Пролетел второй месяц лета, и мы надеемся, что вы хорошо отдохнули или уже собираетесь в отпуск. Чтобы скрасить рабочие будни, делимся подборкой сочных летних ИБ-инцидентов. Сегодня в рубрике: продолжение драмы со Snowflake, недопонимание с robots.txt и похищение мем-коинов.
АЛО? В СМЫСЛЕ, ВСЕ ОБО МНЕ ЗНАЕТЕ?
Что случилось: в произошла крупнейшая утечка данных.
Как это произошло: злоумышленники получили доступ к базе данных AT&T из Snowflake учетки компании. В базе содержались номера телефонов и подробные данные о входящих и исходящих SMS и телефонных звонках млн. клиентов.
По информации , причиной атаки стала недостаточная защищенность учеток. Данные для входа в них попадали к хакерам посредством инфостилеров, а компании-клиенты не использовали доступную функцию многофакторной аутентификации.
Изначально злоумышленники хотели получить 1$ млн за удаление похищенной БД, но в итоге им заплатили 370$ тыс. Один из предположительных хакеров задержан. Поиск подельников продолжается.
AT&T утверждает, что после обнаружения утечки она сотрудничала с ИБ-экспертами и уведомила нужные инстанции. В том числе Министерство юстиции США, которое разрешило отложить публичное заявление c апреля из-за потенциальных рисков нацбезопасности.
Ранее мы уже писали про взлом Snowflake, тогда пострадала компания TicketMaster. На хакерских форумах до сих пор продают украденные у них данные, например, на будущие концерты известных музыкантов. Также мы упоминали, что клиенты Snowflake – крупнейшие компании мира: AT&T, HP и другие, чьи данные уже могут быть скомпрометированы.
НАШЕЛ СЕБЯ В ПОИСКЕ
Что случилось: производитель комплектующих для ПК случайно клиентские данные.
Как это произошло: в начале июня на YouTube канале Gamers Nexus вышел ролик «Zotac's Big Mistake». В нем блогер рассказал о том, что закрытые данные Zotac - инвойсы, адреса, контактная информация клиентов и их запросы – индексируются поисковыми системами. То есть видны и доступны всем при поиске «Zotac RMA».
Подобное могло произойти из-за неверной конфигурации robots.txt – документа, который указывает веб-краулерам, какую информацию нужно индексировать, а какую нет.
Изначально инцидент обнаружил не Gamers Nexus, а один из его зрителей. Он наткнулся на свои данные в сети, о чем и сообщил компании. Реакция была быстрой, но недостаточной. Из поисковой выдачи исчезли данные только пострадавшего зрителя, не более.
Чтобы привлечь внимание к проблеме, неравнодушный обратился к Gamers Nexus, чтобы поднять резонанс. Компания отреагировала – начала удалять из сети утекшие данные, только когда в соцсетях стали появляться возмущения бизнес-партнеров.
НЕДЕТСКОЕ КИНО
Что случилось: пострадала от хакерской атаки
Как это произошло: 12 июня на хакерском форуме появился пост с более чем терабайтом конфиденциальной информации Disney. Среди слитого: изображения, учетки, код, маркетинговые материалы, информация о будущих проектах, переписки сотрудников и данные о парижском Disneyland.
Злоумышленники заявили, что во взломе им помогал инсайдер, который «струсил в последний момент». Тем не менее, с помощью инсайдера «шредингера» или нет, злоумышленникам удалось перехватить информацию из корпоративного мессенджера Slack.
Группировка называет себя хактивистами и указывает, что атака на Disney была целевой. Мотивацией стала «защита прав художников», «обеспечение справедливой компенсации за их работу» и «отношение компании к их сотрудникам и потребителям». Disney уже этот инцидент.
ПОХИТИТЕЛИ «СОБАК» И «ЛЯГУШЕК»
Что случилось: хакеры 235$ млн у индийской криптобиржи WazirX
Как это произошло: об инциденте стало известно 18 июля, криптобиржа об этом в своих соцсетях. Хакерам удалось взломать мультиподписной кошелек. Особый вид кошелька, требующий для работы ключи минимум двух подписантов. Всего подписантов было шесть. Пятеро из WazirX, а последний из Liminal — компании, специализирующейся на управлении цифровыми активами и предоставлении мультиподписных кошельков.
Именно «разницей в подписантах» и воспользовались хакеры, проэксплуатировав отличие интерфейсов. «Кибератака произошла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и реальным содержимым транзакции», – сообщает WazirX.
В итоге злоумышленники вывели $235 млн в разных криптовалютах: SHIB, PEPE, Ethereum, Matic, USDT и Gala. Также, по информации , злоумышленники используют децентрализованную биржу Uniswap. В ответ на инцидент криптобиржа приостановила вывод криптовалют и сообщила, что «активно расследует инцидент» и будет держать всех в курсе событий.
ПРИЕХАЛИ…
Что случилось: Международная автомобильная федерация (FIA) хакерской атаке.
Как это произошло: 3 июля на сайте FIA появилось « касательно недавнего инцидента с данными». В нем организатор Формулы-1 заявил, что из-за фишинговой атаки злоумышленники получили доступ к двум почтовым аккаунтам и персональным данным, содержащимся в них.
НКО не сообщает более подробных деталей инцидента: какие данные были раскрыты или украдены? когда была обнаружена атака? Сколько времени хакеры имели доступ к инфраструктуре?
Однако организация подчеркнула, что приняла дополнительные меры для предотвращения подобных атак в будущем, и заявила, что «сожалеет о любых неудобствах, причиненных пострадавшим».
ФОРЕНЗИКА ДЛЯ ФАРМАЦЕВТА
Что случилось: Rite Aid — третья по размеру аптечная сеть США, жертвой кибератаки
Как это произошло: 12 июля компания сообщила СМИ, что расследует июньский ИБ-инцидент, и начала отправку уведомлений пострадавшим. Для восстановления работоспособности систем аптечная сеть привлекла сторонних ИБ-специалистов, которые также будут помогать и с расследованием.
Rite Aid не сообщила, какие данные были скомпрометированы, но уверила, что «инцидент не повлиял на сведения о здоровье и финансовую информацию».
Подробности появились позже, когда хакерская группировка взяла ответственность за инцидент. Сообщила на своем сайте в даркнете, что захватила 10 ГБ информации. Это примерно 45 млн строк данных: имена, ID, адреса, даты рождения, информация из бонусной программы.
По информации из СМИ, эта хакерская группа размещает на своем сайте данные только тех компаний, которые отказались платить выкуп за свои базы. В дальнейшем они продаются как на аукционе.
БРОСОК НА УДАЧУ
Что случилось: утечка данных пользователей сервиса многофакторной аутентификации Twilio Authy
Как это произошло: неизвестные злоумышленники получили номера телефонов пользователей, использовав уязвимость в системе. Также были украдены статусы учеток и количество привязанных устройств. Все это выложено на продажу на хакерском форуме.
Злоумышленники использовали незащищенную конечную точку API. «Кидали» в нее огромное количество телефонных номеров. Если номер оказывался валидным, конечная точка возвращала данные о связанных учетках.
Twilio быстро закрыла уязвимую конечную точку и заблокировала неаутентифицированные запросы. Также компания пост в корпоративном блоге и советовала обновить версии ПО.
GAME OVER
Что случилось: данные посетителей конференции разработчиков онлайн-платформы Roblox
Как это произошло: в начале июня компания начала рассылать сообщения, предупреждающие об утечке данных. Она коснулась участников конференций разработчиков Roblox 2022, 2023 и 2024 годов.
Один из партнеров Roblox, занимающийся регистрацией юзеров на конференции, был взломан. «Поставщик Roblox недавно уведомил нас о том, что на его веб-сайте был осуществлен несанкционированный доступ к информации о пользователях Roblox из списка участников конференции разработчиков Roblox 2022-2024 годов», - говорится в заявлении компании
Среди украденного: полные имена, адреса электронной почты и IP-адреса. Сервис Have I Been Pwned сообщил, что 63% email являются новыми. Ранее не попадавшими в утечки. Roblox заявила, что уже предприняла меры для предотвращения подобных инцидентов.
ИБ-совет месяца: лето – традиционный сезон отпусков, но только не для киберпреступников и инсайдеров. Они очень «трудолюбивы» и только рады воспользоваться отсутствием коллег или отпускной суетой ИБ-специалистов. Противостоять таким «всесезонным труженикам» и снизить риски ИБ поможет DCAP-система. По можно протестировать ее бесплатно на 30 дней!
