Пришло время для наших нетривиальных ИБ-инцидентов. Традиционно в дайджесте собрали истории, которые больше всего впечатлили нас в марте – в программе хирург, который на спор провел стрим во время операции, поставщики, допустившие утечку данных Nespresso, и компания, попавшая на 15 миллионов из-за слишком легкого пароля.
Что случилось: Хакеры
Как это произошло: 14 марта на сайте Denso появилась информация о том, что компания подверглась атаке. После того, как специалисты обнаружили подозрительную активность, Denso незамедлительно отключила сетевое подключение устройств. По заявлению компании, инцидент не привел к нарушению производственной деятельности и заводы продолжили работу в обычном режиме.
Компания промолчала о злоумышленниках, однако ответственность за утечку взяла на себя киберпреступная группа Pandora. Хакеры утверждают, что им удалось украсть 1,4 ТБ данных Denso.
Хак-группа предоставила список файлов, предположительно украденных у Denso. В нем десятки тысяч документов, электронных таблиц, презентаций и изображений, многие из которых содержат данные о клиентах и сотрудниках.
Неясно, как хакеры получили доступ к сети компании, но после того, как Pandora объявила об атаке, нашелся исследователь, который заявил, что предупреждал Denso об угрозе еще пару месяцев назад. В частности, ИБ-эксперту стало известно, что в даркнете продают доступ к ее сети. Но компания не обратила на это внимание – и поплатилась.
Denso
Что случилось: Хирург
Как это произошло: Врач одной из индийских больниц поделился в Twitter видео, на котором проводил хирургическую операцию. В твите пользователь под ником Shreeveera пояснил, что ввел пациенту анестезию, после чего интубировал его, а затем подключил к аппарату искусственной вентиляции легких.
Оказалось, что хирург участвовал в споре о том, кто делает лучшую консоль – Sony или Microsoft. Спор разгорелся не на шутку: фанаты Xbox усомнились, что в PlayStation могут играть взрослые образованные люди, а не «глупая школота». В частности, они не поверили, что яростный интернет-воин Shreeveera действительно хирург, как написано в его профиле.
На это индийский врач решил доказать свою правоту делом – и опубликовал злополучный твит. До того, как видео удалили из профиля, пользователи успели разглядеть на нем мужчину в маске в операционной, а также его пациента. Чего только ни сделаешь, чтобы выиграть в бессмысленном споре! Shreeveera остался доволен собой, завершив твит гордым: «Спасать жизни – моя работа, интернет-войны – хобби. Попробуйте поспорить с этим, иксбоксеры!».
Тем временем после инцидента на больницу обрушился шквал негативных отзывов. Теперь у больницы рейтинг всего 1,1 из 5. Разгневанные пользователи писали о том, что хирург нарушил медицинскую этику.
Дефолтная классикаЧто случилось: Хакеры
Как это произошло: TransUnion South Africa официально заявили, что инцидент произошел по вине неизвестных, получивших доступ к их серверу в ЮАР с помощью украденных учетных данных. Но украденных ли?
Ответственность за утечку взяла на себя бразильская хакерская группа N4ughtysecTU. Хакеры утверждают, что ходе кибератаки им удалось скачать 4 ТБ данных компании, включая незашифрованную базу с 54 миллионами клиентских данных. При этом они отрицают, что украли учетные данные. N4ughtysecTU заявляют, что им это бы и не понадобилось – ведь чтобы взломать сервер, оказалось достаточно ввести пароль «password».
TransUnion South Africa пообещала, что
Что случилось: То ли хакеры, то ли инсайдеры
Как это произошло: Пользователи заметили, что на платформе перестали загружаться каталоги, не получается оплатить заказ и привязать или отвязать карту. Некоторые даже столкнулись с тем, что не могли войти в мобильное приложение и отследить уже оплаченные заказы, потому что не отображались QR-коды для получения посылок. С проблемами столкнулись и поставщики, которые не смогли войти в личный кабинет и отправить товары со складов. За день количество сообщений об ошибках составило более 12 тысяч.
Представители маркетплейса не комментировали ситуацию больше суток, но позже сделали заявление о том, что у сервиса технические неполадки. Версий о причинах сбоя в работе Wildberries несколько и все сводятся к кибератаке. 15 марта CDEK со ссылкой на данные «Киберполигона» во внутренней рассылке оповестили сотрудников о том, что Wildberries подвергся кибератаке. Также в письме упоминалась утечка более 100 тысяч российских карт, поэтому CDEK рекомендовал сотрудникам заблокировать привязанную к маркетплейсу карту. Позже представители логистической компании объяснили, что часто рассылают сотрудникам подобные письма для «перестраховки». 17 марта CDEK
По другой версии, популярный маркетплейс взломали хакеры OldGremlin. Киберпреступники нарушили работу сайта и захватили над ним контроль. По еще одной версии, Wildberries взломали свои же – русские хакеры, которые уничтожили почти всю инфраструктуру, включая бэкапы.
Начальник ИБ «СёрчИнформ»
Что случилось: Крупнейшая сеть заправочных станций Румынии
Как это произошло: Дочерняя компания KMG Rompetrol заявила, что подверглась кибератаке, в результате которой была вынуждена приостановить некоторые услуги на станциях и закрыть веб-сайты. По данным Bleeping Computer, ответственность за кибератаку на Rompetrol взяла на себя хак-группа Hive.
Хакеры угрожают газовому гиганту слить в открытый доступ все данные, зашифрованные во время атаки, если Rompetrol не заплатит выкуп в размере 2 млн долларов. Неизвестно, намерена ли Rompetrol или ее материнская компания KMG соглашаться на условия вымогателей, но компания заявила, что тесно сотрудничает с киберорганами «для разрешения ситуации». В официальном пресс-релизе Rompetrol говорится, что не все бизнес-процессы были скомпрометированы, так что автомобилисты по-прежнему могут расплачиваться за бензин наличными или банковской картой.
Есть и другая – конспирологическая версия инцидента. Истиной целью хакерской атаки якобы мог быть крупнейший румынский нефтеперерабатывающий завод Petromidia. По неподтвержденным данным, хакерам на самом деле удалось взломать ИТ-инфраструктуру завода через брешь в каналах коммуникации с контрагентом. Это ли не растущий тренд атак на КИИ?
По зернышкуЧто случилось: Сторонний поставщик
Как это произошло: Известно, что южноафриканский дистрибьютор Nespresso разослал клиентам уведомления о возможной утечке, которая могла затронуть их имена, номера телефонов и адреса электронной почты. В утешение дистрибьютор заверил, что платежные данные клиентов не пострадали. В заявлении также говорится, что личная информация клиентов могла быть раскрыта через стороннего поставщика Nespresso.
Позже представители Nestle и Nespresso рассказали журналистам, что они искренне сожалеют о сложившейся ситуации и сделают все возможное, чтобы инцидент больше не повторялся. Вроде и похвалить за честность хочется, но, как показывают другие примеры, публичное покаяние никак не спасает клиентов от неприятных последствий….
Что случилось: Хакеры слили в открытый доступ данные клиентов «Яндекс.Еды» - той самой, которая в начале месяца сама уведомила клиентов об утечке (что похвально) и уверяла, что никаких серьезных данных слито не было (а вот тут уже вопросики).
Как это произошло: 1 марта компания сообщила о том, что обнаружила утечку клиентских данных по вине недобросовестного сотрудника. «Яндекс Еда» обратилась в полицию с заявлением о несанкционированном доступе к данным клиентов и извинилась перед пользователями, которые пострадали в результате утечки. Компания уверяла, что утечка не затронула критичных данных, и пользователям можно спать спокойно. Но этим дело не кончилось.
22 марта по Telegram-каналам разлетелась ссылка, которая вела на сайт с интерактивной картой. Неизвестные хакеры визуализировали личные данные пользователей Яндекса так, что можно было посмотреть имя, номер телефона, адрес и даже общую сумму заказов за последние 6 месяцев. Реакция пользователей на утечку не заставила себя ждать. Одни смогли обнаружить «похождения» своих вторых половинок, а другие пожаловались на то, что общая сумма, потраченная на заказы, огорчила их гораздо больше, чем утечка.
Сервис «Яндекс.Еда» новую
Что случилось: Больница Mon Health в Западной Виргинии
Как это произошло: Согласно письму, Mon Health обнаружила утечку данных некоторых пациентов, поставщиков и сотрудников еще 30 декабря 2021 года. Киберэксперты предполагают, что злоумышленники получили доступ к такой информации о пациентах, как: имя, адрес, дата рождения, номер медицинской карты и счета пациента, идентификационный номер медицинского страхования, даты посещения больницы, информация о претензиях, диагнозах и ходе лечения.
Представители больницы рассказали, что приняли все меры предосторожности, включая отключение систем, сброс паролей и уведомление правоохранительных органов. Пока киберэксперты не зафиксировали какое-либо неправомерное использование личной информации пациентов, но Mon Health уже предложила пострадавшим бесплатное годовое членство в службе защиты личных данных IdentityWorks. Но вряд ли это убережет пострадавших пациентов от попыток шантажа и манипуляций со стороны мошенников, или по меньшей мере спам-рекламы низкокачественных препаратов.