[Информационная безопасность, IT-стандарты] (не)Безопасный дайджест: пароли по дефолту, персданные в подарок и зарплата для фишеров
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Продолжаем собирать «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone. У нихЗаводская проходнаяЧто случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль — admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.Слив-подрядЧто случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб. Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля. Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы «засветили» данные 150 миллионов пользователей тех же соцсетей. Доплата за энергию Что произошло: Британский поставщик электроэнергии People’s Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках «третьей стороны» оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в People’s Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия. Кто виноват: По версии People’s Energy, причиной инцидента стало «неблагоприятное стечение обстоятельств». Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой People’s Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были. Международная «заброшка»Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации. Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai – в рамках проверки на уязвимости, которую инициировала сама ООН. Ограбление по-итальянскиЧто произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете. Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают – дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.Новичок на миллионЧто произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с «приданым» – коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции. Цена любвиЧто произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов. Кто виноват: По одной из версий – дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы – и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе. Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку – и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу). У насЗряплатаЧто произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на «левые» карты под видом зарплаты и обналичили через банкоматы. Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной «начинкой». Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию. Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами – в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ – за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.Сим-сим, закройсяЧто произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости. Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты. После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть «дыры» в безопасности. Пресс-служба компании, правда, публично выступила против «неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках». Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Open source, DevOps] Автоматизируем поиск секретов в git и ansible
- [Информационная безопасность, Мессенджеры, Законодательство в IT] ProtonMail, Threema, Tresorit и Tutanota просят Евросоюз пересмотреть усилия по запрету шифрования
- [Информационная безопасность, Криптография, Разработка под Android, Софт] Google по ошибке удалила мессенджер Element из каталога Google Play, затем вернула обратно
- [Информационная безопасность, Системное администрирование] Обнаружена 0day уязвимость повышения привилегий в Windows 7-10
- [Информационная безопасность, CTF] HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста
- [Информационная безопасность, Google API] Как я воровал данные с пользовательских аккаунтов в Google (перевод)
- [Информационная безопасность, Администрирование доменных имен] Неизвестные украли домен Perl.com
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Разработка веб-сайтов, Анализ и проектирование систем, .NET] RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях
- [Информационная безопасность] Как мы провели Hack and Learn Initiative CTF
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itstandarty (IT-стандарты), #_informatsionnaja_bezopasnost (информационная безопасность), #_dajdzhest_serchinform (дайджест сёрчинформ), #_utechki_informatsii (утечки информации), #_rzhd (ржд), #_nissan, #_vodafone, #_oon (оон), #_blog_kompanii_searchinform (
Блог компании SearchInform
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itstandarty (
IT-стандарты
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:22
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Продолжаем собирать «классические» и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone. У нихЗаводская проходнаяЧто случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль — admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.Слив-подрядЧто случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб. Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля. Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы «засветили» данные 150 миллионов пользователей тех же соцсетей. Доплата за энергию Что произошло: Британский поставщик электроэнергии People’s Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках «третьей стороны» оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в People’s Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия. Кто виноват: По версии People’s Energy, причиной инцидента стало «неблагоприятное стечение обстоятельств». Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой People’s Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были. Международная «заброшка»Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации. Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai – в рамках проверки на уязвимости, которую инициировала сама ООН. Ограбление по-итальянскиЧто произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете. Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают – дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.Новичок на миллионЧто произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с «приданым» – коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции. Цена любвиЧто произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов. Кто виноват: По одной из версий – дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы – и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе. Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку – и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу). У насЗряплатаЧто произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на «левые» карты под видом зарплаты и обналичили через банкоматы. Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной «начинкой». Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию. Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами – в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ – за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.Сим-сим, закройсяЧто произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости. Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты. После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть «дыры» в безопасности. Пресс-служба компании, правда, публично выступила против «неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках». Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения. =========== Источник: habr.com =========== Похожие новости:
Блог компании SearchInform ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_itstandarty ( IT-стандарты ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 22:22
Часовой пояс: UTC + 5