(Не) безопасный дайджест: слив через подрядчика, взлом авиакомпании и корпоративное мошенничество

(Не) безопасный дайджест: слив через подрядчика, взлом авиакомпании и корпоративное мошенничество

В конце месяца традиционно собрали для вас подборку ИБ-инцидентов. Сегодня в программе: инсайдер из японской телекоммуникационной компании, утечка данных сотрудников французского ритейлера и мошенница, потратившая деньги работодателя на роскошную жизнь.



Карты на ветер

Что случилось: киберпреступники взломали авиакомпанию Air Europa и получили доступ к информации о кредитных картах ее клиентов.

Как это произошло: 10 октября Air Europa отправила клиентам письма о том, что в результате кибератаки злоумышленники могли получить доступ к их платежным данным. Точное количество пострадавших клиентов компания не раскрывает. Известно, что киберпреступники получили доступ к номерам кредитных карт, срокам их действия и CCV. При этом хранение кодов CCV противоречит правилам стандарта безопасности данных платежных карт (PCI DSS).

Представители компании рассказали, что 28 августа специалисты обнаружили подозрительную активность во внутренних системах. Пострадавших клиентов авиакомпания проинформировала о случившемся инциденте лишь 41 день спустя. Air Europa заявляет, что у нее нет подтвержденных случаев мошенничества с украденными данными, но при этом призывает клиентов аннулировать кредитные карты, если они использовались для оплаты билетов (на всякий случай).

Искренние извинения

Что случилось: сотрудницу шотландской компании Panda Rosa Metals приговорили к 40 месяцам тюрьмы за растрату денег работодателя.

Как это произошло: 55-летняя Колин Мюрхед, работница компании по переработке металлов, 6 лет тратила деньги работодателя на дорогие покупки и отдых. Мошенничество обнаружил старший партнер компании во время проверки документов. В результате расследования выяснилось, что предприимчивая помощница по административным вопросам создала несколько фальшивых счетов, на которые переводила корпоративные средства. Всего женщина совершила несколько переводов со счетов компании на сумму 1.8 миллиона долларов.

Коллеги Колин Мюрхед рассказали, что женщина могла позволить себе съездить в дорогой отпуск всей семьей (у женщины четверо детей и семь внуков), закрыть счет за весь стол на благотворительном мероприятии, покупать автомобили. Сама же мошенница рассказала, что она оплатила свадьбу своему сыну и купила несколько фургонов. Женщина признала вину. Ее адвокат рассказал, что она даже пыталась извиниться перед семьей, владеющей Panda Rosa Metals.

Подрядчик не успел

Что случилось: хакер опубликовал в открытом доступе данные 8 тысяч сотрудников французского ритейлера Decathlon.

Как это произошло: 7 сентября эксперты vpnMentor обнаружили в даркнете базу данных, которая содержала информацию о сотрудниках Decathlon: полные имена, номера телефонов, адреса электронной почты, страны и города проживания, токены аутентификации и фотографии.

По информации vpnMentor, хакер опубликовал данные, которые были скомпрометированы в результате утечки в 2021 году у партнера Decathlon – компании Bluenove. 9 марта 2021 года киберэксперты обнаружили, что Bluenove хранит собранные данные в неправильно настроенном облачном хранилище. О находке эксперты сообщили в Bluenove, а те закрыли доступ к данным 13 апреля. Но, как оказалось, устранить утечку без последствий компании не удалось: как минимум один злоумышленник успел получить доступ к данным сотрудников Decathlon до того, как в Bluenove закрыли доступ.

Киновечер под угрозой слива

Что случилось: данные участников Международного кинофестиваля Индии (IFFI) оказались в открытом доступе.

Как это произошло: в сентябре открылась регистрация на крупнейший кинофестиваль Азии IFFI, который пройдет в ноябре. В октябре стало известно об утечке данных зарегистрированных участников фестиваля. Оказалось, что любой посетитель официального сайта IFFI по определенному URL-адресу мог получить доступ к незащищенному хранилищу с информацией об участниках. Хранилище содержало данные 550 участников: удостоверения личности, телефонные номера, адреса, даты рождения и портфолио со ссылками на кинематографические работы.

Один из пострадавших участников рассказал, что больше обеспокоен не компрометацией личной информации, а тем, что любой желающий мог получить доступ к его работам, которые загружены по закрытым ссылка на YouTube и Google Диск. Доступ к видео участников фестиваля могут получить только те, у кого есть ссылки. Режиссеры делают этого для того, чтобы затем найти продюсеров или издателей, которые согласились бы купить их работы и затем опубликовать в открытом доступе. Утечка информации о работе режиссера снижает его шансы на успешное участие в IFFI и других кинофестивалях.

После того как новость об инциденте разлеталась в СМИ, IFFI Goa заблокировала доступ к каталогу с файлами на своем сервере. Киберэксперты считают, что утечка не была устранена, поскольку файлы по-прежнему можно загрузить напрямую, введя их URL-адреса.

Инсайдер со стажем

Что случилось: японская телекоммуникационная компания NTT допустила утечку информации 9 миллионов клиентов.

Как это произошло: расследовать инцидент в NTT начали в 2022 году после обращения нескольких клиентов, которые пожаловались на возможную утечку данных. Компания провела внутреннее расследование, но не обнаружила никаких нарушений. После этого к расследованию подключилась полиция. Выяснилось, что в течение 10 лет один из сотрудников сливал персданные клиентов за деньги. У недобросовестного работника был доступ к серверу, на котором хранилась информация о клиентах: адреса, имена и номера телефонов. По словам представителей компании, работник загружал конфиденциальные данные на USB, а затем продавал их. Также компания сообщает, что сотрудник сливал данные кредитных карт клиентов.

17 октября на пресс-конференции руководство NTT West извинилось перед пострадавшими клиентами. Компания признала, что используемые методы защиты информации оказались неэффективными. В некоторых случаях сотрудники компании не соблюдали даже базовые требования к безопасности.

Международная утечка

Что случилось: данные клиентов японской компании Casio оказались в открытом доступе.

Как это произошло: компания сообщила, что хакерам удалось взломать сервера образовательной платформы ClassPad и получить доступ к данным пользователей. Инцидент японская компания обнаружила в октябре после сбоя в работе образовательной платформы. Злоумышленники получили доступ к именам клиентов, адресам электронной почты, информации о стране проживания, сведениям об услугах, информации о покупках, которая включает в себя способ оплаты, код лицензии, детали заказа. Casio утверждает, что хакерам не удалось скомпрометировать базу данных, в которой хранились данные банковских карт.

Всего киберпреступники получили доступ к более чем 90 тысячам записей о японских клиентах и к 35 тысячам записей клиентов из 149 стран.

Запрос на данные

Что случилось: бывший ИТ-менеджер ВМФ сливал персональные данные за деньги.

Как это произошло: согласно судебным протоколам, в августе 2018 году ИТ-менеджер Маркиз Хупер воспользовался служебным положением и открыл учетную запись в компании, которая управляет базой данных миллионов людей. Компания предоставляет доступ к этой базе только по официальному запросу предприятий и госучреждений. Хупер сообщил компании, что ВМФ необходимо получить доступ к базе для проверки биографических данных. После того, как учетная запись была создана, ИТ-менеджер подключил к ней свою жену, и затем они выгрузили из базы личные данные 9 тысяч людей. Эту информацию они продали за 160 тысяч долларов нескольким пользователям даркнета. Некоторые данные злоумышленники даже успели использовать в мошеннических схемах.

В декабре 2018 года учетку Маркиза Хупера заблокировали по подозрению в мошенничестве. Но это не остановило Хупера, он нашел сообщника, которому предложил за 2500 тысячи долларов открыть учетную запись якобы для нужд ВМФ. Подельник подал заявку на создание учетной записи, но компания запросила официальное разрешение с подписью сотрудника по снабжению. Хупер предоставил сообщнику фальшивые документы, но компания все равно отказалась открывать новую учетную запись. В расследовании мошеннической схемы участвовала служба уголовных расследований ВМФ, федеральное бюро расследований и служба национальной безопасности. Маркиза Хупера осудили на 5,5 лет тюрьмы, его жена ожидает приговор. Сообщается, что женщине может грозить наказание в виде 20 лет тюремного заключения и штрафа в размере 250 тысяч долларов.

ИБ-совет месяца: инциденты в наших (не) безопасных дайджестах звучат как небылицы? А что, если прямо сейчас недобросовестный сотрудник сливает клиентскую базу? В практическом материале рассказали, как защитить персональные данные и выполнить требования регуляторов.

информационная безопасность утечки информации СерчИнформ кибе
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.