По традиции делимся подборкой ярких ИБ-инцидентов прошедшего месяца. В августе успели случиться: кошмар для фанатов League of Legends, крупнейшая утечка в истории США, а также очередной сбой в работе Microsoft.

Преждевременная премьера

Что случилось: будущие новинки Netflix утекли в сеть из-за атаки на подрядчика.

Как это произошло: 9 августа в соцсетях и на тематических форумах стали появляться еще не вышедшие эпизоды аниме и мультсериалов Netflix. Среди них: Arcane, Terminator Zero, Dandadan, Ranma ½ и другие.

Netflix быстро отреагировали на утечку, сообщив, что «хакеры взломали одного из наших партнеров по постпродакшну». Это также подтверждается и низким качеством «слитых» видео с водяными знаками «для рабочего пользования».

Медиагигант попытался удалить слитые данные из сети, а также разместил новый сюжетный трейлер самой громкой новинки – второго сезона аниме по игре League of Legends - Arcane, чтобы унять шумиху. Но это не помогло, миллионы фанатов, ожидавших второй сезон, уже увидели главные сюжетные спойлеры.

Управляй мечтой, но не забывай про ИБ

Что случилось: американское подразделение Toyota стало жертвой кибератаки.

Как это произошло: 16 августа на хакерском форуме появилось 240 ГБ данных калифорнийского подразделения Toyota. Среди утекшего: данные сотрудников и клиентов, внутренние документы и базы данных, а также логины и пароли от админских учеток в открытом тексте.

Примечательно, что злоумышленники не продают данные, а раздают их бесплатно. Это может говорить о том, что атака была актом «хактивизма».

Toyota подтвердила факт утечки и заверила, что занимается расследованием инцидента, который «носит ограниченный характер». Тем не менее, спустя несколько дней после этого заявления слитые учетки админов были валидны, продолжали работать.

Зашли через дворецкого

Что случилось: хакеры вызвали крупный сбой в работе индийских банковских приложений.

Как это произошло: злоумышленники атаковали компанию C-Edge Technologies, крупного сервисного провайдера. Из-за этого 1 августа почти на всей территории Индии не работали мобильные банковские приложения.        

Инцидент расследовали специалисты Juniper Networks. По их информации, C-Edge Technologies взломали из-за неверно настроенного сервера Jenkins. Это автоматизированная система для тестирования и доставки модулей мобильных приложений.

Атакующие начали с отправки POST-запроса на сервер, пытаясь выполнить вредоносную команду. Это удалось, и преступники закрепились на сервере, получили доступ к другим системам компании, а затем внедрили программу-вымогатель.

Примечательно, что помимо неверной конфигурации Jenkins, одна из его частей некорректно обрабатывала POST-запросы, сам сервер не был обновлен до актуальной версии. Это позволило эксплуатировать критичную уязвимость CVE-2024-23897 (оценка CVSS: 9.8/10) и провести атаку.

Холодная месть из теплой Италии

Что случилось: бывший подрядчик атаковал криптоплатформу Holograph.

Как это произошло: Holograph – криптоплатформа с собственным протоколом токенизации. Хакеры воспользовались уязвимостью в нем и с помощью прокси-кошелька сгенерировали 1 млрд токенов Holograph ­— HLG.

Общая стоимость сгенерированных токенов составила примерно $15 млн. Из-за такой «криптоинфляции» стоимость HLG токенов за несколько часов упала с $0,014 до $0,0029.

После инцидента началось международное расследование, подозреваемых арестовали на территории Италии. Их имена не разглашаются, однако выяснилось, что организатор атаки — «недовольный бывший подрядчик», который разбирался в устройстве работы протокола Holograph.

Сага о ПДн: продажа клонов

Что случилось: 2,7 млрд записей данных американцев попали в открытый доступ.

Как это произошло: 6 августа на хакерском форуме появился пост с личной информацией 2,7 млрд американцев. В утечке содержатся имена, номера социального страхования, все известные почтовые адреса, а также возможные псевдонимы пострадавших.

Исследователи считают, что предположительный источник утечки — компания National Public Data. Она собирает ПДн граждан, а затем за оплату предоставляет к ним доступ для проверки судимостей и для работы частных детективов.

По информации СМИ, дамп со схожими данными уже продавался весной этого года на том же хакерском форуме. Тогда другой хакер заявил, что взломал National Public Data и получил личные данные граждан США, Великобритании и Канады.

После первоначальной утечки разные хакеры публиковали частичные копии этого дампа, причем в каждой копии фигурировало разное количество записей, а в некоторых случаях различались и сами данные. Последняя же и самая полная версия дампа появилась 6 августа.

Пока точная подлинность утечек-клонов не установлена. Зато выяснилось, что National Public Data собирала данные американцев без их согласия из непубличных источников. В связи с этим компании были предъявлены обвинения.

Полгода вместе, уже как родные

Что случилось: Kootenai Health, крупный американский поставщик медицинских услуг, стал жертвой хакеров.

Как это произошло: злоумышленники проникли инфраструктуру компании при помощи программы-вымогателя. Далее они зашифровали файлы и слили ПДн клиентов и сотрудников, включающие: возраст, паспортные данные, номер соцстрахования, водительские права и медицинские документы.

По информации исследователей, злоумышленники проникли в компанию еще в феврале 2024 года, но проблему обнаружили лишь в августе 2024 года. В итоге от утечки пострадало порядка 500 тыс. человек.

Microsoft и неожиданный выходной

Что случилось: произошел глобальный сбой в работе сервисов Microsoft.

Как это произошло: 30 июля с 14:45 до 23:43 по МСК были недоступны многие сервисы и приложения Microsoft: Azure, Outlook, Minecraft, Entura и Microsoft Intune и т.д. Это нарушило работу многих организаций: судов, коммунальных служб, банков и медицинских учреждений по всему миру!

Microsoft открыто сообщила, что сбой произошел из-за DDoS-атаки, и что их меры безопасности только усилили масштаб атаки, а не смягчили его. Ответственность за атаку взяла ранее неизвестная группа хактивистов.

Также компания заявила, что настроила Azure Web Application Firewall, средство защиты от подобных атак. Непонятно только, почему мировой ИТ-гигант не установил межсетевой экран для веб-приложений ранее.

Стерли подчистую

Что случилось: хакеры удаленно стерли данные с устройств учеников и студентов по всему миру.

Как это произошло: злоумышленники взломали разработчика MDM-систем для образовательного сектора, компанию Mobile Guardian. Она занимается разработкой кроссплатформенного ПО для фильтрации трафика, контроля деятельности учеников, а также для удаленного управления устройствами.

По сообщениям компании, 4 августа произошла кибератака, в результате которой хакеры получили доступ к платформе Mobile Guardian. Полученные возможности были использованы не для кражи данных, а для их удаления. Так, например, в Сингапуре данные были удалены с 13 тыс. устройств, а закончилось это разрывом контракта с Министерством образования страны.

Компания, увы, сдалась: после атаки она полностью остановила свои сервера управления, из-за этого пользователи не могут войти в Mobile Guardian, а учащиеся ограничены в доступе к своим устройствам.

Бобры атакуют!

Что случилось: блокчейн-инфраструктура Nexera была атакована хакерами.

Как это произошло: 7 августа неизвестные злоумышленники взломали систему для управления смарт-контрактами Fundrs, используя вредоносное ПО BeaverTail. Так они смогли украсть 47 миллионов токенов инфраструктуры Nexera — NXRA стоимостью $1,76 миллиона.

15 млн токенов на сумму $450 тысяч злоумышленники обналичили, другие 32 млн команда Nexera успела убрать из оборота. После этого компания приостановила торговлю своими токенами на децентрализованных биржах и рекомендовала другим площадкам поступить так же​. Однако это привело к падению цены токена на 86%.

Вот, что я не люблю

Что случилось: хакеры украли около 700$ тыс. у подписчиков McDonald’s.

Как это произошло: хакерская группа взломала Instagram* аккаунт McDonald’s и разместила там рекламу мошеннического криптовалютного токена. Он назывался так же, как и один из маскотов компании, Grimace.

Реклама сделала свое дело, и капитализация токена мгновенно выросла с нескольких тысяч до $25 млн. После этого мошенники продали имеющиеся у них токены, тем самым заработав примерно 700$ тыс. в криптовалюте Solana (SOL). Стоимость же самого токена упала до 65$ тыс.

В итоге компания смогла вернуть свой аккаунт, но в описании его профиля какое-то время «висела» благодарность от хакеров за криптовалюту. McDonald’s извинились перед подписчиками за инцидент.

*Meta Platforms Inc. признана в России экстремистской организацией и запрещена.

ИБ-совет месяца: для предотвращения инцидентов ИБ-специалисту важно уметь говорить на языке бизнеса. Объяснять руководству и коллегам, чем грозит пренебрежение правилами ИБ и средствами защиты. Узнать, как подружить бизнес и ИБ, вы сможете на ежегодной серии практических конференций Road Show SearchInform с 19 сентября по 28 ноября. В программе 27 городов РФ и СНГ, присоединяйтесь!

Комментарии (4)


  1. pavel_raskin
    01.09.2024 07:25
    +3

    Вроде как 2,7 млрд записей это не тоже самое что и 2,7 млрд американцев?

    Что случилось: данные 2,7 млрд американцев попали в открытый доступ.

    Как это произошло: 6 августа на хакерском форуме появился пост с личной информацией 2,7 млрд американцев.

    Almost 2.7 billion records of personal information for people in the United States were leaked on a hacking forum, exposing names, social security numbers, all known physical addresses, and possible aliases.


    1. CitizenOfDreams
      01.09.2024 07:25

      Вроде как 2,7 млрд записей это не тоже самое что и 2,7 млрд американцев?

      Наглядная демонстрация того, для чего нужно делать sanity check...


    1. alexhott
      01.09.2024 07:25

      да надо хотя-бы читать то что публикуешь, ну и немножко географию знать на уровне 9-10 класса.


    1. SearchInform_team Автор
      01.09.2024 07:25

      Ваша правда! Опечатались - поправили, спасибо.