Старлинк. Хакеры. Сапоньков

Как директор по информационным технологиям, не погу пропустить классический кейс информационной безопасности на чувствительном для наших ребят сервисе активаций Старлинка от Романа Сапонькова

Активации Starlink - это бизнес. Я наблюдаю за этим сегментом уже больше двух лет и он не перестаёт меня удивлять - насколько погоня за прибылью может застилать глаза, чтобы не вкладываться в базовую информационную безопасность

Что произошло. Были скомпрометированы доступы к почтовому серверу и (возможно) к серверу данных, если он был. Хотя скорее всего, вся критическая информация лежала у Романа в одной корзине.

По следам

1. Взлом инфраструктуры.

Вчера была взломана система, которую использовал Роман Сапоньков. Под угрозой оказалось около 1000 аккаунтов, которые он сопровождал.

2. Уязвимый почтовый сервер.

Команда Романа использовала собственный почтовый сервер с открытым веб-интерфейсом. Хакеры получили к нему доступ и, соответственно, получили админский контроль над аккаунтами.

3. Хищение учётных данных.

Атакующие вошли в почты клиентов, сменили e-mail и пароли в аккаунтах Старлинка. Фактически учетные записи были полностью перехвачены.

4. Атаки на оборудование Старлинк

Получив доступ, злоумышленники начали удалённо перезагружать устройства. Терминалы не могли выйти в рабочий режим и оставались недоступны.

5. Потеря доступа за одну ночь.

В течение одной ночи тысячи пользователей лишились управления и восстановиться уже не могли. Данные аккаунты полностью потеряны. И потеряны исключительно из-за халатности и некомпетентности команды

1. Почтовый сервер не доступен публично

Почтовый сервис физически расположен на собственном железе в собственной сети и не имеет веб-доступа (веб-интерфейса). Получить к нему доступ извне через веб невозможно технически.

2. Жёсткая фильтрация входящих писем

Письма проходят фильтрацию на уровне сервера: на почту пропускаются только сообщения от Starlink. Письма снаружи, даже если они содержат вирусы, фишинг или вложения — отсекаются до попадания в ящик.

3. Скомпрометированный логин/пароль от аккаунта не даёт хакеру власти

Даже если логин и пароль пользователя будут украдены: злоумышленник не сможет изменить данные аккаунта. Он не получает административных прав и легко блокируется.

4. Система не хранит пароли от учётных записей

Приложения по автоматизации, тг-боты и т.д. не должны хранить список логинов и паролей в открытом или зашифрованном виде. Даже в случае физического проникновения на сервер: узнать пароли к аккаунтам невозможно — они не должны храниться у оператора активации.

5. Автоматическая система оповещений и отключения

Если злоумышленник каким-то образом узнает список административных ящиков и попытается получить к ним доступ, должна работать система мониторинга, которая моментально фиксирует:

После чего сервер автоматически отключается до выяснения, предотвращая компрометацию.

6. Резервирование

При отключении одного сервера, запускается следующий сервер с наиболее близкой датой бэкапа

Итог

Инцидент на стороне данного поставщика показал, что одним слабым звеном — уязвимым почтовым сервером — можно потерять тысячи аккаунтов за одну ночь.

Большое количество ребят рассчитывает на то, что Роман исправит ситуацию или заменит испорченное оборудование.