Атаковали изнутри, об уязвимостях знали, но не исправили: Forbes выяснил, как взломали Rutube Статьи редакции

Главное из материала издания.

• По словам бывшего сотрудника Rutube, атаку зафиксировали 9 мая между 3 и 4 часами утра, но не среагировали оперативно, а через некоторое время «сервис попросту удалился». Сейчас компания планирует обратиться в правоохранительные органы для поиска злоумышленников, организовавших атаку, заявили в Rutube.
• Хакеры начали выводить Rutube из строя ещё в апреле, рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. Их главная цель — нарушить работу сервиса, поэтому они удалили ряд критических данных и точно знали, кого атаковали. При этом определить, кто стоит за атакой, невозможно, а Positive Technologies в основном занимается техническим анализом и противодействием атакующим.
• До 2021 года Group-IB проводила тестирования на проникновение для Rutube и предоставила отчёт с рекомендациями по усилению защиты, но неизвестно, выполнили ли их. Кроме того, аудит в 2021-м проводили Positive Technologies, Digital Security и «Ростелеком». Они обнаружили уязвимости в офисной инфраструктуре. Её можно было отрезать от сайта и защищать отдельно, но этого не сделали, говорит источник. А атаке подверглись те офисные ресурсы, что указаны в отчётах.
• Хакеры проникли в систему и модифицировали код так, чтобы он удалял данные из хранилища файлов. Для этого нужно было понимать, как работает инфраструктура — поэтому у атаковавших был либо источник в компании, либо доступ к отчётам по аудиту и техническим документам, говорит бывший сотрудник Rutube.
• Другой бывший сотрудник подтверждает атаку через инфраструктуру, но утверждает, что уязвимости устранили. Он предполагает наличие источника в компании и говорит, что код не удалили, но сервис потеряет часть контента.
• Около 19:55 мск Rutube вновь заработал. Компания до сих пор проводит расследование: пытается восстановить хронологию атаки и поиск причин, по которым её не остановили, и уязвимостей.

#новость #rutube