(Не) безопасный дайджест: запатентованный слив, открытый бангладешский реестр и взлом водоочистной станции

Пришло время разобраться, был ли июль жарким на инциденты. В традиционном дайджесте собрали самые впечатляющие истории, о которых писали СМИ. Тут и послевкусие утечки австралийского страховщика Medibank, и расследование масштабной утечки Nickelodeon, и даже ненадежные сотрудники с тягой к миллионам Amazon.

Что случилось: министерство здравоохранения и социальных вопросов Саксонии стало жертвой BEC-атаки.

Как это произошло: немецкая федеральная земля Саксония в 2020 году установила проволочные заборы протяженностью более 800 км для противодействия распространению африканской чумы свиней. В феврале 2023 года региональное Министерство здравоохранения и социальных вопросов получило от поставщика из Нижней Саксонии счет на оплату еще 50 км ограждений. Злоумышленники, читавшие деловую переписку, решили воспользоваться ситуацией и провести BEC-атаку. В начале марта мошенники под видом контрагента направили в ведомство электронное письмо с «уточнением» об изменившихся банковских реквизитах для оплаты поставки. Работники министерства не заподозрили обмана и перевели на счет мошенников 225 тысяч евро.

Как сообщил журналистам представитель госоргана, оплата по счетам проходит по принципу «четырех глаз», то есть требует согласования двух независимых сотрудников. А в случае изменения данных, чиновники запрашивают у компании пояснение через другой канал. Теперь в ведомстве проходит внутреннее расследование, которое должно установить, почему эти предосторожности не сработали.

Что случилось: правоохранитель из Техаса признал вину в использовании служебной системы для определения геолокации своих знакомых по данным мобильных операторов.

Как это произошло: Адриан Пена работал заместителем маршала в офисе шерифа округа Ювалде, штат Техас, и с 2014 года по должностным обязанностям получил доступ к сервису Location Based Services (LBS). Сервис позволял зарегистрированным клиентам из правоохранительных органов по мобильному номеру получать данные о приблизительном местоположении абонента. LBS принадлежал компании Securus, которая через несколько посредников закупала данные геолокации у мобильных операторов.

Чтобы система использовалась только в правоохранительных целях, для отправки запроса уполномоченный сотрудник должен был войти по личному логину и паролю, вручную ввести номер абонента, загрузить официальное разрешение для поиска по этому номеру и поставить галочку, подтверждающую, что загружен правильный файл.

Согласно материалам дела, в 2017 году Пена 11 раз использовал сервис LBS в собственных целях, осуществляя поиск по номерам своих знакомых, а также лиц, с которыми он был в личных отношениях, и их супругов. В качестве подтверждающего документа он загружал в систему произвольные файлы, причем 8 раз, – возможно, пустой файл под названием Blank doc.docx. Заместитель маршала усугубил ситуацию тем, что солгал следователям на прямой вопрос о том, использовал ли он систему для личных целей. В июне 2023 года, спустя год после выдвижения обвинений, Пена признал вину в незаконном получении конфиденциальных телефонных данных. Ему грозит до 10 лет тюрьмы.

Что случилось: жертву украденного PayPal-аккаунта обязали выплатить 1,2 миллиона долларов Adidas и NBA из-за мошенничества.

Как это произошло: в декабре 2022 года PayPal-аккаунт Сары Люк, жительницы австралийского города Байрон-Бей и матери-одиночки с четырьмя детьми, использовался для совершения сотен мошеннических транзакций.

По мнению Люк, источником проблем стала утечка данных австралийского страховщика Medibank, произошедшая двумя месяцами ранее, однако компания отрицает какую-либо связь. Австралийка считает, что аккаунт был взломан в рамках массовой атаки методом credential stuffing, в ходе которой в те же даты в декабре были скомпрометированы почти 35 тысяч кошельков PayPal.

Когда Люк получила первое электронное письмо о том, что от ее имени продаются поддельные товары Adidas, она не восприняла его всерьез и удалила. Но проблема оказалась реальной. Производитель спортивной одежды и NBA по отдельности подали иски против австралийки за нарушение прав на свои товарные знаки.

Вероятно, торговли контрафактной продукцией не было. Злоумышленники могли использовать фирменный стиль Adidas и NBA на фишинговых сайтах для обмана жертв, получая платежи на PayPal австралийки. Американские компании часто прибегают к искам о защите товарных знаков для борьбы с поддельными сайтами. Разбирательства в отношении Сары Люк прошли в США без ее участия. Суды взыскали с нее 200 тыс. в пользу NBA и 1 млн в пользу Adidas, о чём она была извещена в электронной форме. Уже полгода гражданка Австралии безуспешно пытается добиться справедливости и снять с себя обвинения.

Что случилось: китайская полиция задержала выпускника пекинского университета за использование незаконно полученной информации на сайте для оценки внешности студентов.

Как это произошло: правоохранительные органы отреагировали на посты, появившиеся на студенческом форуме Китайского народного университета. Пользователи делились скриншотами с платформы для оценки привлекательности студентов. Судя по скриншотам, сайт содержал фотографию, имя, студенческий номер, название колледжа и родного города студентов, которые проходил обучение в вузе с 2014 по 2020 год.

Инцидент широко обсуждался в соцсети Weibo, а некоторые пользователи сравнивали создателя сайта с Марком Цукербергом – в 2003 году во время учебы в Гарварде он создал сайт – предшественник Facebook для сравнения фотографий студентов по привлекательности.

На возмутившую многих новость отреагировало руководство университета, заявив, что оно обеспокоено возможным незаконным получением информации о студентах, в связи с чем обратилось в полицию. Задержанным по подозрению в краже данных оказался 25-летний выпускник Китайского народного университета по фамилии Ма. Как именно он мог получить сведения о студентах, не раскрывается. Однако, во время учебы Ма работал ассистентом в университетском информационном центре и имел возможность использовать учетную запись с высоким уровнем доступа.

Что случилось: анимационная студия Nickelodeon расследует крупную утечку документов и медиа-файлов.

Как это произошло: В конце июня в интернете начали распространяться слухи об утечке данных из департамента анимации Nickelodeon. Общий объем файлов, распространяемых через Discord, якобы составлял 500 гигабайтов и содержал невыпущенные видеоматериалы, документы Photoshop, сценарии и прочее. В Nickelodeon подтвердили подлинность данных, но уточнили, что некоторые из них имели десятилетнюю давность. Утечка, вероятно, произошла еще в январе 2023 года с одного из порталов компании. Из-за ошибки аутентификации пользователи могли получить доступ к департаменту анимации. Nickelodeon закрыл эту брешь через два месяца.

Что случилось: Япония обвинила китайского исследователя в пересылке конфиденциальной информации химической фирме в Пекине.

Как это произошло: Цюань Хэндао с 2002 года работал исследователем в японском Национальном институте передовых промышленных наук и технологий. Согласно расследованию, в апреле 2018 года он переслал на электронную почту китайской фирмы письмо с информацией о синтезе соединений фтора. Спустя неделю после получения письма компания подала заявку на патент в Китае и получила его в июне 2020 года. Патент включает информацию схожую с той, что была в утечке. Кроме того, по данным японских СМИ, китайская фирма, получившая данные от Цюань Хэндао, имеет офис в Японии, в котором работает жена исследователя. Следствие считает, что незаконное использование данных исследований нанесло ущерб национальным интересам. Обвиняемый не согласен с обвинением и считает, что данные не составляли коммерческую тайну.

Что случилось: менеджер склада Amazon вместе с сообщниками украла у компании 9,5 миллионов долларов через подставные фирмы. Вырученные деньги мошенники потратили на покупку элитного жилья и автомобилей.

Как это произошло: мошеннической схемой, в которой было задействовано семь человек, «руководила» менеджер склада Amazon Кайрика Вортэм. Сотрудница отвечала за согласование подрядчиков и оплату счетов за их услуги. Суть схемы заключалась в выводе денег через фиктивные фирмы. Вортэм предоставляла не посвященным в замысел подчиненным подложную информацию и поручала вносить в корпоративную систему новых подрядчиков, после чего сама же утверждала их. Участники группы выставляли Amazon поддельные счета от имени несуществующих фирм, Вортэм одобряла оплату, после чего мошенники получали переводы на контролируемые ими счета. Данные (имена и номера социального страхования) для регистрации фиктивных подрядчиков лидеру группы предоставляли двое ее коллег, работавших в других подразделениях Amazon. Один из них использовал данные членов своей семьи и знакомых, а другой и вовсе покупал украденные данные. В группу удалось вовлечь еще одного менеджера с другого склада Amazon, который продолжил согласовывать фиктивных подрядчиков даже после ухода Вортэм из компании в марте 2022.

«Заработанное» Вортэм со своей партнершей потратили на покупку элитного дома, а также на пополнение автопарка машинами Lamborghini Urus, Dodge Durango, Tesla Model X, Porsche Panamera и мотоциклом Kawasaki ZX636.

Кайрику Вортэм приговорили к 16 годам лишения свободы и обязали в полном объеме возместить Amazon украденную сумму. Остальные участники группы также ожидают судебных решений. Иногда собственные сотрудники могут навредить компании больше, чем хакеры. Собрали чек-лист о том, как заблаговременно определить, кто в коллективе относится к группе риска.

Что случилось: бывший техник попытался удалить софт для управления водоочистной станцией в Калифорнии.

Как это произошло: инцидент произошел в середине января 2021 года на станции по очистке воды в Дискавери-Бэй, городе с 15-тысячным населением в Северной Калифорнии. Рамблер Галло с июля 2016 года по конец 2020 года работал техником по контрольно-измерительным приборам в компании Veolia North America в штате Массачусетс, которая по контракту обслуживала калифорнийскую станцию. Галло имел полный доступ к SCADA-системе водоочистной станции и отвечал за обслуживание всех контрольно-измерительных приборов и программируемых контроллеров. Промышленные системы станции были объединены во внутреннюю сеть, которая напрямую не была подключена к интернету. Но доступ к ней можно было получить через ноутбук подрядчика, находящийся на станции. На этот ноутбук техник установил программу для удаленного доступа TeamViewer.

Вскоре после увольнения Галло подключился через TeamViewer к корпоративному ноутбуку со своего личного компьютера и отправил команду на удаление из внутренней сети программы под названием Ignition – инструмента интеграции всех систем станции, предназначенного в том числе для контроля давления, фильтрации и химического состава воды. Взлом был обнаружен через день, после чего бывшему сотруднику закрыли доступ, а удаленную программу переустановили. В июне 2023 сотрудника обвинили в компьютерном преступлении, теперь ему грозит до 10 лет лишения свободы и штраф в размере 250 тысяч долларов.

Что случилось: бангладешский правительственный сайт слил персональные данные 50 миллионов граждан страны.

Как это произошло: утечку на сайте Бюро генерального регистратора рождений и смертей случайно обнаружил исследователь безопасности Виктор Маркопоулос, когда искал в Google информацию для другого проекта. Он заметил, что URL бангладешского сайта содержал слово register вместо необходимого в этом месте числа, и при замене на цифры он выдавал записи граждан. Записи содержали имя человека, его родителей, бабушек и дедушек, номер национального удостоверения личности, названия банков, в которых совершались транзакции, и даже суммы платежей.

После обнаружения утечки исследователь отправил несколько писем властям Бангладеш, в том числе и правительственной команде реагирования на компьютерные инциденты (BGD e-GOV CIRT), однако никакого ответа не последовало. Тогда он поделился историей с изданием TechCrunch, не называя конкретный сайт. Только на следующий день после публикации (через полторы недели после первого уведомления) власти Бангладеш закрыли свободный доступ к данным граждан, а CIRT заявила , что «продемонстрировала профессионализм и экспертизу, быстро инициировав тщательное расследование ситуации и не оставив камне на камне в стремлении понять масштаб и последствия утечки данных».

ИБ-совет месяца: Инциденты в наших (не) безопасных дайджестах звучат как небылицы? А что, если прямо сейчас недобросовестный сотрудник устанавливает шпионское ПО на ваши компьютеры или сливает клиентскую базу? Контролируйте ситуацию и узнавайте об опасных действиях сотрудников в реальном времени вместе с DLP-системой. Это бесплатно в первые 30 дней.