Пример визуализации похищенных данных.Согласно информации издания РБК, следственными органами Московского межрегионального следственного управления на транспорте СК России при содействии управления «К» МВД и службы безопасности ОАО «Российские железные дороги» удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. На данный момент молодому человеку предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).
В ходе расследования было установлено, что в июне 2019 года молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации. Для удаленной авторизации на ресурсах ОАО «РЖД» злоумышленник использовал незаконно добытые им учетные записи двух пользователей работников ОАО «РЖД», имена этих сотрудников и способ получения их учетных записей не разглашены.
После того, как злоумышленник заходил под аккаунтами сотрудников внутрь корпоративной сети, за некоторое продолжительное время он совершил незаконное копирование нескольких сотен тысяч фотографий и сведений о работниках ОАО «РЖД», являющихся персональными данными. Позже эта информация была сгруппирована в единую базу данных и опубликована в открытом доступе в сети интернет на одном из интернет-ресурсов, хостинг которого расположен в Федеративной Республике Германия. Тем самым, по словам из заявления следственного коммитета РФ, был нанесен существенный вред законным интересам государства и общества.
В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»).
На сайте, который через несколько часов после публикации данной информации стал недоступен, была надпись: «Спасибо ОАО „РЖД“ за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». После опубликования данной информации представитель ОАО «РЖД» сообщил, что компания начала внутреннюю проверку и собирает материалы по этому инциденту для передачи правоохранительным органам, также в ОАО «РЖД» отметили, что данные о пассажирах и их заказах в эту утечку не попали. Тогда жа в следственном комитете уточнили, что утечка данных сотрудников ОАО «РЖД» произошла из-за несанкционированного проникновения на серверы компании, не предоставив больше дополнительной информации об этом происшествии.
И вот, спустя три месяца появилась официальная информация о ходе расследования, в которой сообщается о задержании подозреваемого в утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года. «Молодой человек признал вину в совершении указанной кибератаки на внутренние ресурсы ОАО «РЖД». В настоящее время следствием продолжается сбор доказательственной базы, расследование уголовного дела продолжается», — заявили представители следственного комитета. Небольшой видеоролик с задержанным можно посмотреть тут. В этом видео злоумышленник рассказывает, что не ожидал, что будет такой резонанс после опубликования данных в сети. Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
Задержанный молодой человек. Источник: СК России.
Вдобавок было дополнительно сообщено, что задержанный злоумышленник по своей специализации является хорошо подготовленным IT-специалистом, он использовал девяносто шесть уникальных IP-адресов при совершении своей удаленной атаки на ресурсы ОАО «РЖД». Каждая из вменяемых молодому человеку статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации) предусматривает наказание в виде лишения свободы на срок до двух лет.
«Подозреваемого удалось обнаружить благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям во взаимодействии со службой безопасности ОАО „РЖД“ и управления „К“ МВД», — подытожили представители следственного комитета.
В ОАО «РЖД» также подтвердили факт расследования. «В компании усилен контроль за соблюдением защиты информационных систем, прорабатываются дополнительные технические и организационные мероприятия по повышению уровня информационной безопасности», — дополнительно сообщил представитель ОАО «РЖД».
В ноябре 2019 года ОАО «РЖД» проводило другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».
15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».
А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что не выявили серьезных уязвимостей при проверке мультимедийного портала поезда «Сапсан».
Комментарии (45)
yotec
07.12.2019 14:17+1Непонятно при чем тут статья 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", если выложены были персональные данные работников. Или для ОАО РЖД персональные данные работников имеют коммерческую ценность?
Кстати, часть 1 статьи 183 — только собирание сведений, без разглашения!Alesh
07.12.2019 18:21+1ИНН и СНИЛС тысяч людей с привязкой к персональным данным я думаю попадают и под налоговую и под банковскую. К тожу же за персональные данные тоже есть отдельная ответственность.
yotec
07.12.2019 22:36Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, следственными органами, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, плательщике страховых взносов.
Банковская тайна: Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.
К тожу же за персональные данные тоже есть отдельная ответственность.
Увы, нет. Есть универсальная 272-я УК РФ «Неправомерный доступ к компьютерной информации».
dom1n1k
07.12.2019 14:32+1Ни в коем случае не оправдывая того мудака, всё же отмечу — я почти уверен, что он ничего не хакал, а просто вынес то, что валялось на какой-нибудь бухгалтерии или отделе кадров в свободном доступе.
balexa
07.12.2019 16:18Безусловно. Но если вы видите, что в квартире на окнах нет решёток, а дверь оказалась не закрыта — это ещё не повод выносить из квартиры телевизор, согласитесь.
playnet
07.12.2019 17:22Не повод. Увы, но без таких проишествий данные так и будут дальше валяться фактически в открытом доступе. Сотрудников, пассажиров…
А учитывая «особенности» нашей страны — просто обнаружить и передать хозяевам — в лучшем случае молча прикроют конкретную проблему без планирования системы по международным нормам — всяким HIPAA, PCI DSS и подобным, это не принесёт денег же, а в худшем ещё и посадят.
Ну и что, что можно сотней методов украсть эти данные и продавать их всем подряд, подход роспозора показывает всю политику страны — если проблему спрятать, её больше нет.
Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.
И очень неприятный пример. Представьте что у вас в городе начали воровать детей. Но вместо предупреждения граждан по всем каналам для повышения бдительности — все такие случаи будут засекречивать, всех кто посмеет что-то рассказывать — сажать в тюрьму, в сми будет полная тишина. При этом для поимки ничего делаться не будет, вдруг народ что-то заподозрит. Именно этим сейчас и занимается роспозор.Oxoron
07.12.2019 19:11+1Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.
Крупный скандал? Для 95% жителей страны (давайте предположим, что все жители прочли эту статью) все выглядит хорошо: какой-то дятел похулиганил, органы его обнаружили «благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям», дятлу светят несколько лет. Данные наверняка вернут обратно.
Это не скандал, это подвиг МВД.playnet
08.12.2019 01:01Тем не менее, внутри компании меры скорее всего тоже будут приняты. А при хоть немного адекватном руководстве — внутреннее расследование по уязвимости будут проведены, и отдельные руководители могут быть наказаны, может понижением в должности или переводом в другой отдел, но совсем бесследно не пройдёт. Хотя не скажу именно про ржд, но я слышал что например запись в школы через сайт госуслуг несколько лет подряд не работала в день Х, и там сменили руководство отдела.
PleaseKING
07.12.2019 22:17Все эти международные нормы, к сожалению, есть, по большей части, средство перекладывания ответственности и прикрытия своих мягких частей тела, а не обеспечения безопасности — см. Equifax и им подобные случаи. Такой же бардак, только дороже. Компетентных специалистов ничто не заменит.
playnet
08.12.2019 00:41Там прописаны в том числе нормы по строению баз и разграничению доступов, как удалённо, так и физически, аудитам. Отдельно таблица с параметрами номер-список, отдельно имя-номер… Даже тупое следование этим нормам уже существенно снижает риск серьёзных утечек и упрощает контроль доступа и анализ проишествий. Плюс это вектор специалистам, что нужно делать. Так что не могу сказать что это тупое прикрытие, хотя разумеется специалисты нужны.
PleaseKING
08.12.2019 01:15Я имею богатый опыт конкретно с HIPAA — там широчайший простор для технических реализаций (что и логично), главное там — распределение ответственности. Что уже не так и мало, но отнюдь не панацея. Насмотрелся я на формальный подход к этому, все по закону, притом утекает только так. Compliance != Security.
playnet
08.12.2019 15:16Я тоже по HIPAA больше года работаю. Думаете, от него нулевой эффект? Если нет — внедрять однозначно. Понятно что всегда можно накосячить, это не даёт 100% защиты. Но в целом ситуацию улучшает.
Согласны?PleaseKING
08.12.2019 20:31Ну вот в данном случае HIPAA вообще ничем не помог бы. Аудит помог бы увидеть, кто смотрел — и так увидели, со всеми бы тренинг провели, как надо жить — и тут наверняка провели, толку то. Был бы внешний аудит, на него можно спихнуть ответственность хотя бы репутационную, при этом ничто не мешает взять в аудиторы контору шараш-монтаж, которая теми же студентами укомплектована. Видел это все в реальности в США и Израиле. В итоге все пункты выполнены, мягкие места прикрыты, толку никакого.
Конечно, можно сделать по уму. Но HIPAA тут не при чем. Собственно меня зацепила фраза про защиту по международным стандартам — как будто эти самые стандарты сами по себе способны что-то защитить, либо наличие Заграничной Бумажки даёт какие-то плюсы. Не способны и не даёт. Проблемы решают люди, а не бумажки. Хотя бумажки могут умным людям помочь, спору нет.
fougasse
07.12.2019 14:58Блин, я уж подумал, что хакера из поезда таки задержали.
KonkovVladimir
07.12.2019 15:37-1del
fougasse
07.12.2019 15:40"… молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации."
keydon2
07.12.2019 16:19+1Робин гуд персональных данных! Отбирает данные у фсбшников, банкиров, кадровиков, других служб и отдает их обычным людям. Быть может так и рушится государственная монополия на данные и мы становимся чуть более равными.
God_root
07.12.2019 16:26Халатность руководства, ит-подразделения, кадровой службы и прочих, вплоть до начальника этого соплежуя. Я бы на месте контролирующих органов, выписал РЖД штрафец на 10млн рублей, может это заставит их прикупить железок в серверную, по типу Кронос. Любите и дальше студентоту нанимать, а не бородатых 30-45 летних вменяемых сотрудников, пусть и не шарящих в последних веенях, но зато с головой на плечах.
playnet
07.12.2019 17:39+110 мало, это зп их топов. Чтобы они начали чесаться, лучше штрафануть лямов на 500, и если за 3 года не приведут безопасность к международным стандартам — лярдов 5 ещё.
Увы, это никому не нужно и такого в этой стране точно не будет.loki82
07.12.2019 18:00+1Ага. А потом дотации и прочие прелести. Сколько взяли помножили на 10 и вернули обратно.
UPD. Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления. И как раз на такие суммы.Oxoron
07.12.2019 19:16Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления.
Отвественные люди вводят промежуточную должность, на неё переводят ответственность, и назначают зарплату выше среднего. Или создают проект «ИБ», при этом ответственным за ИБ (и последствия) назначается подчиненный. Или нанимают подрядчика, скидывая ответственность на него.loki82
07.12.2019 19:21Так может так и надо делать? Он мозг склюет что надо делать выделять бюджет доносить до вышестоящего. Не каждый согласится себя подставить.
CherryPah
08.12.2019 01:21Не каждый согласится себя подставить
У нас дураков которые за 100 рублей клады разносят на сто лет вперед припасено. За возможностью поработать зицпредседателем, еще и на хорошем окладе — очередь выстроится и передерется
fougasse
07.12.2019 21:24+1Так может начать работать правоохранителям и все вот эти промежуточные должности определять и штафовать конкретных бенефициаров всего этого банкета?
Но для этого работать нужно, а не палки собирать.
iSherhan
07.12.2019 16:39Теперь из-за этого инцидента не работает my.rzd.ru. И непонятно будет ли дальше работать. А жаль, удобный по работе был ресурс.
halted
07.12.2019 18:27+2Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
как феноменальная память у виновника, мельком глянуть и запомнить пароль вида jP@as;1Xdf$loki82
07.12.2019 18:37Ему помогли вспомнить. ) Ну и на такой выборке данные могут и случайно совпасть.
sergeyns
07.12.2019 19:58А может там пароль вида 8-999-123-12-12
(типа телефон, или день рождения). Тут хошь-нехошь придется про «бумажку» рассказывать, иначе совсем глупоhalted
07.12.2019 20:03т.е. обладатель паспорта имеет настолько паршивую память, что неспособен запомнить легкий пароль? Да и не верится, что требования к паролю настолько занижены.
loki82
07.12.2019 21:22Не все пин 4х значный запоминают. А тут как я понял навязанный сервис. Как на него реагировать? Какой пароль ставить?
playnet
08.12.2019 00:55Как ни странно, политика частой смены пароля ведёт к таким же результатам. Можно помнить 1 пароль на всё, можно потом его менять с привязкой на конкретный сервис (T00LateForCoffe@mailru) — сложный, цифры (0), большие-маленькие, спецсимволы, уникальный под каждый сервис, нужно знать логику формирования), но когда менять его надо каждый месяц — дальше появится или всегда одинаковая последовательность (1019 — ноябрь 19 года), а при «ваш пароль похож на прошлые» или принудительная выдача пароля — он БУДЕТ записан. И лежать под клавой/в паспорте/наклеен на монитор. Это неизбежность. С этим невозможно бороться, 90% людей уже 3-4 пароль не смогут запомнить. Поэтому и имеет смысл введения дополнительных факторов типа google auth или duo security, а для рабочих мест — карта плюс постоянный пароль, который пользователь сам придумал.
pyrk2142
07.12.2019 22:18Не могу сказать, что у меня отличная память (хотя и не сильно жалуюсь), но этот пароль я запомнил сразу после прочтения комментария, а если утекший пароль был написан от руки, то для некоторых людей в этом будет ещё больше зацепок для запоминания.
В этом плане радуют разные конторы (от театров до банков), которые оставляют в разных местах бумажки с паролями и данными сотрудников. При наличии времени (а его было много, пока я ждал менеджера в банке) запомнить ФИО и номер карты другого клиента было несложно.
mSnus
08.12.2019 09:48Ерунда какая-то. Звучит как дурной детектив "Соблазнил главного бухгалтера Тамару Филипповну 1953-го года рождения с целью завладения её учётными данными для доступа..."
Допустим, ладно, сотрудник хранит у себя в паспорте бумажку с паролем. Данные явно из отдела кадров или бухгалтерии. Дальше вопросы:
- почему доступ сотрудников бухгалтерии организован по паролям, не по картам, например?
- зачем к компам бухгалтерии есть вообще удалённый доступ?
- причем удалённый доступ с произвольного адреса (..96 ip-адресов, да?)
- почему нет аудита доступа к большому количеству записей с одного аккаунта сотрудника?
Это какая то дыра в дыре...
alexam713
09.12.2019 13:57-1Лапша это все. В нормальной системе доступа к базе целиком нет ни у кого. Да и не нужен он никому. Доступ бывает к отделным записям и у начальников к отчетам.
d1mk0
Жаль, что нет технических подробностей, как вышли на злоумышленника. От того и оценить уровень сложности проделанной отделом К работы не получится.
smind
Я думаю было примерно так — вяли за жабры того под чьим логином качалась информация, дальше пробито окружение.