Аналитики компании «СёрчИнформ» подготовили обзор инцидентов информационной безопасности за июль. В него вошли самые крупные факты воровства и утечек, которые произошли по вине сотрудников-инсайдеров, а также из-за уязвимостей приложений и сервисов.
Самой громкой утечкой июля стало попадание документов Google.docs в поисковую выдачу «Яндекса», а с ними паролей, баз контактов сотрудников и клиентов, внутренние инструкции, договоры частных лиц, чиновников и крупных компаний. История получила продолжение, когда в поисковой выдаче нашли данные клиентов ряда крупных российских компаний. Среди них «Сбербанк», ВТБ, РЖД, «Аэрофлот». А уже под конец июля в выдаче вновь нашли гугл-документы — теперь по запросам «график» и «зарплата».
Компания «Яндекс» сообщала, что «индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Но в выдаче оказались и документы, которые были защищены настройкой «доступно тем, у кого есть ссылка». Пока наиболее вероятной причиной того, как случайно сгенерированные ссылки попали к поисковому роботу, выглядит предположение, что пользователи открывали их в «Яндекс.Браузере». Как бы то ни было, вся история стала большим уроком для тех, кто считал, что выгружая документы в бесплатный облачный сервис, сохраняет приватность.
Примечательно, что в июле произошло еще два громких инцидента, демонстрирующих опасность беспечного отношения к безопасности. В первом хакер искал маршрутизаторы с установленным по умолчанию известным FTP-паролем. Оказалось, такими пользуются на военных объектах ВВС США. В результате у хакера оказались инструкции по обслуживанию американских ударных дронов MQ-9 Reaper, пособия с описанием тактик по размещению самодельных взрывных устройств, руководство по эксплуатации танка M1 ABRAMS, инструкции по обучению членов экипажа, пособия по выживанию и пр. Во втором инциденте в открытый доступ попала информация о тысячах СПИД- и ВИЧ-инфицированных пациентов, которую собирали с 1983 года в штате Теннеси. Это произошло из-за того, что сотрудник по ошибке поместил файл в папку на сервере, к которой имели доступ более 500 сотрудников, хотя документы предназначались только троим.
В июле происходили инциденты и из-за умышленных действий сотрудников. Самый громкий — это попытка продать в даркнете исходный код программы «Пегас», которая позволяет следить за пользователями Android и iOS. Ее предпринял бывший программист NSO Group — компания разрабатывает инструменты для борьбы с терроризмом и продает программы только государственным службам. Трудно переоценить значимость утечки: один из мощнейших программных комплексов, который позволяет прослушивать и снимать любого пользователя без ограничений, оставался в распоряжении сотрудника-злоумышленника в течение трех недель.
Несостоявшийся факт корпоративного воровства пресекли также в Apple — с информацией о беспилотном автомобиле на новую работу в Xiaopeng Motors пытался уехать бывший инженер корпорации. А в России в Сбербанке вычислили целую организованную группу, которая похитила со счетов 40 млн рублей. В схеме было задействовано 9 менеджеров, которые работали в разных городах России .
Новости об уязвимостях сервисов и приложений вновь демонстрируют, как легко получить доступ даже к самым «секретным» данным. Так спортивное приложение Polar Flow позволяло увидеть полные имена, место жительства пользователей, среди которых были и сотрудники секретных военных баз и других объектов особого значения. Специалисты в несколько кликов нашли среди пользователей «высокопоставленного офицера, служащего на авиабазе, где хранится ядерное оружие, его профиль с полным именем, а также время и точные маршруты его воскресных пробежек около дома за последние несколько лет».
Похожая доступность данных обнаружилась и в Movistar (клиентский сервис крупнейшего провайдера Telefonica). Выяснилось, что любой, у кого была учетная запись в сервисе, мог просматривать личную информацию о других пользователях. До раскрытия уязвимости сервис мог использоваться для массового сбора личных данных, теперь Telefonica грозит штраф по регламенту GDPR.