Взломанный и слитый 2020-й год

В интернет переходит все больше и больше сфер нашей жизни, таких как здравоохранение, финансы, досуг. Все это связано с личной, конфиденциальной информацией пользователя. Ежегодный рост количества утечек разного рода информации демонстрирует уверенный интерес злоумышленников к несанкционированному доступу к личным данным. Большая часть подобных инцидентов приходится на платежную информацию, а также на персональные данные. Резкий рост количества работающих удаленно людей провоцирует увеличение роста утечек через электронные каналы за счет снижения доли бумажного документооборота и большего количества аккаунтов с удаленным доступом к корпоративным сетям. Увеличивающими количество утечек информации являются и следующие факторы:

• Работники воруют данные, когда не уверены в завтрашнем дне или их доход снизился.
• Сейчас работники получили доступ к корпоративной информации из дома и могут копировать ее быстро и бесконтрольно.
• Ряд компаний во время пандемии фиксировали до десяти новых утечек баз с данными граждан — клиентов интернет-магазинов, посетителей сайтов и др.
• ИБ-эксперты видят опасность в слабой защите государственных баз данных. Как отмечают ведущие аналитики в сфере информационной безопасности, чиновники часто считают, что в урезанном формате данные не представляют интереса для злоумышленников. Однако, если собрать вместе Ф.И.О., паспортные данные и номер телефона, то такой объем сведений уже смогут использовать мошенники, в том числе для поиска контактов с инсайдерами, например, в телеком-компаниях.

2020-й год был богат на множество атак и взломов. Информация, в том числе и персональная, давно стала предметом торговли и вымогательства на просторах Сети. Давайте вспомним, что же случилось в 2020 году.

Январь

Estée Lauder, хищение 440 млн. записей

Киберпреступникам удалось скачать с сервера компании Elasticsearch базу данных, содержащую около 440 млн. записей, которая включала и адреса электронной почты, и журналы ИТ. База данных, размещенная на облачной платформе Microsoft Azure с тех пор защищена паролем, но неясно, как долго она могла быть открыта и имел ли кто-либо доступ к каким-либо данным. Согласно отчету эксперта Иеремия Фаулера база содержала множество данных Estée Lauder, в том числе:

• Электронные письма пользователей, хранящиеся в виде обычного текста, включая внутренние адреса электронной почты из домена @estee.com.
• Многочисленные внутренние журналы ИТ, включая отчеты о производстве, аудите, ошибках, системе управления контентом и промежуточного программного обеспечения.
• Ссылки на отчеты и другие внутренние документы.
• Ссылки на IP-адреса, порты, пути и хранилище, используемые в компании.

Согласно заявлению представителя Estée Lauder, «эта образовательная платформа не была ориентирована на потребителя и не содержала данных о потребителях. Мы не обнаружили доказательств несанкционированного использования временно доступных данных». По мнению же экспертов, данных, которые могли быть похищены в результате отсутствия контроля доступа к базе данных, регистрации доступа и шифрования, может оказаться достаточно для планирования дальнейших атак.

Февраль

База данных регистрации избирателей Израиля

По словам израильского разработчика, вся база данных регистрации избирателей Израиля, содержащая около 6,5 млн. человек, была доступна в интернете из-за элементарной ошибки в коде в приложении для проведения выборов. В результате ошибки были обнаружены полные имена, адреса, номера телефонов, номера удостоверений личности, пол и другая личная информация. Компания Elector Software, разработавшая приложение, утверждает, что это был «разовый инцидент, который был немедленно устранен». Неясно, как долго длилось воздействие и получали ли злоумышленники другие данные.

Elector — это мобильное приложение и web-приложение. В web-приложении Ран Бар-Зик, разработчик интерфейса, выбрал «просмотреть исходный код» в браузере, который показывает HTML-код web-сайта. В код был встроен путь к файлу, помеченный как «get-admin-users». Ран Бар-Зик просто скопировал и вставил его обратно в адресную строку, а затем внезапно увидел список администраторов, включая их имена пользователей и пароли.

Компания Elector Software допустила несколько ошибок при разработке приложения:

1. Не было аутентификации для доступа к API, позволяющего доступ к учетным записям администратора, и двухэтапной проверки.
2. Был открыт доступ с IP-адресов за пределами Израиля.

Март

T-Mobile

В результате утечки данных T-Mobile были обнаружены ограниченные данные о клиентах, включая настоящие имена и адреса, номера телефонов, номера счетов, тарифные планы и платежную информацию. Нет никаких указаний на утечку паролей или номеров кредитных карт и социального страхования, но это все равно имеет значение.

«Наша команда по кибербезопасности выявила и остановила вредоносную атаку против нашего поставщика электронной почты, которая привела к несанкционированному доступу к определенным учетным записям электронной почты сотрудников T-Mobile, некоторые из которых содержали информацию об учетных записях клиентов и сотрудников T-Mobile», — говорится в сообщении компании.

Телекоммуникационная компания не сообщает никаких других подробностей о взломе, поэтому нет никаких сведений и о виновнике. К сожалению, это не первый инцидент с безопасностью для T-Mobile, поскольку компания пережила аналогичный случай в ноябре 2019 года, когда в результате взлома были обнаружены данные о предоплаченных клиентах. Кроме того, в 2018 году в результате утечки данных были скомпрометированы личные данные 2,3 млн. клиентов.

Keepnet Labs -компания, занимающаяся информационной безопасностью

По данным Keepnet Labs, база данных стала доступна, когда ее поставщик перемещал индекс на другой сервер Elasticsearch. По словам компании, во время операции брандмауэр был отключен примерно на 10 минут, чего достаточно, чтобы онлайн-служба проиндексировала базу данных.

На сервере хранились базы данных с 5 млрд. записей. Сами данные представляли собой данные об утечках информации при инцидентах безопасности, произошедших в период с 2012 по 2019 год — в основном записи хешей паролей от аккаунтов популярных онлайн-сервисов Adobe, Twitter, LinkedIn, VK. 10 минут хватило для утечки всех данных.

В экземпляре Elasticsearch, как сообщает Боб Дьяченко из Security Discovery, было две коллекции: одна содержала 5 088 635 374 записей, а другая — более 15 млн. записей. Этот второй сборник постоянно обновлялся. По словам исследователя безопасности, данные были хорошо структурированы и включали тип хеша, год утечки, пароль (хешированный, зашифрованный или открытый текст, в зависимости от утечки), адрес электронной почты, домен электронной почты и источник утечки. Хакеры получили удобную структурированную базу данных уязвимостей и паролей.

Социальная сеть и портал Weibo

Хакеры разместили базу данных, содержащую личные данные более 538 млн. пользователей Weibo, для продажи в даркнете всего за 238 долларов или 1799 юаней. Это произошло из-за неправильной конфигурации серверов Elasticsearch. База данных содержит личную информацию, включая имена, идентификаторы Weibo, количество сообщений, количество подписчиков, пол и местонахождение, а также контактные телефоны почти 172 млн. пострадавших пользователей.

По некоторым данным, хакеры смогли проникнуть в китайские социальные сети где-то в середине 2019 года. Хотя Weibo признал утечку, он преуменьшил значение инцидента, заявив, что данные были собраны с использованием незаконного программного обеспечения. Эксперты, внимательно следящие за этой проблемой, предполагают, что в заявлении Weibo есть неточности. Хотя компания заявила, что данные были извлечены с помощью API, эксперты предполагают, что данные включают детали, которые обычно не передаются с помощью API.

Апрель

Nintendo

Киберпреступники получили доступ к 160 000 учетных записей пользователей японской компании Nintendo. Злоумышленники могли получить доступ к информации учетной записи, такой как псевдонимы Nintendo, даты рождения, страны происхождения, регионы и адреса электронной почты, включая параметры банковских карт владельцев Nintendo. Nintendo подтвердила, что хакеры злоупотребили ее интеграцией NNID. NNID означает Nintendo Network ID (NNID), которая представляет собой устаревшую систему входа в систему, используемую для управления учетными записями на старых платформах Wii U или Nintendo 3DS. На новых устройствах Nintendo пользователи могут связать свои старые учетные записи NNID с профилем Nintendo. Nintendo не уточнила, что именно происходило за кулисами, но заявила, что хакеры злоупотребили этой интеграцией, чтобы получить доступ к основным профилям Nintendo.

Май

Авиакомпания EasyJet

EasyJet сообщила, что к личной информации 9 млн. клиентов был получен доступ в результате «очень сложной» кибератаки на авиакомпанию. Был получен доступ к адресам электронной почты и информации о поездках. Из 9 млн. пострадавших у 2208 были украдены данные кредитной карты. Паспортные данные раскрыты не были. EasyJet не сразу сообщила подробности того, как произошло нарушение, но сообщила, что «закрыла этот несанкционированный доступ», и поставила в известность об инциденте Национальный центр кибербезопасности и Управление комиссара по информации (ICO). Возможности ICO по наложению штрафов на компании увеличились в соответствии с Общим регламентом ЕС о защите данных.

Следует отметить, что, согласно регламенту, штраф может быть наложен не только на европейские, но и на зарубежные компании, обрабатывающие данные граждан Евросоюза. Потому азербайджанским компаниям, работающим с европейскими гражданами, следует быть осторожными и уделять внимание защите персональных данных.

Июнь

Онлайн-школа английского языка SkyEng

Утечка данных 5 млн. учащихся онлайн-школы английского языка SkyEng. База содержит данные клиентов сервиса, включая телефоны, электронную почту и логин в Skype, а также 270 000 записей о пользователях из России — учителях, учениках и сотрудниках компании. Стоимость доступа к данным оценивается злоумышленниками менее чем в 600 долларов. База данных утекла вследствие доступа к серверу MongoDB весной 2020 года. Одним из сценариев утечки является атака извне на сервер, который хранит данные пользователей.

Июль

Бюро путешествий CouchSurfing

CouchSurfing, онлайн-сервис, который позволяет пользователям находить бесплатное жилье, узнал о нарушение безопасности после того, как хакеры начали продавать данные о 17 млн. пользователей на каналах Telegram и хакерских форумах. Данные CouchSurfing в настоящее время продаются за 700 долларов.

Агентство ZDNet получило небольшую выборку данных. Образец включал такие данные, как идентификаторы пользователей, настоящие имена, адреса электронной почты и настройки учетной записи CouchSurfing. Пароли пользователей не были включены, хотя неясно, взяли ли хакеры пароли или просто решили не делиться ими. Источник агентства ZDNet разделяет теорию о том, что данные CouchSurfing могли быть получены из незащищенного файла резервной копии. Большинство файлов резервных копий часто оказываются в неправомерном доступе из-за ослабленного контроля, по сравнению с основными серверами баз данных.

Twitter, сброс паролей на 130 аккаунтах, личная переписка 8 аккаунтов

В аккаунтах использовалась двухфакторная аутентификация, но злоумышленников это не остановило. На взломанных страницах были размещены ссылки для перевода криптовалюты. В ходе операции злоумышленникам удалось взломать одни из самых значимых Twitter-аккаунтов, принадлежащие Джо Байдену, Бараку Обаме, Илону Маску, Биллу Гейтсу, Канье Уэсту и другим селебрити.

Представили сервиса сообщили, что киберпреступники скорее всего скачали личные сообщения около 8 учетных записей. В итоге в руки мошенников попала персональная информация: телефонные номера, адреса электронной почты и т.п. По словам представителей Twitter, атакующие пытались загрузить целиком архив «Your Twitter Data», в котором содержались и личные переписки. Преступники могли завладеть даже удаленными личными сообщениями, поскольку Twitter хранит их на серверах какое-то время. Twitter уже признал, что в атаке использовались внутренние инструменты социальной сети.

Июль

База данных голосовавших за поправки в Конституцию Российской Федерации

В Сеть утекли паспортные данные проголосовавших за поправки в Конституцию — 1,1 млн. записей. Продавец на одном из сайтов в дарквебе оценил информацию в 1 доллар за строку оптом и в 1,5 доллара — в розницу. Предлагается дополнительный сервис — используя номера и серии паспортов, собрать базы под их покупателя, добавив данные о кредитной истории или, например, СНИЛС и ИНН. В качестве рекламы продавец сообщает о большом спросе на данную информацию из-за актуальности базы и утверждает, что ему уже удалось реализовать несколько десятков тысяч строк. Руководитель Общественного штаба по наблюдению за общероссийским голосованием отметил, что база содержит недействительные данные паспортов. О данной утечке в начале июля сообщило интернет-издание Meduza. К сотрудникам издания попала специальная программа в виде исполняемого файла «degvoter.exe». С ее помощью сотрудники УИК выясняли, был ли конкретный гражданин записан в избиратели и голосовал ли он дистанционно. Сотрудники Meduza беспрепятственно получили доступ к базе данных «db.sqlite», где присутствовали паспортные данные голосовавших, правда, в зашифрованном виде.

Август

Гостиничная сеть Marriott

Британский орган по надзору за конфиденциальностью данных оштрафовал сеть отелей Marriott на 18,4 млн. фунтов стерлингов за серьезное нарушение данных, которое могло затронуть до 339 млн. гостей. Нарушение затронуло 7 млн. гостевых записей для жителей Великобритании. Первая часть кибератаки произошла в 2014 году, затронув группу Starwood Hotels, которую через 2 года приобрела Marriott. Но до 2018 года, когда проблема была впервые обнаружена, злоумышленник продолжал иметь доступ ко всем затронутым системам, включая:

• имена;
• адрес электронной почты;
• телефонные номера;
• номера паспортов;
• информация о прибытии и отправлении;
• VIP статус;
• номера программ лояльности.

Исходя из этого, ICO заявило, что Marriott не смог защитить личные данные в соответствии с требованиями Общего регламента защиты данных (GDPR). Отчет ICO ясно показывает, что Marriott слишком поздно усилила безопасность ИТ-систем Starwood, и хакеры получили полную свободу действий, выбирая данные, которые лучше всего продавались бы на криминальных форумах.

Дональд Трамп и Twitter

Голландский исследователь в области кибербезопасности Виктор Геверс заявил, что ему удалось взломать Twitter-аккаунт Дональда Трампа. Ему помогло отсутствие двухфакторной аутентификации и слабый пароль президента США. Понадобилось всего пять попыток, чтобы угадать пароль, защищавший учетную запись Трампа — «maga2020!». После подбора данных специалист смог войти в аккаунт @realdonaldtrump, поскольку не была включена базовая двухфакторная аутентификации (2FA). Несмотря на заявление Геверса, Twitter опровергает информацию о взломе учетной записи Дональда Трампа. «Мы не увидели никаких доказательств, в какой-либо мере подтверждающих опубликованную голландской прессой информацию. Мы заранее предприняли максимально возможные защитные меры для всех аккаунтов, связанных с выборами президента США», отметили в компании. А сейчас Twitter и вовсе заблокировал профиль Трампа.

Ноябрь

Blackbaud, потеря данных и шифровальщики

Ведущему поставщику облачного программного обеспечения Blackbaud предъявили иск по 23 предложенным групповым искам потребителей в США и Канаде, связанных с атакой программы-вымогателя, от которой компания пострадала в мае 2020 года. Поставщик облачного программного обеспечения также получил около 160 исков, связанных с атакой программ-вымогателей, от клиентов и/или их адвокатов в США, Великобритании и Канаде. Атака программы-вымогателя, непосредственно виновная в привлечении к ответственности поставщика программного обеспечения, была раскрыта компанией 16 июля 2020 года.

В число организаций, пострадавших от атаки программ-вымогателей на Blackbaud, входит длинный список организаций, таких как благотворительные организации, некоммерческие организации, фонды и университеты из США, Канады, Великобритании и Нидерландов. Компания заявила, что ей удалось помешать злоумышленникам полностью зашифровать ее системы, но не раньше, чем они украли «копию подмножества данных. Blackbaud заплатила выкуп, запрошенный злоумышленниками после того, как они подтвердили, что украденные данные были уничтожены.

Blackbaud пришлось потратить более 3 млн. долларов на ликвидацию последствий атаки в период с июля по сентябрь, а также было зарегистрировано почти 3 млн. долларов накопленных страховых возмещений за тот же период.

Декабрь

Whirlpool

Американская корпорация Whirlpool — один из крупнейших производителей бытовой техники в мире. Системы компании пострадали от операторов известной программы-вымогателя Nefilim. Представители Whirlpool считают, что корпорацию атаковали в ноябре прошлого года. «В этом месяце Whirlpool обнаружила в своих системах присутствие шифровальщика. Вредоносную программу удалось максимально оперативно детектировать и нейтрализовать», — гласит официальное заявление. Также в сообщении Whirlpool представители уверяют, что данные клиентов не пострадали, однако корпорация продолжает внутреннее расследование, которое поможет точно определить масштаб кибератаки.

Пока известно, что киберпреступники получили доступ к ряду конфиденциальной информации. Более того, операторы Nefilim опубликовали данные на одном из соответствующих сайтов, поскольку Whirlpool так и не заплатила выкуп. Как отметили в корпорации, слитые сведения касаются сотрудников, киберпреступники утверждают, что в их распоряжении есть гигабайты других важных данных.

Утечка данных о пациентах, переболевших коронавирусом в Москве

В начале декабря 2020 года случилась утечка личных данных примерно 100 000 жителей Москвы, переболевших коронавирусом. Размер архива украденных данных — примерно 1 Gb. Он содержит 362 файла различных форматов. В файлах записано более 100 000 строк, которые включают в себя Ф.И.О., номера полисов ОМС, контактные телефоны и другие сведения. В архиве присутствуют личные данные заболевших в период с апреля по июль этого года. По некоторым сообщениям, утечка также коснулась серверов 1С и данных для подключения к системе, ведущей учет заболевших коронавирусом.

SolarWinds

Согласно последним данным, киберпреступники смогли скомпрометировать систему сборки софта, используемую для мониторинговой платформы Orion. Благодаря этому у атакующих появилась возможность рассылать вредоносные обновления клиентам SolarWinds. Представители американской компании считают, что киберпреступники контролировали процесс поставки апдейтов с марта по июнь 2020 года. Предположительно, хакеры использовали уязвимость сервера, на котором был запущен Orion. По словам SolarWinds, компания уведомила о киберинциденте около 33 000 клиентов, однако есть основания полагать, что вредоносные обновления дошли лишь до 18 000 организаций. Разработчики уточнили, что уязвимые версии апдейтов рассылались с марта по сентябрь. Исходный код продуктов Orion, судя по всему, остался нетронутым. Вопрос вызывают действия большинства компаний, которые подверглись атаке (среди которых такие гиганты в сфере ИТ-безопасности как Microsoft и FireEye). Успешность атаки говорит о том, что в компаниях отсутствовала многоуровневая система защиты сети и анализа от атак типа 0-day, отсутствие контроля подключений к важным серверам и двухфакторная аутентификация для затронутых в атаках ресурсов.

Что делать в 2021 году?

События 2020 года показали необходимость внедрения в компаниях ряда систем:

• Контроль и запись действий пользователей, в том числе удаленных.
• Аналитика действий пользователей и администраторов на предмет некорректных или не стандартных действий.
• Многофакторная аутентификация для всех систем.
• Анализ уязвимостей на предмет 0-day для всех файлов и данных, попадающих в системы, в том числе и второстепенные.
• Анализ сетевого трафика на предмет аномальных явлений.

 

Александр Тварадзе, менеджер по развитию бизнеса в Азербайджане, Грузии и Турции, компания Fudo Security
LinkedIn: https://www.linkedin.com/in/alexander-tvaradze/