Встречаем лето с традиционной подборкой ИБ-инцидентов. Кибермошенники подкупают инсайдеров, бывшие хакеры мстят за увольнение, разработчики случайно сливают ваш распорядок дня – обо всем под катом.
Кошки-мышки
Что случилось: сотрудники службы поддержки Coinbase, крупнейшей американской криптобиржи, продали киберпреступникам данные сотен тысяч клиентов. Но компания не растерялась и объявила охоту на мошенников.
Как это произошло: 11 мая неизвестные прислали в Coinbase письмо, в котором потребовали у компании выкуп в размере $20 млн за непубликацию якобы украденных у нее данных. Биржа оперативно начала расследование.
Выяснилось, что кибермошенники не блефуют и у них действительно есть данные около 1 млн клиентов Coinbase, а также некоторые внутренние документы. Злоумышленники получили их, подкупив сотрудников службы поддержки из дальнего филиала за пределами США. Причем в компании знали о том, что некоторые из ее работников использовали доступ к данным клиентов без необходимости. Но не связывали это в единый инцидент и не думали, что данные в итоге окажутся у хакеров.
Это стало известно из заявления об утечке, которое Coinbase подала в Комиссию по ценным бумагам и биржам США. Также в документе сказано, что похищенные данные клиентов включают: ФИО, адрес, телефон, email, последние четыре цифры номера соцстрахования и банковского счета, фотографии паспортов, водительских прав и т.д.
15 мая Coinbase официально признали инцидент и сообщили, что не намерены платить выкуп. Вместо этого деньги пойдут в «призовой» фонд – биржа отдаст $20 млн за любую информацию, которая позволит найти и наказать организаторов атаки.
Компания уже уволила инсайдеров и намерена выдвинуть в их сторону уголовные обвинения. Помимо этого, Coinbase скоро откроет новый центр службы поддержки в США, возместит ущерб пострадавшим и увеличит инвестиции в обнаружение внутренних угроз. Предварительно расходы на устранение последствий инцидента и возмещение ущерба клиентам составят от $180 до $400 млн.
Вдруг не заметят
Что случилось: Intel подали в суд на уволенную сотрудницу и бывшего поставщика за мошенничество почти на миллион долларов.
Как это произошло: 26 мая израильское СМИ сообщило о том, что Intel Israel подали в суд на бывшую сотрудницу Наталью Авцин и поставщика компонентов Яфима Циболевского. Их обвиняют в хищении более 3 млн шекелей (~70 млн рублей).
Авцин работала в отделе производства оборудования до увольнения в ноябре 2024. Компания уточняет, что ее уход был частью общих сокращений и никак не связан с мошенничеством.
После увольнения сотрудницы компания вскрыла факт ее махинаций. Схема была следующая: Авцин запрашивала у Циболевского цены на компоненты и отправляла их на согласование руководству. После утверждения она меняла классификацию сделки с «компоненты» на «услуги». Это позволяло получать деньги без проведения реальной оплаты, т.к. для сделок в категории «услуги» не требовались подтверждающие документы.
Мошенники были осторожны и покупали «товар Шредингера» не больше чем на $20 тысяч за раз, чтобы не вызывать подозрений. И все же тайное стало явным: теперь Intel требует вернуть похищенные средства и полученную от них прибыль. Авцин и Циболевский пока никак не отреагировали на обвинения.
Близнецы-вредители
Что случилось: американский разработчик ПО для госсектора нанял на работу бывших хакеров и сильно об этом пожалел.
Как это произошло: в период с 2023 по 2024 год близнецы Муниб и Сухаиб Ахтер устроились в компанию Opexus. Их приняли в штат несмотря на криминальное прошлое – в 2015 братья признали себя виновными во взломе Госдепа США и нескольких частных компаний.
По заявлением вендора, в компании не были в курсе «достижений» близнецов. Подробности выяснились, когда Сухаибу потребовалось пройти проверку на благонадежность, чтобы получить доступ к системам одного из клиентов.
18 февраля 2025 года братьев вызвали на виртуальную встречу с представителями отдела кадров компании и объявили об увольнении. Муниб оказался крайне недоволен этим, и не дожидаясь конца встречи заблокировал доступ к одной базе данных, а также удалил 33 другие.
Спустя час после увольнения Муниб удалил 1805 файлов с данными неизвестного государственного проекта. Затем его брат отправил электронное письмо десяткам сотрудников федерального правительства, которые работали с Opexus. В письме он рассказал, что в этой компании еще много непроверенного персонала, который не должен иметь доступ к секретным данным клиентов. И что базы с их данными не защищены: для всех установлены одинаковые логины и пароли.
Из-за действий братьев платформы eCase и FOIAXpress, которые разрабатывает Opexus, стали сбоить. Пострадавшая компания не спешила честно делиться подробностями инцидента и преуменьшила его масштаб. В итоге для расследования привлекли Mandiant – «дочку» Google, которая специализируется на киберзащите.
Эксперты компании подтвердили все нарушения, выявили бреши в ИБ-системе вендора и опровергли фальшивые заявления о незначительности инцидента. Например, специалисты Mandiant обнаружили серьезное нарушение – копирование 1805 крайне конфиденциальных файлов на USB-накопитель через аккаунт Муниба. Хотя подобные действия должны быть программно ограничены.
21 мая об инциденте со всеми его подробностями рассказали в Bloomberg и новость получила резонанс. Поэтому новые подробности по этому делу точно не заставят себя ждать.
ИИ-прометей
Что случилось: сотрудник компании Илона Маска случайно слил закрытый API-ключ компании xAI на GitHub.
Как это произошло: ИБ-исследователь Филипп Катурегли нашел на GitHub API-ключ компании xAI и рассказал об этом в LinkedIn. Утечкой заинтересовалась французская ИБ-компания GitGuardian и начала собственное расследование.
Специалисты выяснили, что слитый ключ предоставлял доступ как минимум к 60 большим языковым моделям SpaceX, Tesla и X. Также GitGuardian предупредили об инциденте сотрудника xAI, ответственного за утечку.
Ответной реакции не последовало даже спустя месяц, и французы обратились напрямую в ИБ-отдел xAI. Компания Маска отреагировала странно: порекомендовала исследователям сообщить о проблеме через платформу bug bounty на HackerOne, однако сама оперативно удалила API-ключ из GitHub.
Позже GitGuardian сообщили об утечке известному ИБ-журналисту Брайану Кребсу, а тот рассказал об инциденте на широкую аудиторию. Представители xAI и сотрудник, который допустил утечку, никак не прокомментировали инцидент.
Подобная реакция не удивительна – признать проблему и тем более сделать это публично могут немногие. Всегда будут репутационные риски и издержки. По данным нашего исследования, примерно того же мнения придерживается большинство отечественных компаний. Только 3% из них публично признают инцидент и извинятся перед клиентами.
Все знают, что вы делали на работе
Что случилось: разработчики ПО для мониторинга продуктивности сотрудников оставили миллионы скриншотов с данными пользователей в открытом доступе.
Как это произошло: WorkComposer – это приложение, которое фиксирует активность сотрудников за ПК, отслеживает использование приложений и делает снимки экрана каждые несколько минут. Приложение используют более 8 тысяч компаний, под контролем – 200 тыс. корпоративных ПК.
20 февраля 2025 года исследователи Cybernews выяснили, что скриншоты экранов персонала компаний-клиентов WorkComposer хранились в незащищенном облачном хранилище Amazon S3. Всего в открытом доступе было больше 21 млн изображений. На большинстве из них была закрытая корпоративная информация: документы, почтовая переписка, логины и пароли, API-ключи и т.д.
Cybernews сообщили об утечке разработчикам WorkComposer 21 февраля. Тем не менее, доступ к базе был закрыт только первого апреля. Схожая ситуация произошла в июле 2024 года. Тогда исследователи Cybernews так же нашли более 13 миллионов скриншотов экранов сотрудников в открытом доступе. Виновником была компания WebWork, которая создает ПО для отслеживания эффективности. Журналисты сообщили им об утечке 13 августа 2024 года, но получили подтверждения закрытия базы только в январе 2025.
Хакерский клондайк
Что случилось: более 184 миллионов логинов и паролей хранились в открытом доступе.
Как это произошло: 22 мая ИБ-исследователь Джеремайа Фаулер сообщил об обнаружении незащищенной БД с более чем 184 миллионами логинов и паролей. Среди них учетки Apple, Microsoft, Google, почтовых сервисов, а также доступы к банковским аккаунтам, медицинским платформам и государственным порталам разных стран. С начала 2025 года это самая крупная компрометация такого рода.
Фаулер связался с некоторыми людьми, чьи данные были в базе, и они подтвердили подлинность логинов и паролей. Также Фаулер предположил, что информация в базе была собрана при помощи инфостилеров.
Специалист связался с веб-хостинговой компанией, которая хранит базу, чтобы сообщить о находке. Провайдер оперативно отреагировал и закрыл доступ. Кому принадлежала подозрительная база, компания не раскрыла.
Флешки раздора
Что случилось: разработчик принтеров Procolored шесть месяцев распространял драйверы с вредоносным ПО.
Как это произошло: в начале мая 2025 года вендор отправил один из своих принтеров на обзор Кэмерону Коварду, ютуберу под ником Serial Hobbyism. Блогер подключил флешку с драйверами, которая пришла в комплекте, к своему ПК и увидел уведомление от Windows Defender: на съемном носителе червь и троян.
Китайская компания заверила, что это ложная сработка, но Кэмерон не поверил вендору и решил докопаться до правды. Он обратился к исследователю вредоносов Карстену Хану, которого нашел на ветке Reddit «r/computerviruses».
Специалист выяснил, что драйверы минимум для шести моделей принтеров Procolored содержат вредоносное ПО: троян и похититель криптовалюты. Эти драйверы разработчик принтеров «залил» на платформу Mega.nz в октябре 2024-го.
Неизвестно, сколько владельцев принтеров пострадали от вредоносов, но при помощи блокчейн-эксплорера Хан выяснил, сколько наворовал разработчик малвари: почти $1 млн.
Примерно 8 мая Procolored удалила драйверы из общего доступа и начала внутреннее расследование. Компания заверила, что файлы вернутся на файловый хостинг только после строгих проверок. Также вендор выдвинул свою версию появления вредоносов: флешка, через которую сотрудник Procolored «залил» драйверы на компьютер, а потом на Mega.nz, могла быть заражена.