Февраль – все, значит пришла пора узнать, что интересного произошло за последнее время в мире ИБ. Как обычно, выбрали новости на свой вкус: и те, что все обсуждали (подсобрали деталей и нашли мораль), и те, о которых вы могли ничего не слышать (зато свежо и весело). Под катом – о том, где грань между виновником и жертвой инцидента, как человек подставил ИИ и почему расхожий в IT принцип «работает – не трогай» может привести к мировому скандалу.
УШЕЛ НЕ ПО-АНГЛИЙСКИ
Что случилось: Британский музей закрыл часть выставок после атаки бывшего сотрудника IT-подрядчика.
Как это произошло: в январе полиция Лондона получила вызов: некто проник в Британский музей и «нанес ущерб его IT - и ИБ-системам». Нарушителя арестовали на месте, об инциденте сообщила .
За атакой стоял недавно уволенный сотрудник IT-службы, которую музей нанимал в качестве подрядчика. Он умышленно отключил часть систем, в т.ч. платформу продажи билетов. Из-за этого некоторые выставки оказались недоступны. После на сайте музея временно появилась плашка «Музей открыт, но из-за проблем с IT-инфраструктурой некоторые галереи временно недоступны».
Это не первый случай, когда Британский музей несет ущерб из-за персонала. Напомним, что в 2023 году музей иск в отношении Питера Джона Хиггса, куратора греческих коллекций. Питер проработал в музее почти 30 лет, но в 2016 году стал продавать экспонаты на eBay: ювелирные украшения и драгоценные камни из Древнего Рима. Их общая стоимость составляет десятки миллионов фунтов. Попался Питер на том, что выставил на продажу предметы, подробно описанные в цифровых каталогах музея. Кроме того, хоть мужчина и использовал псевдоним, но его Paypal-аккаунт для приема платежей оказался привязан к соцсети, где он публиковал посты под настоящим именем.
БЕЗ ВИНЫ / ВИНОВАТЫЕ
Что случилось: хакеры «развели» сотрудников на взлом Банка Уганды.
Как это произошло: в ноябре 2024 года хакеры Центральный Банк Уганды и перевели с его счетов 62 млрд Угандийских шиллингов ($16,8 млн). Инцидент подтвердил министр финансов Уганды.
После кибератаки в африканских появились предположения: во взломе замешаны инсайдеры. Недавно это . Часть сотрудников Минфина якобы непреднамеренно помогла киберпреступникам провести платежи на нужные им счета. Но Угандийский парламент версия о том, что сотрудники стали жертвами манипуляции, не убедила. Парламентарии назвали их действия «явно преступными» и отправили детали расследования правоохранителям, чтобы окончательно докопаться до истины.
БЕРЕГИТЕ РОДИТЕЛЕЙ (И БУХГАЛТЕРИЮ)Что случилось: женщина отправила мошенникам более 120 млн рублей из личных накоплений и со счетов работодателя.
Как это произошло: в феврале этого года женщина из Тольятти жертвой мошенников. Злоумышленники при помощи фишинга получили доступ к ее аккаунту на Госуслугах и стали развивать атаку. В итоге женщина отправила мошенникам 121 млн руб. – все личные накопления и средства со счетов работодателя. В конце злоумышленники обманом заставили женщину уехать в другой город по «программе защиты свидетелей».
Сколько именно из потерянной суммы пришлось на деньги компании, непонятно. Но это нечастый громкий случай, когда «частная» атака на сотрудника привела мошенников к корпоративному бюджету. Поэтому – работодателям время вспомнить, как важно повышать цифровую грамотность персонала. Обучение правилам ИБ особенно актуально для топ-менеджеров и сотрудников с доступом к конфиденциальным данным и финансам. У нас как раз есть по теме, делимся.
DEEPLEAK
Что случилось: разработчики нашумевшей нейросети DeepSeek допустили ошибку новичка.
Как это произошло: 29 января исследователи из Wiz Research , что нашли открытую базу данных компании DeepSeek. Внутри нее без какой-либо защиты находилось больше миллиона строк с историями чатов пользователей, API-ключами, метаданными серверов и другой чувствительной информацией.
Специалисты публичные домены DeepSeek и выявили порядка 30 внешне доступных поддоменов, но не нашли внутри ничего особо критичного (интерфейс чат-бота, страница статуса сервиса и API-документация). Далее исследователи расширили область поиска и обнаружили открытые порты 8123 и 9000 на нескольких серверах. Порты оказались связаны с опенсорсной СУБД ClickHouse. При помощи HTTP-интерфейса СУБД исследователи выполнили SQL-запрос SHOW TABLES и увидели перечень доступных таблиц. Внимание привлекла одна – log_stream. Таблица содержала критически важные данные, такие как временные метки логов, названия API-эндпоинтов, чаты пользователей в открытом виде, разные метаданные и информацию о сервисах DeepSeek.
Wiz Research связались с разработчиками нейросети и те оперативно приняли меры – теперь к БД недоступна из интернета. Находка, впрочем, успела подмочить репутацию DeepSeek, ведь появилась в самый разгар хайпа вокруг ее невероятных возможностей. Имиджа стоила одна ошибка сотрудников, забывших закрыть «внутрянку».
ЛАДНО, НО НУЖНО ИЗВИНИТЬСЯ
Что случилось: Apple обязала инсайдера извиниться за утечки.
Как это произошло: еще в марте 2024 Apple иск на своего бывшего инженера Эндрю Ода. Специалист сливал в СМИ информацию о корпоративной культуре Apple, планируемых к выпуску ПО и устройствах. По заявлению техногиганта, инженер общался с журналистами Wall Street Journal (WSJ) и Information в мессенджере Signal при помощи корпоративного iPhone. В итоге журналисты регулярно выпускали с инсайдами из «внутренней кухни» Apple.
Недавно Apple и Од к мировому соглашению. Его условия не разглашаются, но, видимо, одним из них стало публичное извинение бывшего сотрудника. Од опубликовал пост, где признался, что за восемь лет работы в Apple имел доступ к разной конфиденциальной информации, включая внутренние данные о невыпущенных устройствах и функциях. Он назвал слив информации глубокой и дорогостоящей ошибкой, которая разрушила отношения с коллегами и нанесла непоправимый ущерб его карьере.
РАБОТАЕТ - НЕ ТРОГАЙ?
Что случилось: Илон Маск разоблачил «грандиозную схему мошенничества» с госпособиями в США. Соцслужбы не согласны.
Как это произошло: 17 февраля Илон Маск в своей соцсети, что в базах получателей госпособий значится больше американцев, чем всего проживает в стране. Среди них – 8 млн человек старше 120 лет, больше 500 тыс. – старше 150, и даже люди старше 200 и 300 лет. Это вызывает подозрения, что «мертвые души» использовали для фиктивного начисления соцвыплат.
После заявления Маска сообщили, что «долгожители» в базе данных Службы социального обеспечения США (Social Security Administration, SSA) появляются из-за того, что их информсистема написана на старом языке программирования – COBOL. В качестве точки отсчета COBOL использует 20 мая 1875 года. То есть, если в карточке получателя госпособий нет даты рождения или возникла какая-то ошибка, то система автоматически подставит 1875 год. Это объясняет наличие в базе большого количества людей одного возраста.
Остальные загадки SSA тоже оправдывает особенностями работы своих систем. В 2015 году Управление генерального инспектора (Office of Inspector General, OIG – этакая служба внутренней безопасности в госорганах США) аудит в SSA и выявило, что в информсистеме службы поле «смерть» оставалось пустым для 6,5 млн человек, чей возраст превышал «максимально разумную продолжительность жизни». Это открывало возможности для мошенничества. После аудита SSA согласилась внедрить остановки платежей лицам старше 115 лет и рассмотреть варианты автоматизации, чтобы быстро добавить данные в графу «смерть». Однако после в году стало ясно, что проблема никуда не делась. В информсистеме SSA стало еще больше неверных данных: у 18,9 млн человек, рожденных в 1920-м или ранее, не было информации в графе «смерть».
Решать проблему некорректных данных SSA отказалась по нескольким причинам. Во-первых, потому что соцслужба не считает ситуацию проблемой: большинство записей с неверной информацией о смерти касаются людей, которые не получают выплаты – как раз благодаря механизму, внедренному в 2015-м. А «исправление записей для лиц, не являющихся бенефициарами, отвлечет ресурсы от администрирования и управления программами».
Во-вторых, в SSA пришли к выводу, что обновление информации о смерти, основанное на рекомендациях OIG, «сопряжено со значительным риском внесения неверной информации». Реализация потребует много ресурсов, хотя принесет лишь «ограниченную пользу» (а то и вообще никакой) для администрирования информационных систем, считают в соцслужбе.
