Пришло время традиционного ежемесячного обзора «классических» и нетривиальных ИБ-инцидентов, о которых писали в СМИ. В сентябрьской программе: утечка данных поставщиков Airbus, масштабный взлом платформы Freecycle и хакеры, шантажирующие Pizza Hut Australia.
Пепперони с привкусом ПДн
Что случилось: хакеры получили доступ к данным 1 миллионов клиентов Pizza Hut Australia.
Как это произошло: злоумышленники утверждают, что получили доступ к данным Pizza Hut несколько месяцев назад через Amazon Web Services, используя несколько точек входа. В качестве доказательства взлома, киберпреступники предоставили несколько образцов данных, которые содержали 200 тысяч записей. Один из образцов содержал информацию о 100 тысячах клиентов: имена, адреса электронной почты, почтовые адреса, номера мобильных телефонов, пароли, тип услуги (доставка или самовывоз) и номера кредитных карт. При этом данные кредитных карт были зашифрованы, а пароли хешированы.
Предположительно хакеры могли получить доступ к 30 миллионам записей с информацией о заказах и к 1 миллиону персданных клиентов. Известно, что киберпреступники потребовали 300 тысяч долларов за удаление всех данных.
Эксперты из databreaches решили узнать у руководства Pizza Hut Australia, знают ли они о взломе и планируют ли уведомить пострадавших клиентов, однако ответа за запрос не последовало.
Почти всех-всех
Что случилось: платформа Freecycle заявила о масштабной утечке данных, в результате которой пострадало более 7 миллионов пользователей.
Как это произошло: Freecycle – онлайн-платформа для обмена вещами, ее база насчитывает данные 11 миллионов пользователей. 30 мая стало известно о том, что большая часть этих данных оказалась в открытом доступе. Тогда на хакерском форуме неизвестный выставил на продажу данные пользователей платформы и предупредил пострадавших о том, что им необходимо позаботиться о смене пароля. Злоумышленник заявил, что он завладел учеткой основателя платформы, а затем и полным доступом к информации об участниках Freecycle. По данным платформы, украденная информация включает имена пользователей, идентификаторы, адреса электронной почты и пароли.
Основатель Freecycle заявил, что об утечке компании стало известно 30 августа, т.е. почти спустя три месяца после того, как данные были выставлены на продажу. Платформа Freecycle принесла извинения пострадавшим от компрометации данных и сообщила об инциденте в соответствующие органы.
Книжный деанон
Что случилось: данные 1.2 миллионов клиентов австралийской книжной сети Dymocks оказались в открытом доступе в результате взлома.
Как это произошло: 8 сентября клиенты Dymocks получили сообщения от лица управляющего директора компании, в которых говорилось об утечке данных и начатом по этому факту расследовании. Украденная информация содержит имена, даты рождения, электронные и почтовые адреса, а также пол клиентов. Dymocks утверждает, что инцидент не затронул финансовые данные пользователей.
Киберэксперт Трой Хант, сообщивший Dymocks об утечке данных, предполагает, что взлом мог произойти несколько месяцев назад, т.к. некоторые учетные записи пользователей, которые оказались в утекшей базе, были созданы в июне 2023 года. Кроме того, Трой Хант поднял вопрос о том, зачем сеть книжных магазинов собирает и хранит даты рождения и пол клиентов. Эксперт считает, что компания занималась избыточным собором данных. Хант также сообщил, что около четверти из 1,2 миллиона записей в наборе данных Dymocks были помечены как «неактивные».
Укатились персданные
Что случилось: производитель оборудования для гольфа Callaway допустил утечку информации об 1.1 миллионе клиентов.
Как это произошло: об утечке стало известно после того, как компания Callaway разослала письмо о том, что в результате инцидента 1 августа часть услуг компании была недоступна, а неизвестные получили доступ к данным клиентов, хранившимся в ИТ-системах. Скомпрометированные данные клиентов включают в себя: полные имена, адреса доставки, email-адреса, телефонные номера, истории заказов и пароли от учетных записей. При этом американский производитель и продавец спортивного инвентаря утверждает, что обнаружил инцидент на ранней стадии и принял незамедлительные меры по его локализации.
Согласно уведомлению об утечке, инцидент затронул данные 1 114 954 пользователей. Callaway утверждает, что в результате инцидента не были раскрыты никакие платежные данные, идентификационные номера или номера социального страхования.
Пробив за штраф
Что случилось: сотрудница Пенсионного фонда сливала персональные данные граждан за деньги.
Как это произошло: с сотрудницей ПФР в мессенджере связался неизвестный и предложил ей за деньги сливать информацию. В итоге женщина получала из служебной программы данные о состоянии индивидуальных счетов граждан, а затем отправляла их заказчикам через Telegram. Всего она успела слить персональные данные 8 человек. Экс-сотрудница полностью признала вину, суд назначил ей штраф в размере 50 тысяч рублей.
Запрос на данные
Что случилось: шведские регулятор оштрафовал страховую компанию на 3 миллиона долларов за утечку данных 650 тысяч клиентов.
Как это произошло: шведское управление по защите конфиденциальности (IMY) начало расследование в отношении страховой компании Trygg-Hansa после того, как получило наводку от клиента Moderna Försäkringar (теперь часть Trygg-Hansa). Оказалось, что клиент обнаружил открытый доступ к серверной части Trygg-Hansa, «прокликав» по ссылкам на страницах котировок. Страховая компания раскрыла такие данные клиентов, как: информацию о здоровье, финансовую информацию, контактные данные, номера и условия соцстрахования.
Также оказалось, что данные портала Trygg-Hansa предоставлялись неавторизованным пользователям с октября 2018 года по февраль 2021 года. IMY удалось установить 202 случая, когда личная информация клиентов была раскрыта неавторизованным пользователям.
Страховщик не устранил проблемы даже после, когда получил сообщение об инциденте, поэтому регулятор решил наложить административный штраф в размере 3 миллионов долларов.
Поставщики в сети
Что случилось: данные нескольких тысяч поставщиков авиастроительной компании Airbus оказались в даркнете в результате взлома учетки сотрудника Turkish Airlines.
Как это произошло: по данным отчета Hudson Rock, хакер под ником USDoD в начале сентября сообщил о том, что получил доступ к веб-порталу Airbus после компрометации учетной записи сотрудника турецкой авиакомпании. Злоумышленник также утверждал, что в результате инцидента ему удалось получить доступ к именам, номерам телефонов, электронным письмам 3200 поставщиков Airbus. Позже представитель авиастроительного гиганта подтвердил, что хакеры взломали ИТ-аккаунт клиента Airbus. По словам авиастроительной компании, учетная запись клиента использовалась для загрузки деловых документов с веб-портала Airbus.
Из отчета Hudson Rock известно, что компьютер сотрудника турецкой авиакомпании, который хакер использовал для взлома Airbus, в августе 2023 года был заражен вредоносом для кражи информации. Киберисследователи предполагают, что сотрудник пытался загрузить пиратскую версию Microsoft .NET Framework.
Комментарии (2)
Wolzzm
03.10.2023 15:48Занятная статья; еще одно подтверждение, что инциденты возникают из-за банальной невнимательности как пользователей (вроде последнего кейса), так и разработчиков (вроде шведского кейса)
PashaPash
На скрине в отчете: малварь поставился в c:\Windows\Microsoft.NET\Framework\v4.0.30319\
Киберисследователи: сотрудник пытался загрузить пиратскую версию Microsoft .NET Framework!