

Что случилось: В открытой базе данных на сервере Amazon Web Services нашли 39 млн записей о гражданах США – имена, домашние и email-адреса, телефонные номера и почтовые индексы. База принадлежит маркетинговой компании View Media, которая оказывает digital-услуги, в частности организует рекламные рассылки. Похоже, что в общем доступе оказались как раз адресаты этих рассылок. Также в базе лежали готовые письма, рекламные флаеры, баннеры.

Кто виноват: По классике, владельцы базы проигнорировали настройки конфиденциальности, поэтому получить доступ к ней мог любой желающий.

«Окна» нараспашку

Что случилось: Британская строительная компания Amber Windows отличилась сразу с двух сторон. Во-первых, из организации утекла информация о 500 тыс. клиентов. Но еще хуже, что среди данных в утечке оказалась сугубо личная информация – например, о здоровье и семейном положении.

Кто виноват: Причина утечки банальна. База данных хранилась на сервере в незапароленном виде. И СМИ, и сообщество ИБ-экспертов, которое нашло проблему, возмутились, что компания не уведомила об инциденте никого из пострадавших, не сообщила об утечке регуляторам и вообще отказалась давать публичные комментарии по теме. Хотя спрятаться от санкций по GDPR компании вряд ли удастся.

Попробовать бесплатно продукты «СёрчИнформ»

 

Смертельная атака

Что случилось: Больница Дюссельдорфа не смогла принять срочную пациентку из-за взлома компьютерных систем. Женщину отправили в соседний город Вупперталь за 32 км. Из-за того, что время для спасения было упущено, пациентка скончалась.

Кто виноват: Злоумышленники воспользовались уязвимостью в «широко используемом коммерческом программном обеспечении». В ходе атаки сервера больницы вышли из строя. В итоге все плановые операции отменили, а тяжелых пациентов направляли в другие госпитали. СМИ пишут, что это первый случай в истории, когда кибервзлом привел к летальному исходу. 

Так себе поддержка

Что случилось: Канадский разработчик платформ для интернет-магазинов Shopify вместе с ФБР и другими правоохранителями расследует утечку после обнаружения несанкционированного доступа к данным пользователей. Предполагают, что инцидент затронул клиентов 200 магазинов.

Кто виноват: Компания уверена, что утечка произошла по вине недобросовестных инсайдеров. Двое сотрудников отдела техподдержки попытались похитить у продавцов данные о транзакциях покупателей. Злоумышленники могли получить доступ к электронным адресам, именам, адресам проживания, а также сведениям о заказах. Данные банковских карт и другая финансовая информация засвечены не были.

По заветам Сноудена

Что случилось: Журналисты BuzzFeed News опубликовали громкое расследование на основе 2 100 отчетов за 2000-2017 гг., которые утекли из подразделения Минфина США по борьбе с финансовыми преступлениями (FinCEN). В них описаны многомиллионные схемы по отмыванию денег, в которых фигурируют крупные банки (например, Bank of America, Deutsche Bank), известные политики и бизнесмены.

Кто виноват:  Документы в СМИ передала экс-сотрудница FinCEN с надеждой, что журналисты разберутся в ситуации лучше официальных ведомств и привлекут к проблеме коррупции внимание граждан. По мнению ИБ-экспертов, эта утечка в очередной раз доказывает, насколько слабой остается защита от внутренних угроз в госсекторе, который собирает и хранит огромные объемы уязвимой информации. А попутно – бросает огромную тень на репутацию организаций и личностей, которые попали в отчеты. Но тут уж поделом.

У нас

Утечка на продажу

Что случилось: Клиентам Райффайзенбанка начали массово звонить мошенники. Некоторые – с телефонных номеров, которые полностью совпадали с номерами банка (вероятно, за счет подмены Caller ID). Используя методы социнженерии, преступники выманивали у жертв СМС-коды, чтобы выводить деньги с их счетов. При этом пострадавшие отмечали, что мошенники владели полной персональной и платежной информацией о них. Например, называли актуальные остатки по счетам.

Кто виноват: По мнению ИБ-экспертов, злоумышленники купили данные клиентов Райффайзенбанка в даркнете. Как раз недавно там продавали 27-тысячную базу с персональной и платежной информацией. Судя по всему, эти сведения еще в августе утекли из маркетплейса Joom вместе с данными о картах и клиентах нескольких крупных российских банков. Отличный пример, который показывает, как далеко расходятся «круги по воде» после утечек уязвимой информации.

Тайный гость

Что случилось: В одной из фирм Пензенской области обнаружили «шпионские средства», которые позволяли прослушивать разговоры руководителя.

Кто виноват: Оказалось, что «прослушку» директора вел бывший сотрудник компании. По его словам, из чистого любопытства, мол, хотел знать, что происходит на прежнем месте работы. Кроме того, мужчина копировал информацию со служебного ПК, к которому получил незаконный доступ. Суд назначил злоумышленнику штраф в 15 тыс. рублей.

Ушлый счетовод

Что случилось: Клиент банка в Магадане лишился почти полумиллиона рублей. Кто-то перевел деньги со счета без ведома владельца.

Кто виноват: Преступником оказался сотрудник банка. Мужчина заранее вычислил клиента, который давно не проводил никаких операций по счету. Злоумышленник изменил данные о вкладчике, выдумав несуществующего клиента, и перевел 450 тыс. рублей на другой счет. Деньгами он распорядился по своему усмотрению. Сейчас дело передано в суд. 

ИБ-совет месяца; Учиться на чужих ошибках – прописная истина, которой, однако, почти никто не следует. Но осенью, когда новые знания усваиваются лучше всего (видимо срабатывает коллективная память про линейки, букеты и «Классную работу» на доске), стоит в очередной раз попробовать и провести ИБ-ликбез для сотрудников. А потом проверить, как усвоили, с помощью DLP.

Заверните один триал!


Дайджест инцидентов Утечка данных Воровство


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними