Пролетел второй месяц лета, и мы надеемся, что вы хорошо отдохнули или уже собираетесь в отпуск. Чтобы скрасить рабочие будни, делимся подборкой сочных летних ИБ-инцидентов. Сегодня в рубрике: продолжение драмы со Snowflake, недопонимание с robots.txt и похищение мем-коинов

Ало? В смысле, все обо мне знаете?

Что случилось: в AT&T произошла крупнейшая утечка данных.

Как это произошло: злоумышленники получили доступ к базе данных AT&T из Snowflake учетки компании. В базе содержались номера телефонов и подробные данные о входящих и исходящих SMS и телефонных звонках 110 млн. клиентов.

По информации Mandiant, причиной атаки стала недостаточная защищенность учеток. Данные для входа в них попадали к хакерам посредством инфостилеров, а компании-клиенты не использовали доступную функцию многофакторной аутентификации.

Изначально злоумышленники хотели получить 1$ млн за удаление похищенной БД, но в итоге им заплатили 370$ тыс. Один из предположительных хакеров задержан. Поиск подельников продолжается.

AT&T утверждает, что после обнаружения утечки она сотрудничала с ИБ-экспертами и уведомила нужные инстанции. В том числе Министерство юстиции США, которое разрешило отложить публичное заявление c апреля из-за потенциальных рисков нацбезопасности.

Ранее мы уже писали про взлом Snowflake, тогда пострадала компания TicketMaster. На хакерских форумах до сих пор продают украденные у них данные, например, билеты на будущие концерты известных музыкантов. Также мы упоминали, что клиенты Snowflake – крупнейшие компании мира: AT&T, HP и другие, чьи данные уже могут быть скомпрометированы.

Нашел себя в поиске

Что случилось: производитель комплектующих для ПК случайно слил клиентские данные.

Как это произошло: в начале июня на YouTube канале Gamers Nexus вышел ролик «Zotac's Big Mistake». В нем блогер рассказал о том, что закрытые данные Zotac -   инвойсы, адреса, контактная информация клиентов и их запросы – индексируются поисковыми системами. То есть видны и доступны всем при поиске «Zotac RMA».

Подобное могло произойти из-за неверной конфигурации robots.txt – документа, который указывает веб-краулерам, какую информацию нужно индексировать, а какую нет.

Изначально инцидент обнаружил не Gamers Nexus, а один из его зрителей. Он наткнулся на свои данные в сети, о чем и сообщил компании. Реакция была быстрой, но недостаточной. Из поисковой выдачи исчезли данные только пострадавшего зрителя, не более.

Чтобы привлечь внимание к проблеме, неравнодушный обратился к Gamers Nexus, чтобы поднять резонанс. Компания отреагировала – начала удалять из сети утекшие данные, только когда в соцсетях стали появляться возмущения бизнес-партнеров.

Недетское кино

Что случилось: Disney пострадала от хакерской атаки

Как это произошло: 12 июня на хакерском форуме появился пост с более чем терабайтом конфиденциальной информации Disney. Среди слитого: изображения, учетки, код, маркетинговые материалы, информация о будущих проектах, переписки сотрудников и данные о парижском Disneyland.

Злоумышленники заявили, что во взломе им помогал инсайдер, который «струсил в последний момент». Тем не менее, с помощью инсайдера «шредингера» или нет, злоумышленникам удалось перехватить информацию из корпоративного мессенджера Slack.

Группировка называет себя хактивистами и указывает, что атака на Disney была целевой. Мотивацией стала «защита прав художников», «обеспечение справедливой компенсации за их работу» и «отношение компании к их сотрудникам и потребителям». Disney уже расследует этот инцидент.

Похитители "собак" и "лягушек"

Что случилось: хакеры украли 235$ млн у индийской криптобиржи WazirX

Как это произошло: об инциденте стало известно 18 июля, криптобиржа отчиталась об этом в своих соцсетях. Хакерам удалось взломать мультиподписной кошелек. Особый вид кошелька, требующий для работы ключи минимум двух подписантов. Всего подписантов было шесть. Пятеро из WazirX, а последний из Liminal — компании, специализирующейся на управлении цифровыми активами и предоставлении мультиподписных кошельков.

Именно «разницей в подписантах» и воспользовались хакеры, проэксплуатировав отличие интерфейсов. «Кибератака произошла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и реальным содержимым транзакции», – сообщает WazirX.

В итоге злоумышленники вывели $235 млн в разных криптовалютах: SHIB, PEPE, Ethereum, Matic, USDT и Gala. Также, по информации СМИ, злоумышленники используют децентрализованную биржу Uniswap. В ответ на инцидент криптобиржа приостановила вывод криптовалют и сообщила, что «активно расследует инцидент» и будет держать всех в курсе событий.

Пишите в комментариях, если догадались, почему мы озаглавили инцидент именно так ?

Приехали...

Что случилось: Международная автомобильная федерация (FIA) подверглась хакерской атаке.

Как это произошло: 3 июля на сайте FIA появилось «заявление касательно недавнего инцидента с данными». В нем организатор Формулы-1 заявил, что из-за фишинговой атаки злоумышленники получили доступ к двум почтовым аккаунтам и персональным данным, содержащимся в них.

НКО не сообщает более подробных деталей инцидента: какие данные были раскрыты или украдены? когда была обнаружена атака? Сколько времени хакеры имели доступ к инфраструктуре?

Однако организация подчеркнула, что приняла дополнительные меры для предотвращения подобных атак в будущем, и заявила, что «сожалеет о любых неудобствах, причиненных пострадавшим».

Форензика для фармацевта

Что случилось: Rite Aid — третья по размеру аптечная сеть США, стала жертвой кибератаки

Как это произошло: 12 июля компания сообщила СМИ, что расследует июньский ИБ-инцидент, и начала отправку уведомлений пострадавшим. Для восстановления работоспособности систем аптечная сеть привлекла сторонних ИБ-специалистов, которые также будут помогать и с расследованием.

Rite Aid не сообщила, какие данные были скомпрометированы, но уверила, что «инцидент не повлиял на сведения о здоровье и финансовую информацию».

Подробности появились позже, когда хакерская группировка взяла ответственность за инцидент. Сообщила на своем сайте в даркнете, что захватила 10 ГБ информации. Это примерно 45 млн строк данных: имена, ID, адреса, даты рождения, информация из бонусной программы.

По информации из СМИ, эта хакерская группа размещает на своем сайте данные только тех компаний, которые отказались платить выкуп за свои базы. В дальнейшем они продаются как на аукционе.

Бросок на удачу

Что случилось: произошла утечка данных пользователей сервиса многофакторной аутентификации Twilio Authy

Как это произошло: неизвестные злоумышленники получили номера телефонов пользователей, использовав уязвимость в системе. Также были украдены статусы учеток и количество привязанных устройств. Все это выложено на продажу на хакерском форуме.

Злоумышленники использовали незащищенную конечную точку API. «Кидали» в нее огромное количество телефонных номеров. Если номер оказывался валидным, конечная точка возвращала данные о связанных учетках.

Twilio быстро закрыла уязвимую конечную точку и заблокировала неаутентифицированные запросы. Также компания выложила пост в корпоративном блоге и советовала обновить версии ПО.

Game over

Что случилось: раскрыты данные посетителей конференции разработчиков онлайн-платформы Roblox

Как это произошло: в начале июня компания начала рассылать сообщения, предупреждающие об утечке данных. Она коснулась участников конференций разработчиков Roblox 2022, 2023 и 2024 годов.

Один из партнеров Roblox, занимающийся регистрацией юзеров на конференции, был взломан. «Поставщик Roblox недавно уведомил нас о том, что на его веб-сайте был осуществлен несанкционированный доступ к информации о пользователях Roblox из списка участников конференции разработчиков Roblox 2022-2024 годов», - говорится в заявлении компании

Среди украденного: полные имена, адреса электронной почты и IP-адреса. Сервис Have I Been Pwned сообщил, что 63% email являются новыми. Ранее не попадавшими в утечки. Roblox заявила, что уже предприняла меры для предотвращения подобных инцидентов.

ИБ-совет месяца: лето – традиционный сезон отпусков, но только не для киберпреступников и инсайдеров. Они очень «трудолюбивы» и только рады воспользоваться отсутствием коллег или отпускной суетой ИБ-специалистов. Противостоять таким «всесезонным труженикам» и снизить риски ИБ поможет DCAP-система. По ссылке можно протестировать ее бесплатно на 30 дней!