Только представьте: вы покупаете б/у жесткий диск, а там — пароли от корпоративной почты, базы клиентов известной компании и договоры с поставщиками. Звучит как страшилка для тренинга по информационной безопасности, но это реальность.

Мы провели эксперимент: купили несколько списанных корпоративных дисков на торгах по банкротству и онлайн-барахолке, взяли бесплатную программу с открытым исходным кодом, которую может скачать любой школьник, и… восстановили с них данные реальных компаний — от небольшой транспортной фирмы до гигантской корпорации. Одну из утечек мы расследовали по горячим следам: приобрели у продавца ещё двадцать дисков, встретились с ним лично, выяснили источник и передали всю информацию службе безопасности компании.

Хотите узнать, как легко купить чужие секреты и почему компании продолжают их выбрасывать в 2025 году? Рассказываем подробно.

Да, никакой Америки мы не открыли. CyberPaul пару лет назад рассказывал, как покупал диски на барахолках и находил там забытую информацию. Но одно дело — читать об этом, другое — проверить самим.

Мы знаем, что обычные пользователи не умеют нормально стирать данные. А что насчет компаний? Можно ли купить их секреты по цене бизнес-ланча? Мы решили это проверить и отправились на охоту за списанным железом.

Где искали корпоративное железо

Мы начали с площадок, где проводят торги по банкротству. Это золотая жила для охотников за корпоративными данными: лоты вроде «Компьютеры офисные, 15 шт., состояние неизвестно, самовывоз» появляются регулярно.

Преимущество таких торгов в том, что техника точно стояла на балансе предприятия. Когда фирма разоряется, никому нет дела до информационной безопасности. В итоге компания мертва, а вот документы на дисках живее всех живых. Там может быть что угодно: договоры, переписка, базы клиентов, данные партнеров.

К сожалению, торги устроены муторно: сначала регистрация, потом залоги и аукцион по расписанию. Компьютеры обычно продают оптом — десятками штук сразу. А в нагрузку часто идет офисный хлам: убитые мышки, клавиатуры с залипающими кнопками, столы и стулья. Причем всё это добро нужно самостоятельно вывозить, зачастую из другого города.

Но один скромный лот мы всё-таки выкупили. Это была пара системников, пыльных и грязных, будто их только вчера выкинули на помойку. На крышке одного красовалась выцветшая наклейка с лицензионным ключом Windows 8.1. Мы ещё не знали, что там внутри, но чувствовали: будет интересно.

Познакомившись с особенностями торгов, мы решили упростить эксперимент и пошли на всем известный сайт для размещения объявлений. Там можно найти три категории продавцов. Первые — обычные пользователи со своим единственным SSD или HDD после нескольких лет использования. Вторые — оптовики-перекупщики, которые гонят старое железо вагонами. У них по несколько сотен объявлений, и они обычно знают свое дело: перед продажей чистят и тестируют технику. В их объявлениях висят скриншоты SMART, статистика по битым секторам и наработке дисков.

Третья категория — сисадмины, которые сбывают корпоративное железо после списания или апгрейда. Они уже куда менее многословные, а их объявления максимально сухие: «Жесткие диски SATA 3.5, 10 штук, рабочие» и список моделей. Бинго! Они-то нам и нужны.

Иногда мы в лоб спрашивали у продавцов про происхождение дисков: рабочие или домашние? Или же на корпоративное прошлое намекала сама модель накопителя: редкая серверная модель почти наверняка раньше принадлежала какой-нибудь компании. 

В некоторых объявлениях продавцы писали без утайки: «жесткий диск из рабочего компьютера» или «продаю офисный системник после апгрейда». Такие предложения мы сразу брали на карандаш.

Наш улов

Закупались в Москве и области — так железо доезжало быстрее, да и не приходилось переплачивать за доставку. Благо, объявлений хватило с избытком. Изначально планировали проверить пару десятков жестких дисков. Пролистали около 300 объявлений, выбрали 65 интересных. С частью продавцов не срослось, но первую партию всё равно собрали — купили у семи разных людей.

Вместе с дисками из офисных компьютеров получилось пять с лишним терабайт б/у памяти:

• WD10EZEX — 1 ТБ, SATA.

• Toshiba DT01ACA050 — 500 ГБ, SATA.

• WD5000AAKX — 500 ГБ, SATA.

• Dell MG03ACA100 — 1 ТБ, SATA.

• ADATA SX6000PNP — 256 ГБ, NVMe.

• Transcend D230S — 256 ГБ, SATA SSD.

• Kingston SUV500MS480G — 480 ГБ, SATA SSD.

• Samsung MZ-ALQ256B — 256 ГБ, NVMe.

• Samsung MZ-VLB1T0B — 1 ТБ, NVMe.

С учетом доставки мы потратили около 16 тысяч рублей, причем треть этой суммы ушла на два офисных компьютера с аукциона. Средняя стоимость б/у диска с онлайн-барахолки около 1500 рублей.

Забегая вперед, на результатах этой закупки мы впоследствии решили прервать эксперимент.

Инструментарий «криминалиста»-любителя

Мы осознанно отказались от дорогих профессиональных комплексов из арсенала спецслужб. Взяли то, что могут позволить себе простые смертные, и этого оказалось вполне достаточно.

Использовали простой купленный 8 лет назад USB-SATA стакан на пару дисков, пару проводов USB-SATA и контроллер-адаптер для M.2-накопителей. Из софта — PhotoRec. Это бесплатная утилита с открытым кодом из пакета TestDisk. Она игнорирует файловую систему и сканирует диск сектор за сектором в поиске сигнатур — уникальных последовательностей байт, которыми начинаются файлы известных типов. Например, FF D8 FF E0 для JPEG или 25 50 44 46 2D для PDF-документов.

Программа находит сигнатуру и извлекает данные до тех пор, пока не наткнется на признак конца файла или начало следующего. Метод грубый, но рабочий. PhotoRec не восстанавливает имена и структуру папок, зато извлекает сами файлы.

Что скрывала «Фурочка»

Первым делом мы взялись за WD Black из пыльного компьютера с наклейкой Windows. Он принадлежал транспортной компании «Фурочка» (название, разумеется, изменено).

Таблица разделов была удалена, но PhotoRec это не остановило. После нескольких часов работы программа выдала около 300 тысяч файлов. 

Из-за особенностей программы она складывает всё найденное в папки по секторам. Внутри могут лежать и картинка, и текст, и база данных — всё без разбора. Поэтому, чтобы систематизировать архив, мы написали простенький bash-скрипт.

#!/bin/bash

# Define extensions in an array
extensions=("jpg" "jpeg" "png" "gif" "bmp" "tiff" "doc" "xls" 
"ppt" "pdf" "txt" "csv" "zip" "rar" "sql" "sh" "1cd" "1cl" "1cv8" "sqlite")

# Directory to search in
search_dir="./photorec_transcend"

# Directory where sorted files will go
output_dir="./sorted_transcend"

mkdir -p "$output_dir"

echo "File count report in: $search_dir"
echo "----------------------------------"

# Loop over extensions
for ext in "${extensions[@]}"; do
    count=$(find "$search_dir" -type f -iname "*.${ext}" | wc -l)
    printf "%-6s : %d\n" "$ext" "$count"

    if [ "$count" -gt 0 ]; then
        # Create subdirectory for this extension
        mkdir -p "$output_dir/$ext"

        # Copy files into the subdirectory
        find "$search_dir" -type f -iname "*.${ext}" -exec cp -n {} "$output_dir/$ext/" \;
    fi
done

echo "----------------------------------"
echo "Files copied to: $output_dir"
echo "Report complete."

Мы, конечно, догадывались, что нас ждет, но результат всё равно удивил. Мы получили цифровой слепок всей жизни небольшой компании. 

Восстановилось практически всё из разряда коммерческой тайны: локальные нормативные акты (приказы о назначении, внутренние регламенты), выгрузки из 1С, товарные и перевозочные накладные, прайс-листы, сканы договоров с поставщиками, таблицы с контактами юридических лиц, историей заказов и условиями сотрудничества.

Но самое пугающее — из кэша и SQLite-баз браузеров мы извлекли логины и пароли от разных веб-сервисов, включая корпоративную почту сотрудников. Ещё нашлись доступы к сервисам мониторинга грузоперевозок — с ними можно было бы отслеживать все машины компании в реальном времени. Конечно, если бы «‎Фурочка» не приказала долго жить.

Среди десятков гигабайт корпоративной рутины попадались крупицы личной информации, а кое-что вовсе тянуло на компромат. В одной папке — скриншоты из Overwatch. В другой — скажем так, пикантные фотографии. 

В теории с этого диска можно было восстановить огромный объем персональных данных и личных документов сотрудников, но копать в этом направлении мы не стали. Роскомнадзор такое точно не одобрит. Информации о компании нам хватило с лихвой, но это было только начало. Впереди ждала куда более крупная «рыба».

От случайной находки к расследованию

После находок на диске транспортной компании мы думали, что нас уже трудно удивить. Но потом купили у частника Dell MG03ACA100. Продавец привлек наше внимание тем, что регулярно сбывал подержанные винчестеры мелкими партиями. 

Если предыдущий диск был хаотичным складом Windows-документов, то этот оказался настоящим Клондайком для хакера. Когда-то на нем работала Linux, в которой, как известно, «всё есть файл». Конфигурации, настройки, пароли, скрипты — почти всё хранится в простых текстовых форматах. 

Мы открыли дамп, прочитали пару PDF… и тут же засомневались, стоит ли копать дальше. Судя по документам, диск работал в одном из областных филиалов крупной российской корпорации.

Чтобы убедиться в этом, мы поискали по всем файлам упоминания корпоративного домена. Нашли десятки bash-скриптов, которые, судя по комментариям, писали сотрудники IT-отдела. Скрипты автоматизировали мониторинг и настройку оборудования.

Но самое интересное ждало нас в логах и конфигурационных файлах. Мы запустили поиск по ключевому слову «password» — и в лог-файлах сервера нашлись пароли от веб-сервисов в открытом текстовом виде. Рядом лежал кэш почтового клиента с перепиской сотрудников — готовая база для составления целевых фишинговых писем. Здесь вам и примеры стиля общения, и должности, и внутренние проекты: изучайте на здоровье. Также в груде 8 миллионов текстовых файлов нашелся /etc/shadow с хэшами паролей.

Звонок в корпорацию

Конечно, мы нашли контакты директора по информационной безопасности компании-владельца и сразу сообщили об инциденте.

Реакция была быстрой и профессиональной. После короткой паузы на внутреннюю проверку и осознания масштаба проблемы сотрудники службы безопасности вышли на связь. Никакого недоверия или попыток замять историю с их стороны не было. Напротив, получился конструктивный диалог. Сначала нас попросили доказать опасность найденных хэшей. Мы запустили hashcat — и сбрутили их все.

Пароли оказались очень слабыми: Passw0rd1, Passw0rd2... Такие шаблонные комбинации подбираются за минуты. Теоретическая угроза превратилась в реальную уязвимость.

Мы предложили помочь в расследовании и провести «контрольную закупку» оставшихся дисков у того же продавца. Цель понятна: собрать больше улик и выйти на источник утечки внутри компании.

Сделка под прикрытием 

Через несколько дней мы снова открыли то самое объявление и написали продавцу. Диалог получился деловым и быстрым. «Диски в наличии — около 20 штук». Мы договорились купить всю партию. В переписке невзначай уточнили место встречи. Продавец — девушка Катя (все имена изменены) — без колебаний назвала домашний адрес и оставила номер телефона.

Итак, подъезд обычной московской многоэтажки. Звоним в квартиру. На улицу выходит молодой человек, который представляется Геной. Катя, наша «подруга по переписке», тоже здесь.

Гена выносит большую картонную коробку. Первое, что бросается в глаза, — наклейка с логотипом той самой компании. Вещественное доказательство налицо.

Внутри россыпь жестких дисков: шестнадцать штук по терабайту и ещё два «тяжеловеса» по 6 терабайт каждый. Мы идем ва-банк и пытаемся выяснить, откуда такое богатство.

«Откуда у вас столько дисков? Сами производите?» — задаем нарочито глупый вопрос. Гена усмехнулся и произнес фразу, ставшую лейтмотивом всей истории: «В компании порядок наводили».

Мы оплатили покупку безналичным переводом на номер Кати. В банковском приложении высветилось не только имя, но и первая буква фамилии — ещё одна ниточка.

Получили коробку, попрощались. Контрольная закупка завершена.

Теперь у нас сложились почти все частички пазла: имя продавца, номер телефона, адрес, фотографии из профиля в мессенджере. Анализ профилей и старых объявлений показал: продажа компьютерного железа была постоянным бизнесом этой пары. Они торговали не только дисками, но и роутерами Mikrotik, материнскими платами, SSD. Словом, всем, что обычно используется в корпоративной среде.

Похоже, мы столкнулись не с разовой акцией, а с небольшим «семейным бизнесом» по выносу и продаже списанного оборудования из компании. Всю информацию — ссылки на профили, скриншоты — мы передали службе безопасности для внутреннего расследования. Что делать дальше — нетрудно догадаться. Обычно следующий шаг службы безопасности любой компании — OSINT, то есть разведка по открытым источникам. В результате выяснилось, что девушка действительно работала в компании, но буквально за 2–3 недели до инцидента уволилась.

Сухие цифры

Безобидный эксперимент, начавшийся с покупки дисков по 1500 рублей за штуку, зашел дальше, чем мы планировали. Даже при такой небольшой выборке мы обнаружили те или иные данные десятков компаний. Каждая новая находка — это очередное расследование, объяснения со службами безопасности и риск быть неверно понятыми. Продолжать в том же духе не хотелось.

Мы решили больше не играть в агентов под прикрытием и занялись «скучной» статистикой. Хотелось понять, насколько типична такая ситуация и что вообще можно найти на подержанных дисках. 

Наше исследование далеко от идеала. Выборка небольшая, для некоторых SSD-накопителей мы даже не проводили детальный анализ — там оказалось слишком мало файлов. Инструментарий тоже накладывал ограничения. Специализированные forensic-инструменты помогли бы извлечь больше данных, но мы и не собирались писать научную работу. Даже на таком ограниченном материале мы столкнулись с критическими утечками в разных компаниях, а это уже говорит о системном характере проблемы.

Мы проанализировали восемь накопителей — три жестких диска и пять SSD общей емкостью 4,2 терабайта. 

Главный вывод: старые добрые HDD — настоящая золотая жила для цифровых археологов, чего не скажешь о современных твердотельниках. 

В среднем один файл в рамках нашего эксперимента обошелся в 0,001 рубля. На жестких дисках мы восстановили в среднем в 15 раз больше информации, чем на твердотельных накопителях. Серверный диск Dell на терабайт содержал 9,7 миллиона файлов — это 89,2% всех данных, найденных в нашем исследовании.

• HDD: средняя плотность — 3,813 файлов/ГБ. Диапазон — от 628 до 9723.

• SSD: средняя плотность — 251 файл/ГБ. Диапазон — от 0,2 до 815.

Емкость накопителя слабо связана с количеством восстановленных файлов. Тип носителя и характер использования оказались важнее объема.

Жесткие диски сохраняют «цифровой след» в десятки раз лучше, чем SSD. Когда вы удаляете файл с HDD, система просто помечает место как свободное — данные остаются на диске до тех пор, пока их не перезапишут новой информацией. 

Представьте библиотеку с каталогом у входа, где записано место каждой книги: «Война и мир» на стеллаже 5, полка 3, «Мастер и Маргарита» на стеллаже 12, полка 1. Быстрое форматирование сжигает каталог, но сами книги остаются на полках. В результате система видит пустую библиотеку, потому что ищет по каталогу, но человек может обойти стеллажи и посмотреть на корешки книг. Примерно так же работает и PhotoRec, который методично обходит диск и читает данные напрямую, игнорируя отсутствие оглавления.

С твердотельными накопителями всё иначе: операционная система отправляет команду TRIM, которая сообщает контроллеру диска о неиспользуемых блоках данных. Вскоре контроллер запускает процесс «сборки мусора» (Garbage Collection) и физически стирает эти блоки, чтобы подготовить их для новых записей.

Эксперимент по уничтожению данных

Продавцы нажали кнопку «Форматировать» и решили, что дело сделано. Как же уничтожить данные по-настоящему? Нужно записать поверх каждой старой страницы новую случайную последовательность нулей и единиц. Такая перезапись данных называется шредированием.

Мы взяли один из наших «боевых» дисков на 500 ГБ и запустили на нем стандартную утилиту shred — она встроена в большинство дистрибутивов Linux. Решили провести базовый, но надежный цикл уничтожения и проверить, останется ли хоть что-то на диске.

Семь часов непрерывной работы утилиты, и диск на 500 ГБ очищен.

При этом ненадежное «быстрое форматирование» занимает всего две секунды — вот почему и сисадмины, и простые пользователи часто пренебрегают безопасностью данных.

После шредирования мы снова подключили диск через «стакан» и запустили PhotoRec с теми же настройками, что и в первый раз. Ещё шесть часов спустя сканирование завершилось: утилита ничего не нашла.

Конечно, существуют более параноидальные методы защиты данных. Стандарт Минобороны США раньше предусматривал три или семь проходов перезаписи. Немецкий — семь проходов. Российский ГОСТ рекомендует от трех до шести циклов. Такие методы спасут даже от криминалиста в чистой комнате. Но если за вашими данными охотятся люди с подобным оснащением, то ваши проблемы куда серьезнее продажи старого диска. Для всех остальных случаев хватит и пары проходов shred. Проще только физически уничтожить диск.

Обыкновенный пофигизм

По итогам всей этой истории напрашивается вопрос: почему в 2025 году, когда о кибербезопасности не говорит только ленивый, компании продолжают выбрасывать свои данные на барахолки? Причин несколько, и все они упираются в экономику, психологию и обычную человеческую беспечность.

1. Для бухгалтерии крупной компании HDD — это расходный материал вроде пачки бумаги или картриджа для принтера. Потерять такой диск — не проблема. 

2. Как показал наш эксперимент, правильное уничтожение данных на одном диске занимает около 7 часов, а очистка оглавления — секунды. Для системного администратора, у которого десятки таких дисков и ещё вагон других задач, выбор, к сожалению, очевиден. 

3. Классическое «да кому это нужно?». Многие сотрудники, даже в IT-сфере, искренне верят, что их списанные диски и хранящиеся там данные никому не интересны. 

4. И, наконец, желание подзаработать. Это довольно распространенная проблема. Схема проста: сотрудник с доступом к списанному оборудованию выносит его и продает на онлайн-барахолке. Выручка небольшая, но постоянная. Это превращается в маленький, но стабильный бизнес.

Ставки выше, чем вы думаете: взгляд со стороны атакующего

А теперь представим, что вместо нас списанные диски покупает реальный киберпреступник. Что он может сделать с полученной информацией?

• Имея на руках сканы паспортов, СНИЛСы, адреса и телефоны, можно оформить на человека кредит, зарегистрировать фирму-однодневку, использовать эти данные для шантажа или социальной инженерии.

• Базы клиентов, прайс-листы, условия договоров, финансовая отчетность — это готовый бизнес-план для конкурента. Он позволяет переманивать клиентов, демпинговать и бить по самым уязвимым местам компании.

• Дешифрованные пароли от рабочих станций, доступы к внутренним веб-сервисам, почте и системам мониторинга — всё необходимое для успешной хакерской атаки. Злоумышленник мог бы закрепиться в сети, развернуть шифровальщик и парализовать компанию, требуя многомиллионный выкуп.

Ещё не стоит забывать, что с 2024 года в России действуют оборотные штрафы за утечки персональных данных. Для юридических лиц это может составить до 3% от годовой выручки. Внезапно семичасовая процедура shred уже не кажется такой долгой и бессмысленной, не правда ли?

P.S. Если хотите больше таких историй про аппаратный хакинг и корпоративную безопасность, заглядывайте в Telegram-канал: https://t.me/glinkinivan

PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад

t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона