(Не) безопасный дайджест Halloween Edition: стажер против «Скайнета», зарплаты призракам, монстры в открытом доступе

(Не) безопасный дайджест Halloween Edition: стажер против «Скайнета», зарплаты призракам, монстры в открытом доступе

В октябрьском дайджесте собрали инциденты, которые точно пощекотали нервы ИБ-отделам пострадавших компаний. На хэллоуинской повестке – миллионная афера с мертвыми душами, хакер, смертельно обиженный непризнанием заслуг, и страшно частые атаки на геймдев.


ПРИЗРАЧНЫЙ ПОДРЯД

Что случилось: производитель кухонной утвари Williams Sonoma потерял более $10 млн из-за мошенничества сотрудника.

Как это произошло: 48-летний Бен Томас работал главным менеджером в одном из распределительных центров Williams Sonoma. В обязанности Томаса входил выбор компании для найма временного персонала и утверждение им выплат до $50 тыс. При этом Томасу было запрещено выбирать для работы аффилированные с ним компании.

Позже выяснилось , что Томас скрыл от работодателя факт того, что владел компанией по найму временных сотрудников. С ее помощью в период с 2017 по 2023 год Томас заработал более $10 млн. Выбирал свою компанию как подрядчика, самостоятельно проводил оплату, а на деле не оказывал никаких услуг.

Вырученные деньги Томас потратил на дом площадью 1200 м2, яхту, автомобили, билеты на спортивные мероприятия – и даже (sic!) клонирование животных. Если суд признает Томаса виновным, то ему может грозить максимальное наказание – порядка 30 лет лишения свободы и многотысячный штраф за каждый факт нарушения.

КОЖАНЫЕ НАНОСЯТ ОТВЕТНЫЙ УДАР

Что случилось: стажер компании ByteDance саботировал разработку нейросетей.

Как это произошло: программист Кейю Тянь устроился на стажировку в крупную китайскую компанию ByteDance. Однако вместо работы он намеренно добавлял ошибки в код. Коллеги стажера круглосуточно искали баги, но в итоге заподозрили неладное и начали расследование.

Вычислить саботажника получилось благодаря логам. Они показали, что стажер, во-первых, создал путаницу с чекпоинтами (файлы-сохранения обучения ИИ). Тянь изменял параметры обучения моделей, менял входные данные, удалял чекпоинты или вовсе останавливал процесс обучения. Во-вторых, он загружал Pickle-файлы с вредоносным кодом. Файлы автоматически создавали баги, изменяли версию PyTorch (фреймворк для обучения ML) и т.д.

Тянь посещал все рабочие встречи, связанные с устранением багов, не вызывая ни у кого подозрений. На деле же он «держал руку на пульсе» и узнавал, как собираются действовать коллеги, чтобы эффективнее вредить разработке. В итоге команда из 30 программистов два месяца работала впустую. Сроки были сорваны, а деньги заказчиков потрачены зря.

Позже ByteDance прокомментировала ситуацию с Тянем. Технологический гигант утверждает, что СМИ преувеличивают масштаб инцидента, а программист был уволен еще в августе. Также бывший работодатель сообщил о поведении стажера в университет, где он учится, и в профессиональные ассоциации программистов, чтобы предупредить другие компании о вредителе.

При этом зачем Кейю Тянь взялся за саботаж, неизвестно. Кто знает: может, это идеологическая борьба против страшного будущего, как в «Терминаторах»?

УБИЙЦА ИСТОРИИ

Что случилось: Организацию Internet Archive, владеющую сервисом Wayback Machine, взломали дважды за месяц.

Как это произошло: 9 октября пользователи Wayback Machine стали получать странный JavaScript-алерт . В нем говорилось, что их данные украдены, а искать их стоит в сервисе по отслеживанию утечек HIBP (Have I Been Pwned).

Основатель HIBP Трой Хант подтвердил, что незадолго до этого получил SQL-файл «ia_users.sql» весом 6,4 ГБ. По его оценке , файл содержит 31 млн уникальных записей, среди которых email-адреса, хешированные Bcrypt пароли, временные метки их изменения и т.д. Самая поздняя запись датируется 28 сентября 2024 года, а данные были подтверждены как реальные. Также примечательно, что в тот же день на archive.org была совершена DDoS-атака.

О втором взломе стало известно 20 октября. Пользователи стали получать ответы на старые запросы в техподдержку, касающиеся удаления сайтов из сервиса Wayback Machine. В сообщениях неизвестный автор – явно не сотрудник ТП – утверждал , что получил доступ к токенам платформы Zendesk, которую Archive использует для обработки запросов пользователей. Также он назвал «удручающим», что компания не заменила ключи API, раскрытые в ее GitLab.

Как выяснилось позже , речь шла про незащищенный файл конфигурации GitLab на одном из серверов разработки Internet Archive. Он и стал причиной двух взломов. В файле был токен аутентификации, который позволил загрузить исходный код archive.org и вычленить оттуда, в том числе, учетные данные для СУБД сайта. Доступ к СУБД, в свою очередь, позволил украсть данные пользователей, загрузить дополнительный исходный код и изменить сайт.

Примечательно, что эти подробности раскрыл «автор» первого взлома. Хакер связался со СМИ через посредника, обидевшись, что «его утечку» приписали группировке, которая совершила DDoS-атаку.

Но вся эта многосерийная драма не погубила сервис. На момент написания этого текста Internet Archive и Wayback Machine работают в штатном режиме.

СТРАШНОЕ ПРИСТРАСТИЕ

Что случилось: сотрудник украл почти £1 млн из-за тяги к азартным играм.

Как это произошло: 57-летний Алан Дойг почти 20 лет работал старшим помощником бухгалтера в городском совете города Гедлинг и слыл добропорядочным человеком.

Однако, как выяснила полиция, из-за пристрастия к азартным играм Алан регулярно переводил деньги муниципалитета на свой счет. За 19 лет работы он совершил в общей сложности 86 подобных транзакций на сумму в 934 343 фунтов стерлингов.

Алан прекрасно знал, как работают его коллеги и финансовые системы городского совета. Это позволяло ему оставаться незамеченным. Но в 2021 из-за пандемии привычные процессы поменялись, появились новые требования закона. У коллег Алана стали появляться подозрения касательно необычных транзакций.

В итоге стартовало расследование, которое привело к судебным тяжбам. Алан признал вину и раскаялся, но все равно получил приговор в пять лет тюремного заключения.

После инцидента представитель муниципалитета заявил, что они не смогли бы предотвратить мошенничество, несмотря на «многочисленные проверки и средства контроля», т.к. «злоумышленник владел инсайдерской информацией».

МОНСТРЫ НА СВОБОДЕ!

Что случилось: геймдев-компания GameFreak, известная серией игр Pokemon, стала жертвой кибератаки. По той же причине перенести выход обновлений пришлось Red Barrels, которая разработала игры Outlast.

Как это произошло:12 октября в сети стали появляться скриншоты тестовых сборок и исходного кода еще не вышедших игр франшизы Pokemon. Компания-разработчик быстро признала утечку и сообщила, что неизвестные украли колоссальный объем информации о нынешних и бывших сотрудниках, а также о людях, работающих по контракту. В открытый доступ попали их имена, адреса email, номера телефонов и т.д.

Компания принесла извинения и сообщила, что уже устранила уязвимость, которую злоумышленники использовали для взлома. Тем не менее, разработчик никак не отреагировал на многочисленные материалы по играм Pokemon, которые стали «гулять» по сети . Как минимум, среди слитого находятся: информация о будущих проектах, исходные коды игр, документы разработки и внутренняя коммуникации топ-менеджмента.

А 2 октября на сайте канадской компании Red Barrels   появилось «важное сообщение от команды». В нем разработчик сообщил о том, что на его ИТ-системы было совершенно нападение с целью получения доступа к данным.

Компания сразу же приняла меры по обеспечению безопасности и привлекла внешних экспертов для расследования инцидента. Тем не менее, по словам разработчика, из-за кибератаки им пришлось сдвинуть производственные сроки. По большей части это касается актуальной версии видеоигры Outlast Trials и планируемых обновлений к ней.

КОШМАР ДЛЯ CISO CISCO

Что случилось: у ИТ-гиганта Cisco произошла утечка данных.

Как это произошло: 14 октября неизвестный злоумышленник заявил о взломе Cisco. В посте на хакерском форуме он рассказал, что вместе с подельниками взломал компанию и похитил большое количество данных. Они выставлены на продажу на том же теневом форуме.

По заявлению хакера, «утекли» проекты Github, Gitlab и SonarQube, исходный код приложений, закодированные учетные данные, технологические SRC Cisco и их клиентов, тикеты Jira, API-токены, частные контейнеры AWS, сборки Docker, приватные и публичные ключи, SSL-сертификаты, информация о продуктах версии Premium и т.д.

После взлома с хакером связались СМИ . Они выяснили, что взлом произошел из-за открытого токена API, а также получили образцы украденных данных и скриншоты, доказывающие правдивость слов злоумышленника.

Изначально компания сообщила, что они не нашли доказательств компрометации системы, однако позже последовали противоречивые заявления. Cisco сообщили , что их системы не были взломаны, однако небольшое количество файлов, которые не были разрешены к публичной загрузке, все-таки могли быть опубликованы. Из-за этого 18 октября ИТ-гигант отключил общедоступный портал DevHub.

СЕРИЙНЫЙ ФАКАП

Что случилось:произошла утечка данных из сетей «Бургер Кинг» и «Детский мир».

Как это произошло: 10 октября в интернете появилась информация сразу о двух утечках: сети ресторанов быстрого питания «Бургер Кинг» и сети магазинов «Детский мир» .

В случае «Бургер Кинга» утекла БД с более 5 млн строк клиентских данных: номера телефонов, адреса email, даты рождения и т.д. У «Детского мира» утекло чуть более 1 млн строк: клиентские ФИО, номер телефонов, адреса email, а также номера бонусных карт.

Пресс-служба «Бургер Кинг» сообщила , что утечка произошла на стороне подрядчика, а «в числе пострадавших от атаки также могут присутствовать данные наших клиентов». «Детский мир» пока не комментировал ситуацию, но, вероятно, причины инцидента те же: ретейлер пользуется услугами того же подрядчика.

ДОКТОР, ТАК ВСЕ-ТАКИ ЧТО С НИМ?

Что случилось: хакеры заявили о взломе «Доктор Веб»

Как это произошло: в прошлом НБД мы писали о взломе отечественной ИБ-компании. В этом месяце история получила продолжение. Напомним, что 14 сентября «Доктор» зафиксировал атаку на свои ресурсы и начал реагирование. Пришлось даже временно отключить сервера, но в итоге 17 сентября вендор сообщил о нейтрализации угрозы.

Однако теперь стало известно , что атака не ограничилась отключением серверов. Например, жертвой стал официальный Telegram-бот компании. Он стал рассылать пользователям сообщения, явно написанные не сотрудниками компании. В них утверждалось, что «Доктор Веб» взломан, клиентские данные скомпрометированы, а «антивирус теперь с изюминкой».

Также на просторах Telegram хакеры изложили свою версию событий. В своем канале (ссылки не даем по этическим причинам) они пишут: «нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat – системы, где велась разработка и обсуждались задачи и т.д.» В качестве подтверждения своих слов хакеры предоставили несколько БД внутренних ресурсов «Доктор Веб»: ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др.

Сама компания опровергла , что эти заявления соответствуют действительности – по крайней мере, «по большей части». «Какой-либо угрозы безопасности нашим пользователям ни обновления вирусных баз, ни обновления программных модулей не несут», – написал вендор на своем сайте.

Искренне сочувствуем коллегам и надеемся, что устранить последствия атаки им удастся все-таки полностью.

Searchinform дайджест информационная безопасность утечки
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.