Check Point взломали? CoreInjection просит $420.000 за конфиденциальные данные

Вокруг израильской ИБ-компании Check Point разгорается скандал — хакер под псевдонимом CoreInjection заявил, что получил доступ к конфиденциальной информации и предлагает её за пять биткоинов, что на момент публикации составляет около 420 тысяч долларов. Check Point уверяет, что речь идёт о старом инциденте, не затронувшем инфраструктуру клиентов, но публикации в даркнете и комментарии специалистов ставят это под сомнение.

Злоумышленник утверждает, что в его распоряжении оказались карты внутренней сети, архитектурные схемы, пароли (включая хеши и открытые значения), контактные данные сотрудников, техническая документация и даже исходный код программ. Также в наборе присутствуют бинарные файлы и информация о клиентах, включая подробности контрактов, действующих вплоть до 2031 года.

О предполагаемой утечке первым сообщил в LinkedIn сооснователь Hudson Rock Алон Галь. Он утверждает, что с высокой вероятностью имела место компрометация аккаунта с правами администратора. В подтверждение приводятся скриншоты из панели управления Check Point Infinity, где видны ключи API с правами «Admin», функции редактирования учётных записей и сброса двухфакторной аутентификации, а также сведения о клиентах.

Check Point в ответ на публикацию назвала инцидент «известным, старым и точечным» и подчеркнула, что он не касался ни продакшн-сред, ни архитектуры систем безопасности клиентов. По словам представителей компании, утечка затронула лишь трёх клиентов и была расследована ещё в декабре 2024 года. Тогда, как заявляется, были скомпрометированы учётные данные портала с ограниченными правами доступа.

Тем не менее, сам Галь поставил под сомнение заявление компании, обратив внимание на несоответствие между описанием произошедшего и содержанием опубликованных скриншотов. Особенно его насторожили данные о 121 120 учётных записях и почти 19 тысячах платных клиентов с деталями их сервисов и сроками контрактов.

Кроме того, Галь задал вопрос о том, почему по такому инциденту отсутствует публичный отчёт или заявление в американскую Комиссию по ценным бумагам (SEC), ведь Check Point — публичная компания. Он отметил, что прозрачность в подобных случаях критически важна, особенно если речь идёт о возможной утечке данных клиентов.

Позднее Check Point опубликовала расширенное заявление, подтвердив, что инцидент действительно произошёл в декабре, и касался ограниченного числа аккаунтов. Однако в компании подчеркнули, что пост хакеров преувеличивает масштаб случившегося и вводит людей в заблуждение. Также было сказано, что система портала имеет внутренние механизмы защиты, которые ограничивают последствия подобных компрометаций.

Вопрос о методе взлома и технических деталях компрометации остаётся без ответа. Представители компании сослались на «учётные данные с ограниченными правами», но не объяснили, как они могли привести к доступу уровня администратора.

Сомнения в официальной версии усиливаются и из-за визуальных доказательств — на скриншотах хакера отчётливо видны привилегированные права, API-ключи с полным доступом и данные, которые вряд ли могли быть получены через «ограниченный» аккаунт. Противоречия в заявлениях и отсутствие полной отчётности усиливают недоверие к публичной позиции компании.

Пока Check Point настаивает на том, что угрозы безопасности нет, в киберсообществе продолжается обсуждение — действительно ли это всего лишь «рециркуляция старых данных» или сигнал о более глубокой уязвимости, которую ещё предстоит раскрыть.