(Не) безопасный дайджест: кража «национальных секретов», неблагонадежный VPN и штраф за любопытство охранников

Собрали подборку ИБ-инцидентов, о которых стало известно в июне. Сегодня в программе: мстительный сотрудник медицинской компании, мегаслив персданных, несостоявшийся вымогатель и инсайдер из Samsung.

Что случилось: злоумышленники запустили сервис Sorgu Paneli, который предоставляет доступ к личным данным всех граждан Турции.

Как это произошло: специалисты платформы по борьбе с онлайн-цензурой Free Web Turkey выпустили официальное заявление, в котором рассказали о сервисе, раскрывающем ПДн миллионов граждан Турции. Известно, что сервис, название которого переводится как «панель для запросов», бесплатно предоставляет имена, фамилии, идентификационные номера, адреса и номера телефонов жителей страны. Кроме данных турецких граждан в базе есть и данные иностранцев, которые зарегистрированы в электронной системе. Бесплатный функционал сайта доступен по регистрации (на момент обнаружения инцидента на сайте было зарегистрировано более 5 тысяч пользователей), платная подписка предоставляет пользователям расширенный доступ к информации. Некоммерческая организация Media and Law Studies Association, один из учредителей Free Web Turkey, пообещала подать иски как против создателей сайта, так и против властей, которые не способны обеспечить защиту информации.

Несмотря на предположения, что данные 85 миллионов человек могли быть украдены из системы электронного правительства Турции, подтверждений этому не нашлось. Free Web Foundation узнала у людей, которые на протяжении нескольких лет занимались аналогичными сервисами по продаже персданных, что сайт Sorgu Paneli предоставлял доступ к данным, скомпилированным из нескольких утечек. Глава Департамента кибербезопасности в президентском Офисе цифровой трансформации заявил, что данные не могли утечь из системы электронного правительства, более того, в ней зарегистрированы только 63 миллиона пользователей.

Что случилось: уволенный сотрудник медицинской компании исказил информацию в базе данных работодателя.

Как это произошло: в мае 2022 года сотрудник компании по управлению трудовыми контрактами медперсонала Vituity, получил извещение о том, что через месяц он будет уволен. Перед увольнением сотрудник решил не терять время зря и поменял пароль к аккаунту коллеги для того, чтобы сохранить доступ к системам Vituity после отключения собственной учетки.

В сентябре 2022 года экс-сотрудник воспользовался этой лазейкой и удаленно подключился к системе компании. Он заменил пароль к учетке еще одного сотрудника и через нее внес изменения в базу с данными о персонале. Мстительный сотрудник также переписал данные тысяч действующих и бывших работников, введя вместо реальной информации однотипные замаскированные данные. В конце мая злоумышленника арестовали, теперь за несанкционированный доступ к компьютеру ему грозит до 10 лет лишения свободы, штраф в размере 250 тысяч долларов и возмещение убытков.

Что случилось: британский специалист по информационной безопасности прикинулся хакером, чтобы шантажировать своего работодателя.

Как это произошло: в 2018 году хакеры, используя вымогательское ПО, атаковали оксфордскую компанию. После инцидента злоумышленники связались с руководством организации и потребовали выкуп. Этой ситуацией решил воспользоваться ИБ-аналитик компании Эшли Лайлс, который принимал активное участие во внутренних расследованиях инцидентов. Лайлс получил доступ к переписке членов правления компании, изменил содержание исходного письма от вымогателей и указанный ими адрес, на который нужно было отправить выкуп. Он также создал адрес электронной почты, практически идентичный адресу злоумышленников, и некоторое время переписывался с руководством своей фирмы, требуя перевести деньги.

Однако выкуп он так и не получил. В компании обнаружили несанкционированный доступ к почте и отследили, что он был осуществлен с домашнего адреса Эшли Лайлса. За несколько дней до ареста неудачливый шантажист удалил все данные со своих устройств, пытаясь скрыть причастность к атаке на компанию. Но полицейским удалось восстановить информацию, которая стала прямым доказательством его преступления. Почти пять лет сотрудник отрицал причастность к инциденту, но в мае этого года Лайлс все-таки признал вину, в июле суд огласит окончательный приговор. Согласно британскому законодательству, несанкционированный доступ к компьютеру наказывается сроком до 2 лет, а шантаж – до 14 лет.

Что случилось: инсайдерская утечка из Tesla легла в основу расследования о проблемах внутри компании.

Как это произошло: немецкая газета «Хандельсблат» опубликовала расследование о проблемах в Tesla на основе 100 Гб данных, полученных от информаторов внутри компании-производителя электрокаров. Утечка состоит из более чем 23 тысяч файлов за период с 2015 по март 2022 года, включая жалобы водителей на проблемы с автомобилями и технический разбор этих жалоб. Также документ содержал информацию о зарплатах сотрудников, банковские реквизиты клиентов, производственные секреты и даже персданные владельца компании Илона Маска.

Журналисты проверяли полученную информацию полгода и сделали фокус на проблемах с безопасностью электрокаров, о чем свидетельствовали тысячи жалоб. Расследование вышло под заголовком: «Мой автопилот чуть не убил меня». Но, как отмечает редактор газеты, серьезные вопросы возникают и к тому, как в компании обрабатываются данные, поскольку инсайдеры смогли без особых сложностей получить доступ к файлам, не относящимся к их зоне ответственности. Инцидентом заинтересовались немецкий и голландский регуляторы. В соответствии с GDPR, утечка может грозить Tesla оборотным штрафом на сумму до 3,3 миллиардов долларов.

Что случилось: бывшего топ-менеджера Samsung обвинили в краже ценных сведений о производстве чипов.

Как это произошло: согласно заявлению прокуратуры, 65-летний сотрудник корейского производителя микроэлектроники в 2018-2019 годах незаконно получил конфиденциальную информацию, которую планировал использовать для строительства копии производства чипов памяти Samsung в полутора километрах от оригинального завода. Украденная информация включала основные данные по проектированию помещений и поэтажный план размещения оборудования. Согласно южнокорейскому законодательству, сведения о производстве чипов памяти 30 нанометров и менее особо охраняются как ключевая национальная технология.

Обвинение оценивает ущерб от кражи данных по меньше мере в 233 миллионов долларов. Топ-менеджер отрицает причастность к краже коммерческой тайны. Помимо него в причастности к утечке обвиняются ещё 6 человек.

Что случилось: база данных с более чем 360 миллионами записей об активности клиентов популярного бесплатного VPN-сервиса оказалась в открытом доступе.

Как это произошло: киберисследователь обнаружил в открытом доступе базу данных, размером в 133 Гб. Почти все скомпрометированные записи содержали упоминание бесплатного VPN-приложения SuperVPN. Утечка затронула чувствительную информацию о пользователях сервиса: адреса электронной почты, исходные IP-адреса, геолокацию, сведения об использованных серверах, а также предположительно секретные ключи, уникальные номера пользователей и уникальные идентификаторы UUID. Кроме того, утечка содержала данные о моделях устройств пользователей, заявления на возврат средств (вероятно, после истечения срока бесплатного использования) и ссылки на страницы, которые посещали пользователи. По словам исследователя, он обнаружил несколько одноименных приложений для iOS и Android и направил информацию о своей находке по всем доступным адресам. Ответа он так и не получил, но вскоре база перестала быть общедоступной.

Что случилось: госпиталь в городе Якима был оштрафован на 240 тысяч долларов за несанкционированный доступ охранников к электронным данным пациентов.

Как это произошло: в апреле 2017 года госпиталь города Якима разослал 419 пациентам отделения неотложной помощи извещение о том, что сотрудники без разрешения просматривали их медицинские данные. C октября 2016-го по январь 2017-го работники медучреждения открывали карты пациентов, хотя это не входило в их должностные обязанности. Инцидент обнаружили во время внутренней проверки, после чего сотрудникам закрыли доступ к данным, а в организации началось расследование. Согласно предварительным выводам, у виновников не было злого умысла, а данные они могли просматривать из любопытства или от скуки. Киберэксперты, которые подключились к расследованию, не нашли фактов, которые подтверждали бы продажу информации о пациентах на черном рынке.

В 2018 году госпиталь уведомил об инциденте Офис гражданских прав Министерства здравоохранения и социальных служб США. 15 июня 2023 года ведомство объявило о заключении мирового соглашения с госпиталем. Виновниками инцидента оказались 23 охранника отделения неотложной помощи, которые просматривали карточки пациентов. Данные, к которым они получили несанкционированный доступ, включали: имя, дату рождения, номер медкарты, адрес, информацию о ходе лечения, страховые данные. По условиям соглашения, госпиталь обязан выплатить штраф в 240 тысяч долларов, а также провести мероприятия для соответствия правилам HIPPA, включая обучение сотрудников и проверку взаимоотношений с вендорами и подрядчиками.

В здравоохранительном секторе США подобные случаи не являются редкостью. Так, в 2017 году оператор шести больниц в штате Флорида был оштрафован на 5,5 миллионов долларов за несанкционированный доступ двух сотрудников к данным пациентов.