Прощаемся с летом, вспоминая забавные и поучительные ИБ-инциденты августа. Сегодня под катом: аналог TikTok страдает от инсайдеров, TSMC подает в суд на бывших сотрудников, а ФБР ловят взяточника на живца.
Два сапога пара
Что случилось: стало известно сразу о двух громких случаях промышленного шпионажа.
Как это произошло: 6 августа 2025 года ИБ-служба TSMC, крупнейшего мирового производителя полупроводников, выявила подозрительные паттерны доступа к файлам и начала расследование. Результаты показали, что несколько сотрудников попытались украсть конфиденциальную информацию о передовой технологии 2-нм чипов. За это нарушителей уволили и начали юридическое разбирательство.
О другом кейсе стало известно 4 августа. Тогда СМИ сообщили, что аж четырнадцать бывших сотрудников Huawei приговорили к лишению свободы за кражу конфиденциальных данных о чипах.
В судебных документах сказано, что один из корпоративных шпионов ушел из Huawei в 2019 году и основал собственную фирму – Zunpai Communication Technology. После он нанял бывших коллег, и они разработали собственные чипы.
Huawei посчитали, что разработка бывших сотрудников основана на их конфиденциальных данных и потому обратились в суд с просьбой заморозить активы Zunpai. Что тогда решил суд – неизвестно, открытых данных в интернете нет. Но судя по тому, что бывших сотрудников техногиганта приговорили к тюремному сроку, скорее всего, решение было положительное.
Законопослушный гражданин
Что случилось: безопасник на службе правительства США попытался подкупить коллегу, чтобы получить контракт для своего бизнеса.
Как это произошло: летом 2025 года прокуроры предъявили обвинения Эдварду Доэрти, специалисту по безопасности из Министерства энергетики США. Его обвиняют в попытке подкупа коллеги с целью получения госконтракта для своей компании.
Из судебного пресс-релиза стало известно, что в феврале 2025 года Доэрти согласился принять участие в программе отложенного увольнения. Это инициатива, которая позволяет сотрудникам уйти с работы по собственному желанию, но при этом остаться в оплачиваемом отпуске на определенный срок.
Не прельстившись перспективой заслуженного отдыха, безопасник решил «подстелить соломки» для своего бизнеса: компании, которую открыл на случай ухода с госслужбы. Перед самым увольнением безопасник попытался подкупить другого сотрудника, отвечавшего за поиск подрядчика на контракт. Но тот оказался честным и сообщил об этом в правоохранительные органы. Началась ловля на живца: нужно было поймать злоумышленника с поличным. Так и произошло в июле этого года, когда Доэрти передавал первому взятку. За это Эдварду грозит минимум 15 лет лишения свободы – так себе почетная отставка.
Пенсии отменяются
Что случилось: CEO компании-аутсорсера украл почти $2,5 млн, предназначавшиеся пожилым американцам.
Как это произошло: 47-летний Джеймс Кэмпбелл основал компанию Axim Fringe Solutions Group (Axim), чтобы помогать организациям в США с максимальной выгодой и соблюдением всех норм закона разбираться с соцвыплатами для персонала.
В частности, Axim занимается оплатой пенсионных, страховых и иных взносов и пособий сотрудникам клиентов. Работает это по следующей схеме: Axim получает средства на оплату пособий и переводит их на нужные счета. За это компания берет комиссию в размере $40 в месяц за человека.
Недавно Джеймса обвинили в том, что он 135 раз несанкционированно снял почти $2,5 млн, предназначенных для прошлых и нынешних сотрудников клиентов. В судебных документах утверждается, что Кэмпбелл отмыл и потратил эти средства на личные нужды: ювелирные изделия, азартные игры, охоту на Аляске и т.д.
Если предприимчивого аутсорссера признают виновным, то ему грозит до 15 лет лишения свободы.
ТикТокнули
Что случилось: сотрудник организовал преступную схему, с помощью которой украл $20 млн у работодателя.
Как это произошло: китайская прокуратура района Хайдянь выпустила белую книгу о своей работе. Из нее стало известно об интересном инциденте внутренней ИБ.
В центре истории Фэн – старший менеджер Kuaishou, китайской платформы создания и просмотра коротких роликов. Он отвечает за работу с подрядчиками: решает, кто из них подходит платформе, помогает к ней подключиться, а также начисляет и выплачивает бонусы.
Отметим, что подрядчики – это не только пользователи, которые создают контент, но и разные бизнесы, для которых платформа является инструментом продвижения.
Во время бурного роста Kuaishou, когда все были заняты навалившейся работой, Фэн незаметно изменил политику распределения бонусов. После он связался с Таном и Яном – поставщиками товаров. Вместе, используя лазейки в политике платформы и инсайдерскую информацию, они обманным путем получали выплаты. Хотя при этом никакой реальной работы не выполняли.
Так продолжалось в течение года, пока служба безопасности Kuaishou не выявила подозрительные транзакции – они были слишком большие и частые. Началось совместное с прокуратурой расследование, которое выявило, что за год Фэн вывел порядка 140 млн юаней (~$20 млн) на подставные компании.
Далее деньги поступали на зарубежные трейдинговые платформы и переводились в криптовалюту. Для конспирации мошенники использовали криптомиксеры. Но это не помогло. В конце концов Фэна и сообщников раскрыли и приговорили к разным срокам – от трех до четырнадцати лет, а также обязали выплатить штрафы.
Gotta Catch 'Em All
Что случилось: сотрудник потратил $140 тыс. со счетов работодателя на игры и карточки с покемонами.
Как это произошло: в сентябре 2021 года 34-летний американец Майкл Гросс стал использовать кредитку, выданную работодателем, для покупки карточек с покемонами, видеоигр и подарочных карт для пополнения онлайн-магазинов. Чтобы не вызывать подозрений, Майкл врал о тратах и подделывал квитанции для бухгалтерии.
Так продолжалось вплоть до октября 2022 года, пока, видимо, интерес сотрудника к покемонам сам собой не остыл. Преданный фанат Пикачу так бы и остался непойманным, но ему не повезло. Недавно ФБР нагрянуло в компанию в рамках другого расследования, и обнаружило старые подозрительные траты. Выяснилось, что всего за год Майкл незаконно потратил чуть больше $140 тыс. За это в августе 2025 года его приговорили к 4 месяцам тюрьмы.
Скрытый текст
Кстати: чтобы бюджет компании не пострадал от чрезмерно страстных увлечений сотрудников, можно заранее выявить и автоматически контролировать такие группы риска. Оставляем памятку о том, как сделать это с DLP, не переходя границы этики.
Заметим, что это не первый случай, когда любовь к покемонам толкает сотрудников к нарушению закона. Например, в этом январе стало известно о схожей истории из Сингапура. «Собрать их всех» захотел Линберг Йео Ю Вэй, бухгалтер биомедицинской компании.
На работе Йео отвечал за проведение платежей и смог несколько раз согласовать перевод средств, предварительно сменив реквизиты на собственные. Но в ноябре 2023 года коллеги «тренера» обнаружили неладное, попросили его перевести деньги обратно и подали на него в суд.
В итоге выяснилось, что за все время Йео украл больше $500 тысяч, которые потратил на злополучные карточки, часы Rolex, азартные игры и т.д. За это 22 января 2025 года его приговорили к 19 месяцам тюрьмы.
Мечтают ли бухгалтеры о второй зарплате
Что случилось: бухгалтер университета украла у работодателя более €2,3 млн.
Как это произошло: 14 августа 2025 года Франсин Фарруджа, менеджер отдела заработной платы Мальтийского колледжа искусств, науки и технологий (MCAST), предстала перед судом. Ее обвиняют в незаконном присвоении более €2,3 млн.
Информсистема MCAST позволяет распределять зарплату между двумя счетами. Этим воспользовалась Фарруджа и стала начислять экстра-зарплаты сотрудникам. Только они уходили на ее собственный счет. После транзакции мошенница удаляла записи о ней, чтобы коллеги ничего не заметили.
Так продолжалось в течение двух прошлых лет, а общая сумма украденного перевалила за €2 млн. Полиция выяснила, что Франсин потратила эти деньги на роскошную одежду, дизайнерские сумки, дорогие украшения, а также недвижимость.
21 августа бухгалтера освободили под залог в €50 тысяч и обязанность ежедневно отмечаться в полицейском участке. Но предполагаем, что на этом дело не кончится. Помимо работы бухгалтером Фаруджа была еще и политиком, советником города Сиджиуи.
Безответственно и точка
Что случилось: исследователь нашел множество уязвимостей в сервисах MacDonald’s, но столкнулся с халатным отношением к ИБ.
Как это произошло: 17 августа 2025 года этичный хакер под ником bobdahacker рассказал на личном сайте об уязвимостях в сервисах McDonald’s, но отдельного внимания стоит его опыт взаимодействия с компанией.
История началась с того, что специалист обнаружил уязвимость в мобильном приложении. Оно не сверялось с сервером при проверке количества бонусных баллов. Это позволяло накручивать баллы и тем самым заказывать бесплатную еду.
Bobdahacker связался с инженером компании, чтобы сообщить о проблеме. Но сотрудник ответил, что «слишком занят» и найдет кого-нибудь другого. После исследователь упомянул, что это важно и может быть привести к мошенничествам. Спустя несколько дней уязвимость все же исправили.
Далее этичный хакер продолжил изучать публично доступные сервисы американской корпорации. Его внимание привлек Центр дизайна McDonald's Feel-Good. Это платформа для размещения маркетинговых материалов, которой пользуются сотрудники корпорации в 120 странах. Исследователь выявил, что она защищалась паролем только на клиентской стороне.
Bobdahacker сообщил и об этом, но одной из крупнейших компаний в мире потребовалось 3 месяца, чтобы внедрить систему учетных записей с разными способами входа для сотрудников и внешних партнеров.
Тем не менее, появилась новая проблема. Если заменить «login» на «register» в URL-адресе платформы, то можно было создать внутреннюю учетную запись. Пароль от нее прилетал прямо в тексте электронного письма.
Еще bobdahacker обнаружил в JavaScript-коде платформы секретный ключ и ключ от Magicbell API. С их помощью любой мог узнать, какие пользователи есть в системе, и отправлять фишинговые письма с инфраструктуры McDonald's.
Помимо этого, исследователь нашел еще несколько серьезных «дыр». Одна из них позволила дефейснуть один из сайтов, разместив там Шрека.
Скрытый текст
Самое интересное началось позже, когда этичный хакер попытался сообщить о найденных проблемах. Оказалось, что на сайте компании не было security.txt файла, который позволяет легко сообщать об уязвимостях.
Поэтому bobdahacker пришлось звонить в штаб-квартиру McDonald’s и называть случайные имена их ИБ-специалистов, которые он нашел в LinkedIn. Так продолжалось, пока кто-то достаточно важный не перезвонил и не дал реальный адрес, куда можно сообщить об проблемах.