(Не) безопасный дайджест: если бы в ИБ была «Премия Дарвина» – 2025

(Не) безопасный дайджест: если бы в ИБ была «Премия Дарвина» – 2025


В апреле традиционно просим нашего начальника отдела безопасности Алексея Дрозда поделиться его подборкой забавных, нелепых и глупых ИБ-инцидентов. Сегодня под катом: Брэд Питт разрушает семейное счастье, инсайдер убегает от ирландской полиции, Disney рассказывает запоздалую правду.

ПРИЗ ЗА ВНИМАТЕЛЬНОСТЬ


Что случилось: суд случайно слил данные компании, пострадавшей от утечки.

Как это произошло: в феврале один из районных судов Москвы рассмотрел дело мстительного подрядчика. Он обслуживал ИТ-системы неназванной компании вместе с партнером, однако официально трудоустроен не был. После ухода партнера будущий злоумышленник продолжил работу в одиночку, но не получил оплату за предыдущие 10 месяцев. У него не было нужных для бухгалтерии документов и лицензий.

Прийти к компромиссу не получилось, подрядчик затаил обиду. В апреле 2024 года он подключился к серверу компании при помощи логина и пароля гендиректора и перенес все файлы оттуда в личное «облако». Вместо них заполнил хранилище пустышками, чтобы предотвратить восстановление данных.

Чтобы припугнуть экс-работодателя, мститель потребовал выкуп. По оставленным контактам компания не догадалась, кто стоит за кражей данных. Но когда в ходе переговоров прозвучало «нужно было лучше относиться к сотрудникам», владелец бизнеса вспомнил об обиженном ИТ-подрядчике. Он написал на него заявление, и в итоге горе-мститель получил 4 года условного срока по 272 статье УК РФ.

В суде ИТ-специалист признался, что хотел лишь проучить компанию. Поэтому назвал непомерно высокую сумму выкупа, которую и не планировал получить, а потом вовсе разблокировал доступ к «облаку» с украденными данными. Его заявления вместе со ссылкой на «облако» зафиксировали в тексте приговора.

Далее история получила неожиданный поворот. Обычно все судебные документы перед публикацией обезличиваются: так, чтобы осталась только суть дела, а пострадавших и преступников нельзя было идентифицировать. Но когда приговор появился на сайте суда, оказалось, что его обезличили не полностью. По невнимательности в тексте остались имена фигурантов, а также ссылка на то самое «облако». Мало того, что она была валидна: по ней по-прежнему можно было найти все украденные файлы.

По этическим соображениям ссылку на дело не оставляем, но скриншоты с доказательствами ниже.



Алексей Дрозд: «Чем дальше читал дело, тем чаще в голове всплывала цитата «А вы все здесь… молодцы!». Действительно, эту историю можно без изменений включать в сборник вредных советов по ИБ. Там и хранение паролей в открытом виде, и передача учетки привилегированного пользователя под нужды «айтишника», и много чего еще.

Ну и человеческий фактор от судебной системы, как вишенка на торте. Подозреваю, что все ссылки в документах удалялись вручную. Остальное обезличивание, похоже, происходит аналогично. Во многих документах часто можно увидеть, как в одной части данные удалены, а через несколько абзацев нет. В итоге обезличивание обезличивает не сильно».

НАЖИВКА ДЛЯ КРОТА


Что случилось: HR-стартап Rippling поймал инсайдера на живца.

Как это произошло: Стартап столкнулся с тем, что рекрутеры главного конкурента Deel начали активно переманивать их сотрудников. Запросы о смене работы поступали в личные мессенджеры, поэтому руководство заподозрило, что в компании завелся инсайдер, который сливает информацию конкурентам.

Также в компанию вдруг стали поступать запросы от СМИ о том, что Rippling обходит наложенные властями ограничения на работу с некоторыми заказчиками. В качестве подтверждения подозрений журналисты цитировали сообщения из корпоративного Slack, где сотрудники Rippling обсуждали эту тему.

Компания провела внутреннее расследование и определила потенциального инсайдера: он работал в одном отделе с теми, кому писали рекрутеры конкурента. Также мониторинг логов показал, что сотрудник регулярно просматривал каналы Slack, не связанные с его должностными обязанностями, и ежедневно искал сообщения и файлы со словом «Deel».

«Крота» решили ловить на живца. Создали в корпоративном Slack канал-ловушку «#d-defectors», в котором якобы обсуждалось, как насолить конкуренту. Далее прямо написали в Deel, что такой канал существует. Результат не заставил себя ждать. Инсайдер нашел и тщательно изучил канал. Это осталось в логах. Rippling назвали это «неопровержимым доказательством» того, что топ-менеджмент конкурента курировал действия инсайдера.

Сразу после этого компания запросила у властей Ирландии ордер на арест и досмотр телефона лже-сотрудника. Он был с этим не согласен, поэтому обманул представителей закона, которые пришли в офис. Сказал, что телефон находится в сумке, а сам сбежал в уборную и пытался утопить смартфон в унитазе. Ему сказали, что такие действия являются противозаконными, но инсайдер смело ответил, что «готов пойти на такой риск». После сотрудник выбежал из офиса и скрылся.

Все эти подробности Rippling расписали в иске к Deel. Также в нем упоминается, что компания нашла другие доказательства вины. Например, «крот» сливал информацию не только из корпоративного мессенджера, но и из рабочего «облака», базы данных CRM и внутреннего каталога сотрудников.

Алексей Дрозд: «Что-то выдавало в Штирлице советского разведчика: то ли мужественный профиль, то ли решительная походка, то ли волочащийся за ним парашют. Не совсем ясно, зачем компании потребовался шпионский триллер с фальшивым каналом. Ведь в судебном иске упоминаются другие доказательства вины.

Возможно, все дело в практике применения закона в Ирландии. А возможно, сперва инсайдера уличили только в нездоровом интересе к данным, которые его не касались, а реальных доказательств его общения с конкурентом не было. Предполагаю, что в компании не было DLP, иначе она облегчила бы дело: поймала бы активность в чатах и хранилищах и общение с конкурентом, даже если бы сотрудник удалял письма. И не пришлось бы вручную разбирать логи».

НЕ СКАЗОЧНЫЙ ИНЦИДЕНТ


Что случилось: жизнь сотрудника Disney перевернулась с ног на голову из-за бесплатного ИИ-инструмента.

Как это произошло: ранее мы уже рассказывали про слив данных Disney летом 2024 года. Напомним, что тогда утекло более терабайта конфиденциальных сообщений и файлов из корпоративного Slack. Ответственность за инцидент взяли на себя хактивисты из NullBulge. Они заявили, что в атаке «участвовал» сотрудник компании. После инцидента Disney отказалась от Slack, но история получила продолжение.

Выяснилось, что инсайдером поневоле был Мэтью ван Андел. Он загрузил на личный компьютер бесплатное ПО для генерации изображений, однако внутри него оказался вирус. В итоге неизвестный получил доступ к менеджеру паролей ван Андела, а затем и к его аккаунту в корпоративном Slack.

Злоумышленник решил припугнуть ван Андела и написал ему в Discord: «я получил доступ к конфиденциальной информации, связанной с вашей личной и профессиональной жизнью». В качестве подтверждения незнакомец прислал сотруднику Disney его личные данные и сведения, которые он обсуждал в закрытом канале Slack с коллегами. На следующий день ван Андел обратился в полицию, а в даркнете появился пост с закрытой информацией Disney.

Далее сотрудник сообщил о взломе ИБ-отделу Disney и в конце концов понял, что взлом произошел через его домашний компьютер. Через несколько недель ван Андела уволили якобы за просмотр 18+ контента. Сотрудник вину не признает и собирается судиться с Disney.

Алексей Дрозд: «Недаром говорится: бесплатный сыр бывает только в мышеловке. Вот и бесплатный «сИИр» до добра не довел. Любопытно, что в инциденте четко подсвечен тренд, когда корпоративное взламывается через личное. Волна подобных инцидентов была в 2020 году, когда сотрудники массово переводились на удаленку. В недоумении, наверное, остался только Slack. Мессенджер просто по стечению обстоятельств потерял крупного клиента».

МИСТЕР И МИССИС ПИТТ


Что случилось: мошенник прикинулся Брэдом Питом при помощи нейросетей и обманул женщину на 800 тыс. евро.

Как это произошло: в 2023 году, едва 53-летняя Анна впервые зарегистрировалась в соцсетях, ей написала женщина, представившаяся мамой Брэда Питта. Она сказала, что ее сыну «нужна именно такая спутница жизни». После объявился и сам Питт, но женщина не до конца верила, что действительно общается с актером. Анну убедили сгенерированные нейросетями фотографии, а также сумка и украшения, которые ей отправил «актер». Стоит отметить, что сгенерированные фото были низкого качества, а за «растаможку» подарков пришлось заплатить более 5 тыс. евро.

После фейковый Питт предложил Анне выйти за него замуж, на что женщина согласилась и развелась с мужем-миллионером. После развода Анна получила 800 тыс. евро, которые отдала мошеннику. Лже-Питту якобы срочно понадобилась операция, а все его счета – вот незадача – заблокированы из-за бракоразводного процесса с Анджелиной Джоли.

Анна заподозрила неладное, только когда увидела снимки настоящего Брэда Питта с его новой девушкой. Мошенник опроверг это, отправив женщине фейковое видео, сгенерированное нейросетью. В нем некий журналист говорит, что актер на самом деле встречается с Анной. Лишь когда в СМИ повторно появились фото уже неодинокого Питта, француженка поняла, что ее обманывают и подала заявлению в полицию.

Алексей Дрозд: «Дипфейки продолжают набирать обороты. В прошлом году рассказывали про Ди Каприо и 80 тыс. рублей, теперь появился прецедент на 800 тыс. евро. Тот, кто отвечает за матрицу, в которой мы находимся, явно имеет чувство юмора.

А если серьезно, то дипфейки стали угрозой не только для личной, но и корпоративной безопасности. Например, активно идут атаки типа fakeboss, когда злоумышленники подделывают личности начальников и пишут их подчиненным в соцсетях и мессенджерах. Нередко в дело идут дипфейки, чтобы «подтвердить» личность».

ТЫ НИКОГО И НИЧЕГО НЕ ВИДЕЛ


Что случилось: ИТ-специалист случайно получил доступ к секретным документам.

Как это произошло: The Register рассказала историю ИТ-специалиста Тома. В начале 1980-ых он работал в техподдержке ВВС неназванной страны.

В инфраструктуре, которую он обслуживал, одновременно были ПК на Windows и на ОС CP/M. Файлы с Windows не открывались на CP/M и наоборот. Проблему решали с помощью программы Formats, которая переводила файлы в формат, понятный обеим ОС.

Для управления компьютерами в то время нужно было вводить все команды на клавиатуре. В том числе вручную писать название программы, которую хочешь запустить. И если вместо названия программы Formats случайно ввести команду Format, то данные на носителе удаляются. Так и произошло у одного офицера, который затем приказал Тому восстановить данные.

ИТ-специалист выполнил задачу и решил удостовериться в том, что файлы открываются корректно. Все получилось, но внутри оказалась секретная военная информация, к которой Том не должен был иметь доступ. Об этом сотрудник умолчал, т.к. мог попасть под трибунал.

Алексей Дрозд: «У истории интересная мораль. Во-первых, проблемы с UX/UI, похоже, начались еще до появления этих аббревиатур. Во-вторых, сложно даже представить, сколько секретов за все времена вот так «случайно увидели», «подслушали в курилке», а потом умолчали. Впрочем, некоторые ошибки раскрываются быстро: как, например, недавнее «случайное» приглашение журналиста в секретный правительственный чат в США».

ФИШИНГ НА ХАНТЕРА


Что случилось: ИБ-эксперт и владелец сервиса HaveIBeenPwned Трой Хант стал жертвой фишинга.

Как это произошло: об этом сообщил сам Хант на своем официальном сайте. Эксперт рассказал, что получил очень убедительное фишинговое письмо – якобы от сервиса email-рассылок MailChimp. Оно предупреждало, что из-за жалоб на спам Хант больше не может отправлять письма. Чтобы возобновить рассылку, Ханту нужно было перейти в личный кабинет по ссылке и проверить почтовые-кампании.

Уставший после перелета (ИБ-эксперт проверял почту в 6:59 утра) Хант так и сделал, после чего страница «зависла». Он сразу понял в чем дело и вошел в свой аккаунт через официальный сайт, но было уже поздно. Неизвестные экспортировали список рассылки с 16 тыс. почтовыми адресами. Причем больше 7,5 тыс. из них принадлежат уже отписавшимся от рассылки пользователям.

Хант извинился перед подписчиками рассылки и заявил, что все активные ее участники получат уведомление об инциденте. Он также выразил обеспокоенность тем, что MailChimp хранит данные пользователей даже после их отписки.

Также Хант назвал ситуацию ироничной. На момент атаки он находился в Лондоне, где обсуждал с представителями Национального центра кибербезопасности Великобритании продвижение технологии passkeys, устойчивой к фишингу.

Алексей Дрозд: «И на старуху (ИБ-эксперта) бывает проруха. Важно понимать, что абсолютной безопасности не бывает. И, пожалуй, смириться: самое уязвимое звено в любой системе – человек, но все мы люди и все ошибаемся. Другое дело, что это не повод опускать руки и не защищаться совсем. Главное продолжать работу».

Searchinform дайджест инциденты утечки данных
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Эксклюзивный стрим с хакерами мирового класса

15 апреля в 19:00 Hussein и Niksthehacker раскроют все карты.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887


СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.