Утечка Keenetic: хакеры получили ключи к миллиону домашних сетей россиян

Пользователи роутеров Keenetic , преимущественно из России, подверглись серьёзной утечке данных, которая раскрыла конфиденциальные учётные данные, информацию об устройствах, конфигурации сетей и логи. С этой информацией хакеры могут напрямую подключаться и захватывать затронутые сети, хотя производитель оценивает риск мошеннической активности как низкий.

Команда Cybernews получила информацию об утечке от анонимного источника вместе с образцами данных, подтверждающими компрометацию пользователей Keenetic. Производитель 17 марта 2025 признал инцидент и пояснил, что утром 15 марта 2023 года независимый исследователь в области ИТ-безопасности сообщил им о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic.

Согласно заявлению производителя, после проверки характера и достоверности риска проблема была немедленно устранена во второй половине дня 15 марта 2023 года. Исследователь заверил разработчика, что не делился данными и уничтожил их. С тех пор до конца февраля 2025 года не было никаких признаков компрометации базы данных или воздействия на пользователей.

Анонимный источник предоставил образцы утекших данных по электронной почте. Исследователи подтвердили, что утечка включает всё — от паролей Wi-Fi и конфигураций роутеров до подробных служебных логов. Злоумышленники с доступом к конфиденциальным ключам могут проникнуть в домашние и корпоративные сети.

По данным анонимного источника, масштабы утечки впечатляют:

• 1 034 920 пользовательских записей, включающих email-адреса, имена, языковые настройки (locales), идентификаторы в системе управления доступом Keycloak, номера сетевых заказов (Network Order ID) и Telegram Code ID.
• 929 501 запись с технической информацией об устройствах, среди которых SSID и пароли Wi-Fi в открытом виде, модели маршрутизаторов, серийные номера, интерфейсы, MAC-адреса, доменные имена для удалённого доступа, ключи шифрования и другие параметры.
• 558 371 конфигурация устройств, содержащая данные об учётных записях пользователей, пароли, хешированные с использованием уязвимого алгоритма MD5, назначенные IP-адреса и расширенные настройки маршрутизаторов.
• Более 53,8 миллиона записей журналов активности, включая имена хостов, MAC- и IP-адреса, параметры доступа и даже специальные флаги, такие как «owner_is_pirate».

Разработчик подтвердил, что утечка затрагивает пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года. Компания оценивает риск мошеннической деятельности как низкий, отмечая, что был доступен ограниченный набор полей базы данных. В их числе:

• идентификаторы Keycloak, email-адреса (используемые как логины) и имена учётных записей Keenetic, языковые настройки (locales);
• конфигурации пользовательских учётных записей устройств, включая хеши паролей по алгоритмам MD5 и NT;
• настройки сетевых интерфейсов, включая SSID Wi-Fi и предустановленные ключи (preshared keys);
• пользовательские доменные имена в системе KeenDNS;
• параметры Wi-Fi, такие как номера каналов, roaming ID и ключи;
• политики IP и правила управления трафиком (traffic shaping);
• адреса удалённых узлов, логины и пароли VPN-клиентов;
• назначенные IP-адреса, имена и MAC-адреса зарегистрированных устройств в сети;
• конфигурации IPsec Site-to-Site и IPsec Virtual-IP Server;
• настройки DHCP-пула, параметры времени (NTP);
• списки доступа по IP- и MAC-адресам.

При этом разработчик заявил, что не собирает, не хранит и не анализирует данные платёжных карт, учётные данные или пароли для банковских операций, поэтому такие данные не затронуты утечкой.

Большинство пострадавших пользователей, по-видимому, из России: данные о локализации показывают не менее 943 927 русскоязычных пользователей, 39 472 англоязычных и 48 384 турецкоязычных пользователей.

Ранее немецкое кибернетическое управление BSI выпустило рекомендации по ограничению использования российского программного обеспечения в критической инфраструктуре. В результате разработчик принял решение о переносе команды разработчиков из России в новую компанию в Германии.

На российской версии официального сайта Keenetic указано, что компания функционирует под названием ООО «Неткрейз» с юридическим адресом в Москве. С 1 марта 2025 года, ссылаясь на законодательные изменения, Keenetic прекратил работу своего мобильного приложения и системы удалённого мониторинга в России, в результате чего пользователям пришлось перейти на новое приложение Netcraze.

Исследователи рекомендуют пользователям Keenetic немедленно изменить имена Wi-Fi (SSID), пароли и пароли администратора роутера, а также сбросить любые другие учётные данные, используемые в их сетях. Хорошим правилом является постоянное обновление прошивки и мониторинг сети на предмет необычной активности. Также следует отключить неиспользуемые функции удалённого управления, переадресации портов и UPnP.