Украинская хакерская группа DumpForums заявила о взломе IT-инфраструктуры компании Dr.Web, одного из ведущих российских разработчиков антивирусного ПО. По их словам, они находились в сети компании более месяца и за это время похитили свыше 10 ТБ данных, включая внутренние разработки, проекты и базы.
Для подтверждения взлома DumpForums опубликовали дампы, содержащие личные данные клиентов, переписки с технической поддержкой и ключевую внутреннюю информацию.
- Что такое утечка данных?
- Масштабы утечки: под ударом миллионы пользователей
- Как инцидент прокомментировали в Dr.Web
- Рост числа инцидентов и утечки государственной тайны в России
- Секторы, наиболее пострадавшие от утечек, и причины
- Последний крупный слив: взлом Национального бюро кредитных историй
- Заключение
Что такое утечка данных?
Утечка данных представляет собой ситуацию, при которой происходит несанкционированный доступ к закрытой информации. Такие данные могут быть украдены, использованы для вымогательства или опубликованы в свободном доступе. В случае с компанией Dr.Web были скомпрометированы личные данные клиентов, переписки с технической поддержкой и внутренние сведения, связанные с разработкой антивирусных продуктов.
Этот инцидент наглядно показывает, что даже компании, специализирующиеся на кибербезопасности, такие как Dr.Web, подвержены атакам. В результате миллионы пользователей по всему миру могут оказаться под угрозой.
Масштабы утечки: под ударом миллионы пользователей
Согласно предварительным оценкам, в результате взлома были скомпрометированы данные не менее 4 481 778 клиентов компании Dr.Web, среди которых как российские, так и иностранные пользователи. В утечке также фигурируют данные о клиентах, связанных с государственными и правительственными структурами как внутри России, так и за её пределами.
Хакеры заявили, что получили полный доступ к ИТ-инфраструктуре компании, включая базы данных с клиентской информацией и системы, где хранятся личные данные пользователей. В Telegram-боте Dr.Web они сообщили:
Анализ утечки показывает, что помимо данных сотрудников компании, в обнародованных базах содержатся переписки с клиентами через Telegram-бот техподдержки, а также информация о пользователях антивирусного продукта Dr.Web Антивор.
«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Все проекты по улучшению безопасности теперь, кажется, нуждаются в защите сами по себе. Не оставили без внимания и ресурсы по управлению ПО. Клиентские базы данных. Да, данные пользователей, которые доверяли Dr.Web свою безопасность, мы так же выгрузили. Вишенка на торте — домен контроллер. Овладев им, нам оставалось лишь пополнять наши накопители, выгружая все больше данных»
Кроме того, они подчеркнули, что получили доступ к домен-контроллеру компании, что позволило им контролировать всю внутреннюю сеть.
Хакеры получили доступ к ряду критически важных систем, включая следующие ресурсы:
- antitheft.drweb.com (система защиты от кражи устройств),
- bugs.drweb.com (система отслеживания багов),
- idm.dev.drweb.com (система управления идентификацией),
- ldap.dev.drweb.com (директория LDAP),
- rt.drweb.com (система управления запросами),
- vxcube.drweb.com (система анализа файлов на наличие угроз),
- другие внутренние базы данных.
Как инцидент прокомментировали в Dr.Web
Согласно действующим протоколам безопасности компания Dr.Web отключила серверы и запустила процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший применение сервиса Dr.Web FixIt! для Linux.
Команда Dr.Web уже выпустили официальное заявление, в котором пишут, что сообщения о взломе не соответствуют действительности.
«8 октября 2024 года в одном из телеграм-каналов было опубликовано заявление о взломе инфраструктуры нашей компании.
Целевая атака на наши ресурсы действительно была осуществлена в сентябре, мы сразу сообщили об этом, выпустив новость.
Атака была своевременно пресечена, все ресурсы были отключены от сети и прошли тщательную проверку в соответствии с протоколами безопасности. Основной целью было требование выкупа от нашей компании, но мы не ведем никаких переговоров со злоумышленниками. На данный момент правоохранительные органы проводят расследование, в связи с чем мы не можем давать подробные комментарии, чтобы не мешать проведению следствия.
Опубликованная в Телеграм информация в основной своей части не соответствует действительности, пользовательские данные затронуты не были. Какой-либо угрозы безопасности нашим пользователям ни обновления вирусных баз, ни обновления программных модулей не несут.
Мы усилили меры безопасности всех ресурсов компании и изучаем выложенные в телеграм-каналах скриншоты на предмет выявления скомпрометированных данных», — пишут представители Dr.Web в своем Telegram-канале.
В первом полугодии 2024 года зарегистрировано 5111 утечек конфиденциальной информации по всему миру — это на 19,2% меньше, чем в первом полугодии 2023 года, в котором произошло 6323 случая компрометации данных из коммерческих компаний и госсектора. В России, напротив, произошел рост количества утечек информации. Всего в I полугодии 2024 г. зарегистрировано 415 случаев компрометации данных, что на 10,1% больше, чем в I полугодии 2023 г., когда произошло 377 подобных нарушений.
Согласно данным регулятора, единовременно были скомпрометированы 500 млн строк данных. Однако источник утечки не был раскрыт, что усиливает обеспокоенность по поводу безопасности персональной информации. В первом полугодии 2024 года Роскомнадзор выявил 46 случаев размещения баз данных с признаками утечек, но общий объем утекших данных ведомство не раскрыло.
Рост числа инцидентов и утечки государственной тайны в России
Общее число утечек за первую половину 2024 года достигло 415 случаев, что на 10,1% больше, чем за аналогичный период 2023 года, когда было зарегистрировано 377 инцидентов.
За первые шесть месяцев 2024 года в России зафиксирован новый антирекорд по утечкам персональных данных — скомпрометировано почти 1 миллиард строк данных, сообщает ГК InfoWatch. Этот показатель на 33,8% превышает аналогичный период 2023 года.
«Больше половины этого объема пришлись на один инцидент, зарегистрированный Роскомнадзором. По данным регулятора, единоразово были скомпрометированы 500 млн строк данных. Откуда именно произошла утечка, ведомство не уточняет. Таким образом, всего за полгода утекло количество единиц персональных данных, которое почти в семь раз превышает население России», — заявил руководитель направления аналитики и специальных проектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев.
Тем не менее, крупные утечки в 2024 году стали происходить реже: число скомпрометированных баз данных объемом свыше 1 миллиона записей снизилось на 44,6% (с 56 до 31), а объемом более 10 миллионов — на 35,7% (с 14 до 9).
Кроме того, значительно увеличилась доля утечек данных, содержащих государственную тайну. В первой половине 2024 года этот показатель составил 11,1%, тогда как в 2023 году он был на уровне 6,4%.
Такой рост свидетельствует о том, что злоумышленники активно атакуют не только частные компании, но и государственные структуры, включая те, которые работают с конфиденциальной информацией.
Секторы, наиболее пострадавшие от утечек, и причины
Онлайн-ретейл стал лидером по числу утечек, на него пришлось 42% всех инцидентов в 2024 году, что значительно превышает показатель в 19,6% в 2023 году. Еще 11% утечек на сферу услуг, 8% — на социальные сети, форумы и блоги, а 7% — на финансовый сектор. Оставшиеся охватывают другие отрасли.
«Злоумышленники регулярно атакуют российские интернет-магазины, в основном небольшие, и других представителей ритейла, пользуясь слабым уровнем информационной безопасности. Именно из-за стремительного роста количества утечек информации в торговле произошёл общий рост количества утечек в России по итогам первого полугодия 2024 года» — отмечает Андрей Арсентьев.
Также наблюдается рост числа утечек в муниципальных органах власти и государственных организациях. Это связано с недостаточной осведомленностью о киберугрозах, низкими инвестициями в безопасность и использованием устаревших систем защиты.
Геополитическая напряженность также остается ключевой причиной большинства утечек. Более 99% всех инцидентов являются результатом умышленных действий. Ситуация осложняется масштабированием российских сервисов, которые пришли на смену западным платформам, однако не всегда успевают внедрять необходимые меры защиты информации.
Последний крупный слив: взлом Национального бюро кредитных историй
Взлом одного из крупнейших российских бюро кредитных историй, Национальное бюро кредитных историй (NBKI), вызвала серьезные беспокойства в финансовом секторе. Хакеры заявили о том, что у них в распоряжении находится более 200 миллионов заявок на получение кредита.
В открытом доступе появились 500 тысяч записей, каждая из которых включает следующие поля:
- Ф.И.О.
- Дата рождения
- Реквизиты документа
- Телефон
- Сумма кредита
- Город, регион
Актуальность данных, как предполагается, относится к весне 2024 года. Инцидент подчеркивает растущие угрозы кибербезопасности в финансовом секторе и необходимость улучшения защиты личных данных.
Заключение
Таким образом, стремительный рост утечек данных в России в 2024 году подчеркивает важность усиления мер информационной безопасности как в частном, так и в государственном секторах. Увеличение числа инцидентов, утечки государственной тайны и уязвимость небольших компаний перед кибератаками демонстрируют необходимость системных изменений в подходах к защите данных.
В условиях нарастающего геополитического давления и умышленных атак, обеспечение кибербезопасности должно стать приоритетом для организаций, особенно в условиях расширения использования отечественных сервисов.
