Собрали ежемесячную подборку громких ИБ-инцидентов, о которых писали в мае. В свежем выпуске истории о мстительных сотрудниках и подрядчиках, утечки в крупнейших компаниях мира и непропатченные уязвимости.

Я на это не подписывался!

Что случилось: платформа электронных подписей Dropbox Sign стала жертвой кибератаки.

Как это произошло: неизвестным злоумышленникам удалось скомпрометировать сервисную учетную запись Dropbox Sign и с ее помощью получить доступ к внутреннему инструменту автоматической настройки платформы.

Таким образом хакеры смогли выкрасть клиентские данные: ФИО, адреса email, пароли (в хешированном виде). Также утекли ключи API и токены аутентификации OAuth.

В ответ на инцидент компания начала работу по его урегулированию, а также сбросила пароли пользователей, уведомила их о факте утечки и завершила все сеансы. Помимо этого, проводится ротация API-ключей и OAuth-токенов.

Отметим, что при наличии такого комплекта данных злоумышленники могли получить доступ к клиентским документам. Однако представители Dropbox заявили, что подтверждений этому не выявлено.

Лучшая защита - это нападение

Что случилось: ИБ-специалист шантажировал бывшего работодателя украденными данными.

Как это произошло: с мая 2022 по июнь 2023 года Винсент Каннади работал пентестером в международной IT-компании, однако был уволен за низкую эффективность. После увольнения Винсент должен был вернуть все корпоративные устройства и данные, а также получить двухнедельный оклад в качестве компенсации.

Однако ее сумма не устроила бывшего сотрудника. Поэтому он, используя рабочий ноутбук, скачал конфиденциальную информацию компании, включая списки потенциальных уязвимостей, в личное облачное хранилище. И использовал эти данные для шантажа бывшего работодателя.

Изначально Каннади потребовал 5-летний оклад, однако потом сумма выросла до $1,5 млн. В своих угрозах бывший пентестер отмечал, что если он не получит желаемую сумму в качестве компенсации за стресс, то разгласит конфиденциальные данные.  

Бывший работодатель Каннади не пошел у него на поводу и обратился в суд. В итоге злоумышленник был обвинен в вымогательстве по закону Хоббса с максимальным наказанием в виде 20 лет заключения.

ЗАDELLИ за живое

Что случилось: данные 49 млн клиентов Dell оказались слиты в сеть.

Как это произошло: крупнейший в мире производитель вычислительной техники подтвердил факт утечки и начал рассылать пострадавшим соответствующие уведомления. В них компания заявляет, что был взломан портал, содержащий информацию о клиентах и их покупках.

Среди слитых данных оказались имя, физический адрес и информация об оборудовании и заказах: описание товаров, их серийные номера, даты заказов, обращения в службу поддержки, а также информация о гарантии. Компания заявила, что для урегулирования инцидента они работают с правоохранительными органами и сторонним ИБ-подрядчиком.

Примечательно, что ранее злоумышленник под псевдонимом Menelik пытался продать на хакерском форуме базу со схожей информацией. По заявлению хакера, он украл у Dell данные о покупках, сделанных в период с 2017 по 2024 год.

Вскоре после размещения публикация исчезла из общего доступа. Это может говорить о том, что хакер нашел покупателя.

Так себе новости...

Что случилось: утекли данные пользователей и сотрудников двух крупных иностранных СМИ.

Как это произошло: 3 мая неизвестные злоумышленники произвели дефейс сайтов The Post Millennial и Human Events — крупных общественно-политических СМИ, принадлежащих Human Events Media Group.

На подмененных страницах было размещено компрометирующие заявление, написанное якобы от лица главного редактора порталов. В конце заявления хакеры оставили ссылки на украденные у пользователей и сотрудников СМИ данные: ФИО, адреса электронных почт, пароли, имена пользователей, телефонные номера, а также физический и IP-адрес.

Подлинность данных не была подтверждена, но из-за их большого количества (слиты данные ~26 млн человек) они быстро оказались на хакерском форуме и в сервисе Have I Been Pwned. Сами компании никак не комментировали инцидент.

Если не платят, забирай биометрию

Что случилось: бывшие подрядчики похитили данные недобросовестного работодателя.

Как это произошло: в начале мая в сети появился сайт Have I Been Outaboxed. По заявлению его создателей, они являются бывшими подрядными разработчиками ИТ-компании Outabox, которая не заплатила им за работу.

Чтобы привлечь внимание к своей проблеме, анонимы похитили свыше 1 млн записей (биометрию, сканы водительских удостоверений, личные подписи и т.д.) и создали вышеупомянутый Have I Been Outaboxed. Они отметили, что это не составило труда, так как компания не защищала данные, а хранила их в обычной таблице.

Сайт просуществовал недолгое время и позволял по имени узнать, находятся ли ваши данные в украденной базе данных Outaboxed. Стоит отметить, что в базе хранились персданные посетителей баров и клубов Нового Южного Уэльса, полученные от умных камер, которыми занималась компания.

Outabox заявила, что знает о «вредоносном сайте, содержащем компрометирующие заявления, созданные, чтобы нанести вред нашему бизнесу и опорочить руководителей». Также о сайте знала и Австралийская полиция, которая быстро заявила об аресте 46-летнего мужчины, якобы стоящего за утечкой. Ему вменяют шантаж, хотя сайт был сугубо разоблачительным, а о выкупе публично известно не было.

Только между нами?

Что случилось: телемедицинская компания выплатит $7,8 млн за неправомерную передачу персональных данных.

Как это произошло: федеральная торговая комиссия США (FTC) провела расследование в компании BetterHelp — онлайн-сервисе, предоставляющим телемедицинские услуги: онлайн терапии и консультации с психологами. Результаты показали, что сервис собирал данные пользователей без их согласия.

Среди них были: email-адреса, IP-адреса и ответы на предварительную медицинскую анкету. Эта информация передавалась в Facebook, Snapchat, Criteo и Pinterest для таргетирования контекстной рекламы.

В связи с этим состоялось судебное разбирательство, по итогам которого BetterHelp согласилась с предложенным FTC порядком урегулирования ­— выплатой компенсаций. В скором времени компания начнет рассылать письма почти 800 000 тыс. пользователей, чтобы выплатить в общей сложности $7,8 млн.

Патч раздора

Что случилось: взломан департамент образования Хельсинки.

Как это произошло: неизвестный злоумышленник получил доступ к сетевому диску департамента образования после эксплуатирования уязвимости в сервере удаленного доступа. Власти города отметили, что патч для исправления этой уязвимости был доступен, но не скачан.

Взломанный диск содержал десятки миллионов файлов, в том числе персональные данные: имена пользователей, адреса email, личные ID и физические адреса. Также на диске содержалась другая чувствительная информация: суммы зарплат, информация об образовании детей и их статусы, запросы на социальное обеспечение, медицинские сертификаты и т.д.

Администрация города заявила, что очень обеспокоена инцидентом и приняла соответствующие меры по его урегулированию. Также было сказано, что «утечка затрагивает весь наш персонал, а также в худшем случае, более 80 000 учащихся и их опекунов».

ИБ-совет месяца: не ждите, когда недобросовестный подрядчик или готовящийся к увольнению сотрудник сольет биометрию ваших клиентов! Узнавайте о действиях пользователей в реальном времени благодаря DCAP и предотвращайте утечки с помощью DLP. Попробовать функционал наших систем можно бесплатно на 30 дней!