Собрали ежемесячную подборку громких ИБ-инцидентов, о которых писали в мае. В свежем выпуске истории о мстительных сотрудниках и подрядчиках, утечки в крупнейших компаниях мира и непропатченные уязвимости.
Я на это не подписывался!
Что случилось: платформа электронных подписей Dropbox Sign стала жертвой кибератаки.
Как это произошло: неизвестным злоумышленникам удалось скомпрометировать сервисную учетную запись Dropbox Sign и с ее помощью получить доступ к внутреннему инструменту автоматической настройки платформы.
Таким образом хакеры смогли выкрасть клиентские данные: ФИО, адреса email, пароли (в хешированном виде). Также утекли ключи API и токены аутентификации OAuth.
В ответ на инцидент компания начала работу по его урегулированию, а также сбросила пароли пользователей, уведомила их о факте утечки и завершила все сеансы. Помимо этого, проводится ротация API-ключей и OAuth-токенов.
Отметим, что при наличии такого комплекта данных злоумышленники могли получить доступ к клиентским документам. Однако представители Dropbox заявили, что подтверждений этому не выявлено.
Лучшая защита - это нападение
Что случилось: ИБ-специалист шантажировал бывшего работодателя украденными данными.
Как это произошло: с мая 2022 по июнь 2023 года Винсент Каннади работал пентестером в международной IT-компании, однако был уволен за низкую эффективность. После увольнения Винсент должен был вернуть все корпоративные устройства и данные, а также получить двухнедельный оклад в качестве компенсации.
Однако ее сумма не устроила бывшего сотрудника. Поэтому он, используя рабочий ноутбук, скачал конфиденциальную информацию компании, включая списки потенциальных уязвимостей, в личное облачное хранилище. И использовал эти данные для шантажа бывшего работодателя.
Изначально Каннади потребовал 5-летний оклад, однако потом сумма выросла до $1,5 млн. В своих угрозах бывший пентестер отмечал, что если он не получит желаемую сумму в качестве компенсации за стресс, то разгласит конфиденциальные данные.
Бывший работодатель Каннади не пошел у него на поводу и обратился в суд. В итоге злоумышленник был обвинен в вымогательстве по закону Хоббса с максимальным наказанием в виде 20 лет заключения.
ЗАDELLИ за живое
Что случилось: данные 49 млн клиентов Dell оказались слиты в сеть.
Как это произошло: крупнейший в мире производитель вычислительной техники подтвердил факт утечки и начал рассылать пострадавшим соответствующие уведомления. В них компания заявляет, что был взломан портал, содержащий информацию о клиентах и их покупках.
Среди слитых данных оказались имя, физический адрес и информация об оборудовании и заказах: описание товаров, их серийные номера, даты заказов, обращения в службу поддержки, а также информация о гарантии. Компания заявила, что для урегулирования инцидента они работают с правоохранительными органами и сторонним ИБ-подрядчиком.
Примечательно, что ранее злоумышленник под псевдонимом Menelik пытался продать на хакерском форуме базу со схожей информацией. По заявлению хакера, он украл у Dell данные о покупках, сделанных в период с 2017 по 2024 год.
Вскоре после размещения публикация исчезла из общего доступа. Это может говорить о том, что хакер нашел покупателя.
Так себе новости...
Что случилось: утекли данные пользователей и сотрудников двух крупных иностранных СМИ.
Как это произошло: 3 мая неизвестные злоумышленники произвели дефейс сайтов The Post Millennial и Human Events — крупных общественно-политических СМИ, принадлежащих Human Events Media Group.
На подмененных страницах было размещено компрометирующие заявление, написанное якобы от лица главного редактора порталов. В конце заявления хакеры оставили ссылки на украденные у пользователей и сотрудников СМИ данные: ФИО, адреса электронных почт, пароли, имена пользователей, телефонные номера, а также физический и IP-адрес.
Подлинность данных не была подтверждена, но из-за их большого количества (слиты данные ~26 млн человек) они быстро оказались на хакерском форуме и в сервисе Have I Been Pwned. Сами компании никак не комментировали инцидент.
Если не платят, забирай биометрию
Что случилось: бывшие подрядчики похитили данные недобросовестного работодателя.
Как это произошло: в начале мая в сети появился сайт Have I Been Outaboxed. По заявлению его создателей, они являются бывшими подрядными разработчиками ИТ-компании Outabox, которая не заплатила им за работу.
Чтобы привлечь внимание к своей проблеме, анонимы похитили свыше 1 млн записей (биометрию, сканы водительских удостоверений, личные подписи и т.д.) и создали вышеупомянутый Have I Been Outaboxed. Они отметили, что это не составило труда, так как компания не защищала данные, а хранила их в обычной таблице.
Сайт просуществовал недолгое время и позволял по имени узнать, находятся ли ваши данные в украденной базе данных Outaboxed. Стоит отметить, что в базе хранились персданные посетителей баров и клубов Нового Южного Уэльса, полученные от умных камер, которыми занималась компания.
Outabox заявила, что знает о «вредоносном сайте, содержащем компрометирующие заявления, созданные, чтобы нанести вред нашему бизнесу и опорочить руководителей». Также о сайте знала и Австралийская полиция, которая быстро заявила об аресте 46-летнего мужчины, якобы стоящего за утечкой. Ему вменяют шантаж, хотя сайт был сугубо разоблачительным, а о выкупе публично известно не было.
Только между нами?
Что случилось: телемедицинская компания выплатит $7,8 млн за неправомерную передачу персональных данных.
Как это произошло: федеральная торговая комиссия США (FTC) провела расследование в компании BetterHelp — онлайн-сервисе, предоставляющим телемедицинские услуги: онлайн терапии и консультации с психологами. Результаты показали, что сервис собирал данные пользователей без их согласия.
Среди них были: email-адреса, IP-адреса и ответы на предварительную медицинскую анкету. Эта информация передавалась в Facebook, Snapchat, Criteo и Pinterest для таргетирования контекстной рекламы.
В связи с этим состоялось судебное разбирательство, по итогам которого BetterHelp согласилась с предложенным FTC порядком урегулирования — выплатой компенсаций. В скором времени компания начнет рассылать письма почти 800 000 тыс. пользователей, чтобы выплатить в общей сложности $7,8 млн.
Патч раздора
Что случилось: взломан департамент образования Хельсинки.
Как это произошло: неизвестный злоумышленник получил доступ к сетевому диску департамента образования после эксплуатирования уязвимости в сервере удаленного доступа. Власти города отметили, что патч для исправления этой уязвимости был доступен, но не скачан.
Взломанный диск содержал десятки миллионов файлов, в том числе персональные данные: имена пользователей, адреса email, личные ID и физические адреса. Также на диске содержалась другая чувствительная информация: суммы зарплат, информация об образовании детей и их статусы, запросы на социальное обеспечение, медицинские сертификаты и т.д.
Администрация города заявила, что очень обеспокоена инцидентом и приняла соответствующие меры по его урегулированию. Также было сказано, что «утечка затрагивает весь наш персонал, а также в худшем случае, более 80 000 учащихся и их опекунов».
ИБ-совет месяца: не ждите, когда недобросовестный подрядчик или готовящийся к увольнению сотрудник сольет биометрию ваших клиентов! Узнавайте о действиях пользователей в реальном времени благодаря DCAP и предотвращайте утечки с помощью DLP. Попробовать функционал наших систем можно бесплатно на 30 дней!
Misteg
А как же СДЭК?
SearchInform_team Автор
В инциденте Сдэка пока мало подробностей. Причем большая часть из них - комментарии злоумышленников. Мы бы не стали верить им на слово.
Если выяснится что-то интересное, обязательно добавим в следующий выпуск.