(не) Безопасный дайджест: рассылка персданных, взломанные госсервисы и фермеры под угрозой
Каждый месяц мы собираем классические и нетривиальные ИБ-кейсы. Наше внимание привлекают истории об утечках данных, мошенничестве, фишинге и т.д. Некоторые кейсы смешные, некоторые возмутительные, но все – поучительные. С этого месяца решили делиться ими и с вами – «жителями» VC.
Сим-сим, закройся
Что случилось: Разработчик POS-систем StoreHub допустил утечку информации, которая хранилась на незащищенном сервере. В результате инцидента любой желающий может получить доступ к миллиону данных о клиентах и сотрудниках.
Как это произошло: Из отчета экспертов по кибербезопасности следует, что компания Storehub неправильно настроила один из своих серверов, из-за этого около 1,7 миллиарда записей и более 1 терабайта данных оказались потенциально скомпрометированы.
StoreHub разрабатывает ПО для обработки и регистрации покупок, которое обычно используют в розничной торговле. Утечка затрагивает не только тысячи ресторанов и магазинов, использующих POS-системы StoreHub, но и информацию об их сотрудниках и клиентах, которые совершали транзакции через терминалы. Киберэксперты в открытым доступе обнаружили: имена, email, телефонные номера, адреса, информацию о покупках и даже некоторые конфиденциальные платежные данные.
Скомпрометированную информацию эксперты обнаружили еще в январе этого года, о чем сразу написали руководству StoreHub, однако никого ответа не получили. Также известно, что руководство StoreHub некоторое время отрицало утечку, но позже заявило, что уязвимость была устранена вскоре после того, как о ней стало известно.
Выпил, упал и ПДн потерял
Что случилось: Подрядчик японской мэрии напился и потерял флешку с персданными жителей полумиллионного города.
Как это произошло: Японец работал над муниципальной программой по ковидным выплатам во время пандемии. Сотрудник скопировал персданные жителей Амагасаки на USB, чтобы передать их в соседний город в офис компании Biprogy. Но перед отъездом решил сходить с коллегами в ресторан, отдых задался, на утро мужчина обнаружил, что потерял сумку с флешкой. Так нерадивый сотрудник потерял USB информацией об именах, датах рождения, номерами банковских счетов и налоговых декларациях. На пресс-конференции представители мэрии признали, что подрядчик нанес серьезный ущерб общественности и принесли извинения от лица администрации.
Кстати, через сутки полиции удалось восстановить маршрут пьяного сотрудника Biprogy, сумку с флешкой нашли в километре от ресторана, где он отдыхал.
Рассылка с приветом
Что случилось: Личные данные 15 тысяч студентов университета Ньюфаундленда случайно попали в отрытый доступ.
Как это произошло: Непреднамеренная утечка произошла в результате университетской рассылки о развитии карьеры. Около тысячи студентов получили электронные письма, в которых случайно была указана личная информация других студентов: имена, адреса электронной почты, студенческие номера и программы обучения. Пострадавших учащихся немедленно уведомили о том, что по ошибке разослали их данные. А всем получившим рассылку настоятельно рекомендовали удалить письмо.
Университет заявляет, что конфиденциальная информация о здоровье, номера соцстрахования и финансовая информация не попали в открытый доступ (может быть их отправят в следующей рассылке?). Руководство университета извинилось за слив и пообещало наладить процессы обработки данных учащихся.
Инструкция «открытого» доступа и фермеры под угрозой
Что случилось: Правительство Индии выпустило «конфиденциальную» инструкцию для госслужащих о том, как правильно защищать данные. Инструкцию слили в открытый доступ.
Как это произошло: Правительство выпустило руководство о том, что нельзя делать с конфиденциальной информацией с точки зрения кибербезопасности для 30 миллионов сотрудников. Правила, перечисленные в инструкции, призывают сотрудников использовать надежные пароли, двухфакторную аутентификацию, антивирусное ПО и др. Документ имел пометку «Ограниченного доступа» и предназначался только для сотрудников правительственных организаций. Однако непонятным образом «секретный» документ оказался в открытом доступе на веб-сайте. Тот, кто опубликовал инструкцию на сайте, предварительно ее не читал, потому что одно из правил, перечисленных в документе – не сливать конфиденциальную информацию.
Не просто так правительство Индии беспокоится о кибербезе. Недавно эксперт обнаружил, что правительственный веб-сайт по ошибке раскрыл идентификационные номера 110 миллионов фермеров, которые получают ежегодные выплаты от государства. Злоумышленники могли легко получить доступ к личным данным индийских фермеров и получить их выплаты. Об ошибке на сайте эксперт говорил еще в январе этого года, однако окончательно проблему устранили только в мае.
Чур не инсайдер
Что случилось: Rutube отрицает, что взлом платформы произошел из-за действий сотрудника.
Как это произошло: еще в начале мая отечественный видеохостинг пострадал от масштабной хакерской атаки, в результате которой пользователи на несколько дней потеряли доступ к сервису. Ответственность за атаку взяла на себя хак-группа Anonymous. Позже в интервью Forbes бывший сотрудник Rutube рассказал, что еще в 2021 году во время тестовых кибератак было выявлено несколько уязвимостей в офисной инфраструктуре компании. Также он отметил, что в мае атаке подверглись именно те офисные ресурсы, в которых ранее нашли уязвимости. Сотрудник предположил, что у злоумышленников либо был инсайдер, либо доступ к технической документации и данным аудита. Гендиректор российского сервиса отрицает причастность инсайдера к атаке.
Умная утечка?
Что случилось: Хакеры слили в открытый доступ персональные данные пользователей сервиса «Умный дом».
Как это произошло: В даркнете неизвестный опубликовал документ, состоящий из 712 тысяч строк, которые содержат: email-адреса, фио, хеш пароля, IP-адреса, даты регистрации и последней активности. Как утверждают киберэксперты, некоторые логины оказались актуальны. В компании рассказали, что знают об утечке и предположили, что это «продолжение предыдущей истории» с компрометацией аккаунтов сотрудников. Также в компании заявили, что к утечке может быть причастен уволенный ранее сотрудник, который в 2021 году скопировал часть внутренней информации.