Пришло время для наших нетривиальных ИБ-инцидентов. Традиционно в дайджесте собрали истории, которые больше всего впечатлили нас в марте – в программе хирург, который на спор провел стрим во время операции, поставщики, допустившие утечку данных Nespresso, и компания, попавшая на 15 миллионов из-за слишком легкого пароля.
Предупрежден – не значит вооружен
Что случилось: Хакеры атаковали японского гиганта автомобильных запчастей Denso.
Как это произошло: 14 марта на сайте Denso появилась информация о том, что компания подверглась атаке. После того, как специалисты обнаружили подозрительную активность, Denso незамедлительно отключила сетевое подключение устройств. По заявлению компании, инцидент не привел к нарушению производственной деятельности и заводы продолжили работу в обычном режиме.
Компания промолчала о злоумышленниках, однако ответственность за утечку взяла на себя киберпреступная группа Pandora. Хакеры утверждают, что им удалось украсть 1,4 ТБ данных Denso.
Хак-группа предоставила список файлов, предположительно украденных у Denso. В нем десятки тысяч документов, электронных таблиц, презентаций и изображений, многие из которых содержат данные о клиентах и сотрудниках.
Неясно, как хакеры получили доступ к сети компании, но после того, как Pandora объявила об атаке, нашелся исследователь, который заявил, что предупреждал Denso об угрозе еще пару месяцев назад. В частности, ИБ-эксперту стало известно, что в даркнете продают доступ к ее сети. Но компания не обратила на это внимание – и поплатилась.
Denso принесла клиентам извинения за неудобства, возникшие в результате инцидента. Также компания планирует усилить меры безопасности.
Консоль-на-крови
Что случилось: Хирург опубликовал в Twitter видео снятое во время операции, чтобы выиграть спор фанатов Xbox и PlayStation.
Как это произошло: Врач одной из индийских больниц поделился в Twitter видео, на котором проводил хирургическую операцию. В твите пользователь под ником Shreeveera пояснил, что ввел пациенту анестезию, после чего интубировал его, а затем подключил к аппарату искусственной вентиляции легких.
Оказалось, что хирург участвовал в споре о том, кто делает лучшую консоль – Sony или Microsoft. Спор разгорелся не на шутку: фанаты Xbox усомнились, что в PlayStation могут играть взрослые образованные люди, а не «глупая школота». В частности, они не поверили, что яростный интернет-воин Shreeveera действительно хирург, как написано в его профиле.
В ответ на это индийский врач решил доказать свою правоту делом – и опубликовал злополучный твит. До того, как видео удалили из профиля, пользователи успели разглядеть на нем мужчину в маске в операционной, а также его пациента. Чего только ни сделаешь, чтобы выиграть в бессмысленном споре! Shreeveera остался доволен собой, завершив твит гордым: «Спасать жизни – моя работа, интернет-войны – хобби. Попробуйте поспорить с этим, иксбоксеры!».
Тем временем после инцидента на больницу обрушился шквал негативных отзывов. Теперь у больницы рейтинг всего 1,1 из 5. Разгневанные пользователи писали о том, что хирург нарушил медицинскую этику.
Дефолтная классика
Что случилось: Хакеры взломали сервер африканского подразделения финансовой и страховой компании TransUnion South Africa, используя при этом пароль «password». Теперь злоумышленники обещают опубликовать украденные данные в Сети, если пострадавшая компания не заплатит выкуп в размере 15 млн долларов в криптовалюте.
Как это произошло: TransUnion South Africa официально заявили, что инцидент произошел по вине неизвестных, получивших доступ к их серверу в ЮАР с помощью украденных учетных данных. Но украденных ли?
Ответственность за утечку взяла на себя бразильская хакерская группа N4ughtysecTU. Хакеры утверждают, что в ходе кибератаки им удалось скачать 4 ТБ данных компании, включая незашифрованную базу с 54 миллионами клиентских данных. При этом они отрицают, что украли учетные данные. N4ughtysecTU заявляют, что им это бы и не понадобилось – ведь чтобы взломать сервер, оказалось достаточно ввести пароль «password».
TransUnion South Africa пообещала, что уведомит все компании, чьи данные затронула утечка, и лично всем пострадавшим предоставит бесплатную защиту. Также в заявлении подчеркнули, что не собираются платить выкуп хакерам. Вот только хакеры, не будь дураками, решили шантажировать клиентов компании. Злоумышленники предлагают крупным организациям заплатить 1 млн долларов за исключение из «сливного списка», и 100 тысяч долларов (какая благородная скидка) – небольшим компаниям.
Взлом Шредингера
Что случилось: То ли хакеры, то ли инсайдеры взломали популярный маркетплейс Wildberries, а то ли все «сломалось» само. Так или иначе, с 14 марта интернет-магазин работает с перебоями.
Как это произошло: Пользователи заметили, что на платформе перестали загружаться каталоги, не получается оплатить заказ и привязать или отвязать карту. Некоторые даже столкнулись с тем, что не могли войти в мобильное приложение и отследить уже оплаченные заказы, потому что не отображались QR-коды для получения посылок. С проблемами столкнулись и поставщики, которые не смогли войти в личный кабинет и отправить товары со складов. За день количество сообщений об ошибках составило более 12 тысяч.
Представители маркетплейса не комментировали ситуацию больше суток, но позже сделали заявление о том, что у сервиса технические неполадки. Версий о причинах сбоя в работе Wildberries несколько и все сводятся к кибератаке. 15 марта CDEK со ссылкой на данные «Киберполигона» во внутренней рассылке оповестили сотрудников о том, что Wildberries подвергся кибератаке. Также в письме упоминалась утечка более 100 тысяч российских карт, поэтому CDEK рекомендовал сотрудникам заблокировать привязанную к маркетплейсу карту. Позже представители логистической компании объяснили, что часто рассылают сотрудникам подобные письма для «перестраховки». 17 марта CDEK принес извинения пользователям маркетплейса, сославшись на то, что в письме не утверждалось, что Wildberries причастен к утечке банковских карт в даркнет.
По другой версии, популярный маркетплейс взломали хакеры OldGremlin. Киберпреступники нарушили работу сайта и захватили над ним контроль. По еще одной версии, Wildberries взломали свои же – русские хакеры, которые уничтожили почти всю инфраструктуру, включая бэкапы.
Начальник ИБ «СёрчИнформ» предположил, что масштаб происходящего можно оценить лишь по косвенным признакам, и судя по тем проблемам, с которыми столкнулся Wildberries, серьезно пострадала внутренняя система. Также эксперт не исключает, что хакеры могли воспользоваться услугами инсайдеров, которые руководствовались идеологическими мотивами – иначе говоря, решили за что-то отомстить работодателю.
Газовая атака
Что случилось: Крупнейшая сеть заправочных станций Румынии стала жертвой атаки программы-вымогателя. Хакеры требуют несколько миллионов долларов за возврат украденных данных.
Как это произошло: Дочерняя компания KMG Rompetrol заявила, что подверглась кибератаке, в результате которой была вынуждена приостановить некоторые услуги на станциях и закрыть веб-сайты. По данным Bleeping Computer, ответственность за кибератаку на Rompetrol взяла на себя хак-группа Hive.
Хакеры угрожают газовому гиганту слить в открытый доступ все данные, зашифрованные во время атаки, если Rompetrol не заплатит выкуп в размере 2 млн долларов. Неизвестно, намерена ли Rompetrol или ее материнская компания KMG соглашаться на условия вымогателей, но компания заявила, что тесно сотрудничает с киберорганами «для разрешения ситуации». В официальном пресс-релизе Rompetrol говорится, что не все бизнес-процессы были скомпрометированы, так что автомобилисты по-прежнему могут расплачиваться за бензин наличными или банковской картой.
Есть и другая – конспирологическая версия инцидента. Истиной целью хакерской атаки якобы мог быть крупнейший румынский нефтеперерабатывающий завод Petromidia. По неподтвержденным данным, хакерам на самом деле удалось взломать ИТ-инфраструктуру завода через брешь в каналах коммуникации с контрагентом. Это ли не растущий тренд атак на КИИ?
По зернышку
Что случилось: Сторонний поставщик допустил утечку клиентских данных Nespresso Top Coffee.
Как это произошло: Известно, что южноафриканский дистрибьютор Nespresso разослал клиентам уведомления о возможной утечке, которая могла затронуть их имена, номера телефонов и адреса электронной почты. В утешение дистрибьютор заверил, что платежные данные клиентов не пострадали. В заявлении также говорится, что личная информация клиентов могла быть раскрыта через стороннего поставщика Nespresso.
Позже представители Nestle и Nespresso рассказали журналистам, что они искренне сожалеют о сложившейся ситуации и сделают все возможное, чтобы инцидент больше не повторялся. Вроде и похвалить за честность хочется, но, как показывают другие примеры, публичное покаяние никак не спасает клиентов от неприятных последствий….
Продолжение следует
Что случилось: Хакеры слили в открытый доступ данные клиентов «Яндекс.Еды» - той самой, которая в начале месяца сама уведомила клиентов об утечке (что похвально) и уверяла, что никаких серьезных данных слито не было (а вот тут уже вопросики).
Как это произошло: 1 марта компания сообщила о том, что обнаружила утечку клиентских данных по вине недобросовестного сотрудника. «Яндекс Еда» обратилась в полицию с заявлением о несанкционированном доступе к данным клиентов и извинилась перед пользователями, которые пострадали в результате утечки. Компания уверяла, что утечка не затронула критичных данных, и пользователям можно спать спокойно. Но этим дело не кончилось.
22 марта по Telegram-каналам разлетелась ссылка, которая вела на сайт с интерактивной картой. Неизвестные хакеры визуализировали личные данные пользователей Яндекса так, что можно было посмотреть имя, номер телефона, адрес и даже общую сумму заказов за последние 6 месяцев. Реакция пользователей на утечку не заставила себя ждать. Одни смогли обнаружить «похождения» своих вторых половинок, а другие пожаловались на то, что общая сумма, потраченная на заказы, огорчила их гораздо больше, чем утечка.
Сервис «Яндекс.Еда» новую утечку не подтвердил, сославшись на то, что хакеры визуализировали данные из февральского слива. Роскомнадзор, тем не менее, уже составил протокол в отношении «Яндекс.Еды» за нарушение законодательства в области персональных данных. Теперь компании грозит «очень большой» штраф в размере от 60 до 100 тысяч рублей. Точную сумму определит суд. Напомним, что за ноябрьскую утечку персданных 1,5 миллиона россиян, включавшую аж скан-копии паспортов, суд оштрафовал Oriflame всего на 30 тысяч рублей.
Нездоровое лечение
Что случилось: Больница Mon Health в Западной Виргинии разослала некоторым пациентам письма с предупреждением о возможной утечке персональных данных.
Как это произошло: Согласно письму, Mon Health обнаружила утечку данных некоторых пациентов, поставщиков и сотрудников еще 30 декабря 2021 года. Киберэксперты предполагают, что злоумышленники получили доступ к такой информации о пациентах, как: имя, адрес, дата рождения, номер медицинской карты и счета пациента, идентификационный номер медицинского страхования, даты посещения больницы, информация о претензиях, диагнозах и ходе лечения.
Представители больницы рассказали, что приняли все меры предосторожности, включая отключение систем, сброс паролей и уведомление правоохранительных органов. Пока киберэксперты не зафиксировали какое-либо неправомерное использование личной информации пациентов, но Mon Health уже предложила пострадавшим бесплатное годовое членство в службе защиты личных данных IdentityWorks. Но вряд ли это убережет пострадавших пациентов от попыток шантажа и манипуляций со стороны мошенников, или по меньшей мере спам-рекламы низкокачественных препаратов.