|
|
|
Professor Seleznov
|
По традиции рассказываем о самых ярких ИБ-инцидентах за последний месяц. В программе по итогам апреля: кража личных фотографий из крупной соцсети, хакерский налет на конфиденциальные данные путешественников и ИИ-агент, который раскрыл секреты консалтинга. Все подробности — под катом.
Глянул одним глазком
Что случилось: экс-сотрудник компании Meta* в Лондоне скачал более 30 000 изображений с личных страниц пользователей Facebook**.
Как это произошло: больше года назад в Meta обнаружили, что их инженер во время работы в компании получил доступ к личным изображениям пользователей Facebook. Сотрудник разработал программу, которая помогала обходить системы безопасности корпорации и добираться до фотографий пользователей.
Пострадавших пользователей Facebook уведомили об инциденте, подозреваемого немедленно уволили, а системы безопасности — модернизировали. Компания сама передала все данные о нарушении в отдел по борьбе с киберпреступностью Лондона. Сейчас стартовало уголовное расследование.
*Компания Meta Platforms признана в России экстремистской организацией и запрещена.
**Facebook принадлежит компании Meta Platforms, которая признана в России экстремистской организацией и запрещена.
Обслуживание в номер
Что случилось: хакеры взломали Booking.com – один из крупнейших сайтов бронирования жилья – и получили информацию о бронированиях из личных кабинетов пользователей.
Как это произошло: в компании зафиксировали, что неизвестные проникли в их внутренние системы и получили доступ к конфиденциальным данным путешественников.
Расследование показало, что взломщики могли просматривать информацию о бронировании, никнеймы и реальные имена пользователей, адреса электронной почты и физические адреса, а также номера телефонов, привязанные к брони жилья, и любую другую информацию.
Специалисты Booking.com отреагировали на инцидент и обновили PIN-коды для этих бронирований, а также сообщили пользователям об инциденте.
В компании не стали разглашать, сколько человек пострадало от взлома, но добавили, что злоумышленникам не удалось получить доступ к финансовой информации пользователей.
Такого доктор не прописывал
Что случилось: Гонконгская больница столкнулась с утечкой данных более чем 65 тысяч пациентов.
Как это произошло: в начале апреля внутренние системы мониторинга Управления здравоохранения Гонконга засекли взлом и утечку данных медицинских записей жителей Коулун-Ист – одного из крупнейших районов города.
Бюро по кибербезопасности полиции Гонконга провело расследование. Оказалось, за инцидентом стоял специалист по техническому обслуживанию, который работал на компанию-подрядчика Управления. Эта компания поддерживала систему, которая отвечала за работоспособность оборудования в операционных. Поэтому в ее инфраструктуре хранились данные, относящиеся к хирургическим процедурам: имена пациентов, номера их удостоверений личности и больничных карточек, а также подробности проведенных операций. Именно они оказались скомпрометированы.
Полиция изъяла у компании-подрядчика более 60 цифровых устройств, в том числе серверы и мобильные телефоны. Расследование показало, что утечка произошла из хранилищ, которые находились в ведении двух удаленных филиалов компании. Сотрудник подрядчика воспользовался доступом к ним, проник в систему, скачал конфиденциальные данные пациентов и слил их на сторонние ресурсы.
Злоумышленника арестовали, а подрядчику закрыли доступ к системам Управления здравоохранения Гонконга до завершения расследования. Управление по защите персональных данных предупредило пострадавших пациентов об утечке, а также создало специальную горячую линию для обработки запросов.
Агент под прикрытием
Что случилось: ИИ-агент за пару часов раскрыл все секреты McKinsey.
Как это произошло: команда белых хакеров CodeWallAI взломали корпоративную ИИ-платформу Lilli консалтингового гиганта McKinsey. С помощью атакующего ИИ-агента они провели глубокое тестирование на проникновение и обошли защитные фильтры умного ассистента консалтинговой фирмы.
Сначала ИИ-агент обнаружил в открытом доступе детализированную документацию о более чем 200 конечных точках, которые были подключены к платформе по программному интерфейсу (API). Подключение к 22 из них осуществлялось без авторизации, т.е. не предусматривало никакой проверки личности пользователя и была защищена даже паролем.
Далее агент проник в базу данных одной из этих незащищенных точек, и обнаружил, что там хранятся запросы пользователей к платформе Lilli. Хотя значения в ячейках были защищены, но имена полей подставлялись в SQL-запросы через JSON «как есть» — то есть в базе присутствовала классическая SQL-инъекция, которую штатный сканер не заметил. Из-за этой уязвимости имена полей возвращались в сообщениях об ошибках. За пятнадцать попыток исследовательский ИИ-агент восстановил структуру запроса и получил доступ к «живым» данным. Получается, что модель распознала слабое место, которое стандартные инструменты проверки даже не вычислили бы.
Агент пробрался еще глубже. С помощью промпт-инъекций (prompt injections) и манипуляций с механизмом RAG ИИ-ассистент обошел заложенные системные запреты. Оказалось, что модель обращалась к данным с избыточными правами. Более того, через уязвимости в плагинах платформы исследователи смогли реализовать SSRF-атаку (подделка запросов от лица сервера), получив прямой доступ к метаданным облачной инфраструктуры и ключам доступа.
В течение двух часов с момента запуска агента белым хакерам удалось получить полный доступ на чтение и запись ко всей производственной базе данных McKinsey — без паролей и без участия человека. За время атаки они собрали 46,5 млн сообщений в чате, 728 тыс. файлов (из них: 192 тыс. PDF-файлов, 93 тыс. электронных таблиц Excel, 93 тыс. презентаций PowerPoint, 58 тыс. документов Word), 57 тыс. учетных записей пользователей, 384 тыс. ИИ-помощников и 94 тыс. рабочих мест.
Поскольку атака была контролируемой, реального финансового урона McKinsey не понесла, а данные не утекли дальше в даркнет. Однако в рамках теста исследователи нанесли колоссальный «управляемый ущерб»: они продемонстрировали возможность выгружать стратегические документы, инсайдерскую аналитику и строго конфиденциальную информацию о клиентах McKinsey со всего мира.
Атака не привела к сбоям в работе каких-либо производственных сервисов. Результаты исследования передали группе безопасности McKinsey, и все проблемы устранили.
Дисклеймер
Данное исследование (контролируемую атаку) проводили в соответствии с принципами ответственного раскрытия информации и стандартной отраслевой методологией исследований в области безопасности. Все тестирование носило исключительно проверочный характер.
Просто рядом постою
Что случилось: сотрудник банка в Дели помогал кибермошенникам и открывал поддельные счета для кражи денег.
Как это произошло: инцидент произошел еще в октябре 2023 года. Тогда в отдел киберполиции города Дварка поступило заявление о несанкционированном списании 88 тыс. рупий (около 400 рублей) со счета в банке SBI. Перевод отследили до частной кредитной организации RBL, где и трудился подозреваемый менеджер по работе с клиентами.
Сотрудник за вознаграждение открывал по поддельным документам счета, которые потом использовали кибермошенники для кражи денег у жертв. Теперь подельника мошенников нашли и арестовали.
Ранее по этому делу уже задержали четырех человек. Преступники заманивали пострадавших предложениями о работе в соцсетях и сначала платили им небольшие суммы, а потом обманом вынуждали переводить все более крупные суммы обратно (о такой схеме «развода» мы подробно рассказывали в гайде по безопасности в соцсетях). После мошенники выводили деньги с подставных счетов – для этого они и вербовали сотрудников банков – и блокировали жертв. Некоторые жертвы из-за схемы потеряли миллионы рупий.
Расследование продолжается. Пока что Центральное бюро разбирается с масштабом схемы и устанавливает «заказчиков». Предполагается, что случай не единичный — сколько банковских служащих вовлечены и о каких оборотах идет речь, еще предстоит разобраться. В прошлом в(Не) безопасном дайджесте мы рассказывали о похожем преступлении – тогда в Индии арестовали двух человек, которые подкупали работников банков, чтобы создавать «липовые» счета и проводить «липовые» транзакции. Возможно, окажется, что это звенья одной цепи.
Художественный фильм «Украли»
Что случилось: британская нефтегазовая компания Zephyr Energy plc потеряла около 700 тыс. фунтов стерлингов (около 938 тыс. долларов) из-за кибератаки.
Как это произошло: инцидент случился в одном из американских подразделений компании. Во время перевода средств подрядчику кибермошенники смогли вмешаться в цепочку, подменить путь платежа и отправить его на подконтрольный счет. Точной схемы в Zephyr Energy раскрывать не стали, указав на «высокотехнологичность» преступления. Вероятнее всего произошла BEC-атака: в СМИ предполагают, что хакеры взломали почту адресата платежа и в последний момент изменили реквизиты для перевода, чтобы жертвы сами направили деньги на подставной счет.
Проблему специалисты Zephyr Energy заметили не сразу, а после ее обнаружения обратились в полицию. С тех пор угрозу устранили, а компания отчиталась, что установила дополнительные меры защиты и запустила работу с банками и сторонними консультантами, чтобы вернуть украденные деньги. В компании добавили, что этот эпизод не повлиял на работу основных систем и на операционную деятельность.-Источник
|
|
|
|
