"Магнолия" дважды подверглась одинаковой кибератаке

Об обоих инцидентах сообщил Telegram-канал "Утечки информации", принадлежащий компании DLBI, которая ведет мониторинг ресурсов, где злоумышленники размещают украденные данные. Первую утечку объемом 252 тыс. уникальных записей эксперты DLBI выявили 24 июня, вторую, содержащую более 256 тыс. записей, - 2 июля.

И в том и в другом случае в распоряжении хакеров оказались дампы баз данных. Массивы содержат ФИО, адрес доставки, номер телефона, адрес электронной почты, состав заказа, хешированные пароли и купоны на скидки. Самые свежие данные в первом фрагменте датированы 9 июня 2024 г., во втором - 24 июня 2024 г.

"Согласно закону № 152-ФЗ оператор, допустивший утечку персональных данных, обязан в течение 24 часов уведомить об этом Роскомнадзор, - сообщила пресс-служба регулятора по запросу ComNews. - По состоянию на 16.00 2 июля 2024 года уведомлений об утечках персональных данных от компании "Магнолия" в ведомство не поступило. Роскомнадзор проверяет информацию по возможной утечке данных клиентов этой организации".

В отчете аналитического центра кибербезопасности ООО "Газинформсервис" среди последствий для пострадавших от утечек отмечается три группы: попадание в мошеннические базы, распространение персональной информации, которая в дальнейшем может использоваться для шантажа или запугивания, а также попадание в распоряжение злоумышленников логинов и паролей, которые обычно используются для нескольких ресурсов. Риски для компаний, по мнению авторов отчета "Газинформсервиса", в основном связаны с потерей репутации, судебными исками со стороны пострадавших и попаданием в руки конкурентов планов по развитию бизнеса.

Повторные атаки - не редкость

"Забавно, что второй, более свежий дамп, хакер сделал спустя два дня после опубликования нами информации о первом инциденте", - обратили внимание авторы канала "Утечки информации".

Аналитик отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Максим Грязев называет такую ситуацию не уникальной: "Не являются редкостью и повторные атаки на одну и ту же компанию за короткий период. Хакеры часто возвращаются к уже атакованным системам, если знают, что уязвимости не были полностью устранены".

По оценке заместителя генерального директора ООО "Атом безопасность" (Staffcop, входит в "СКБ Контур") Юрия Драченина, такая ситуация даже из разряда распространенных: "Ситуация, когда компанию атакуют несколько раз за короткий период времени, - одна из самых распространенных. Злоумышленники часто возвращаются к уязвимым целям и используют одинаковые методы атак, что свидетельствует о системной проблеме и недостатках в защите данных​. Этот кейс - не уникальный случай, а еще одно подтверждение общей тенденции в сфере кибербезопасности".

Руководитель департамента информационной безопасности АО "ИВК" Игорь Корчагин также назвал инцидент с "Магнолией" не уникальным, и в целом 2024 г. уже стал рекордным по объемам утечек личных данных россиян.

Коммерческий директор экосистемы в области информационной безопасности (ИБ) "НОТА КУПОЛ" Игорь Морозов называет повторные атаки типичной ситуацией, причем не только для розницы: "Это связано с состоянием баз данных, информация в которых непрерывно меняется и эволюционирует. То есть база, которую можно было украсть вчера, во многом уже не актуальна и устарела по сравнению с той, что можно украсть сегодня. Поэтому взломы могут повторяться по нескольку раз. Обеспечение ИБ в рознице отличается на разных уровнях. Например, защита эквайринга и связь с банками обеспечиваются требованиями, исходящими от Центробанка РФ и банков-партнеров. Менее защищены территориально распределенные сети, которыми как раз являются розничные магазины".

"История с повторными атаками и несколькими утечками в течение короткого периода времени говорит о том, что расследование должным образом проведено не было, не разбиралось детально, как это произошло и через какой вектор атаки. Таким образом, при подобном подходе нельзя исключить повторение ситуации", - предупреждает независимый эксперт в сфере ИБ Роман Бондаренко.

Уязвимы все

Как показал анализ результатов 28 тестирований на проникновение (пентестов), которые провели сотрудники ПАО "Группа Позитив" (Positive Technologies), 96% организаций оказались не защищены от проникновения злоумышленников в их внутреннюю сеть, а в 63% локальных сетей может проникнуть злоумышленник низкой квалификации. В среднем для проникновения в корпоративную сеть экспертам требовалось 10 дней. В каждом проекте, связанном с проведением пентестов, удалось подтвердить возможность реализации как минимум одного недопустимого события. Зачастую для этого не требовалось получения полного контроля над ИТ-инфраструктурой.

Успешное проникновение во внутреннюю сеть, по результатам пентестов Positive Technologies, стало возможным из-за недостатков парольных политик, уязвимостей в коде веб-приложений (в том числе сторонних продуктов) и ошибок в конфигурации сервисов, находящихся на периметре сети. Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей.

Руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина поделилась данными о ситуации в российской рознице: "За неполное первое полугодие 2024 г. подавляющее число успешных атак на ретейл закончились утечкой конфиденциальной информации (80%). Большой процент утечек объясняется тем, что данных становится все больше, соответственно, для масштабирования и развития бизнеса компании используют распределенные ресурсы, облачные решения, веб-порталы, файловые хранилища. Объем данных нередко становится неконтролируемым. Появляются проблемы инвентаризации инфраструктуры данных, их классификации и управления доступом к ним".

В отчете "Утечки данных" аналитического центра кибербезопасности ООО "Газинформсервис" также выделяет эксплуатацию злоумышленниками уязвимостей в системе управления контентом Bitrix, что стало причиной не менее 20 крупных инцидентов только в 2022 г. Директор новых проектов ООО "Гринсайт" (Ensi) Сергей Мелихов, сославшись на данные специализированных сервисов, указал, что в "Магнолии" также используют данную CMS.

https://www.comnews.ru/content/233322/2024-05-23/2024-w21/1018/otkuda-t…

"Отсутствие обновлений ряда критических информационных систем может создавать ситуацию, когда об уязвимости стало известно. Вендор выпустил хотфикс, но новая версия системы не была установлена из-за невозможности получить обновления. В результате мы получаем ситуацию, когда уязвимость уже выявлена и публична, но при этом не закрыта. Это практически готовый сценарий атаки, - обращает внимание Роман Бондаренко. - Одновременно с этим есть и другие типичные проблемы - от небольшого штата ИT-специалистов, отсутствия специализированной службы ИБ и неразберихи в инфраструктуре до попыток внутренних утечек и намеренной передачи данных. Затраты на замену западного программного обеспечения (ПО) для любой компании весьма ощутимы, но это капитальные затраты из налогооблагаемой базы, и почему многие крупные компании не готовы вкладываться в защиту бизнеса от угроз технического характера - большой вопрос".

Юрий Драченин напомнил, что с 2022 г. ситуация с обновлением зарубежного ПО осложнилась из-за санкций и ограничений на поставки софта: "В результате многие компании используют устаревшее ПО, которое не получает необходимых обновлений ИБ. Это делает бизнес уязвимым к кибератакам, так как злоумышленники активно используют известные уязвимости в фактически устаревшем ПО. Положение усугубляет то, что многие компании считают меры ИБ излишне дорогими и пренебрегают ими, - это приводит к увеличению числа инцидентов с утечкой данных".

"Частая причина утечек - мало защищенности программных продуктов. Вендоры должны применять технологии разработки безопасного программного обеспечения (РБПО), направленой на предотвращение уязвимостей в ПО, которые могут быть использованы злоумышленниками для нанесения ущерба организации или ее контрагентам, - полагает Игорь Корчагин. - Применение инструментов и методов РБПО позволяют безопасно разрабатывать и тестировать ПО: составлять индивидуальные карты поверхности атак для каждого продукта, всесторонне исследовать их с помощью целого комплекса различных инструментов статического и динамического анализа программного кода. Новые тенденции в области безопасной разработки генерирует сообщество российских разработчиков сертифицированных решений, которое сформировалось вокруг ИСП РАН".

Системные проблемы и привлекательность для злоумышленников

Причиной инцидента эксперты называют системные проблемы в отрасли. "Ситуация с ИБ в отрасли розничной торговли остается весьма сложной. Утечки данных и кибератаки на компании происходят регулярно, что указывает на существующие слабые места в их системах защиты. Случай с "Магнолией" не уникален: подобные инциденты уже происходили с другими компаниями, например, с сетью гипермаркетов "Ашан" в 2023 г. или с обувной сетью Rendez-Vous весной 2024 г., - считает Максим Грязев. - Экономия на безопасности при создании интернет-магазинов является распространенной проблемой. Традиционные розничные компании часто недооценивают важность инвестиций в ИБ, что приводит к использованию более дешевых, но менее защищенных решений. Это увеличивает риск утечек данных и кибератак. Опыт показывает, что правильные инвестиции в кибербезопасность критически важны для минимизации рисков и защиты данных клиентов и бизнеса".

https://www.comnews.ru/content/231177/2024-01-25/2024-w04/1010/randevu-…

Сергей Мелихов связывает инцидент в "Магнолии" с тем, что отрасль не научилась бережному обращению с данными: "Розница, несмотря на внушительные объемы хранимых персональных данных, еще не выработала практики бережного отношения к данным, как, например, финтех. InfoWatch фиксировала пятикратный рост утечек в группе "Ретейл & HoReCa" в 2022 г. Отрасль бурно развивается, и многие компании в ней работают в режиме стартапа. Ретейлеры используют большое количество систем, внедрением и развитием которых занимаются разные подрядчики. Такой подход помогает растить бизнес, но увеличивает риски утечки клиентских данных, потому что не все команды находятся на одном уровне зрелости и уделяют достаточное внимание этим рискам. Поэтому проблемой является не столько экономия, сколько культура. Ретейлеры легко делятся доступами с подрядчиками и используют чувствительные данные там, где можно было бы обойтись обезличенными, синтетическими или вовсе нечувствительными к утечкам данными".

По мнению Ирины Зиновкиной, в рознице, особенно онлайн-продажах, сложилось сочетание сразу нескольких факторов, делающих отрасль привлекательной для злоумышленников: "Во-первых, масштабы современной онлайн-торговли предусматривают практически непрерывное совершение онлайн-транзакций и огромный оборот финансовых средств, несанкционированный доступ злоумышленников к которым несет серьезную угрозу как для бизнеса, так и для клиентов. Во-вторых, ретейлеры и площадки электронной коммерции обрабатывают значительный объем персональных данных клиентов и сотрудников и, как следствие, периодически подвергаются атакам с использованием методов социальной инженерии и фишинга. В-третьих, ключевые онлайн-каналы продаж - веб-ресурсы магазинов и маркетплейсы всегда доступны в интернете, это дает киберпреступникам возможность постоянно изучать их и искать уязвимости для получения доступа к данным или нарушения работы сервисов".

По мнению Романа Бондаренко, ситуацию усугубляет то, что традиционная розница системно недооценивает угрозы, которые возникают при переносе бизнеса в онлайн: "Ретейл часто воспринимает интернет-магазин как приложение к физическим точкам продаж - коробочное решение, которое купили, развернули в облаке, и оно готово к работе. Несмотря на опыт пандемии, когда продажи массово уходили в онлайн, на активное развитие электронной коммерции как самостоятельной отрасли с колоссальными оборотами, такой подход, к сожалению, не редкость. И это большая ошибка: в офлайн-магазинах есть системы охраны, служба безопасности, и никому не придет в голову их упразднить. Интернет-магазин нуждается в не менее тщательной защите, но уже с точки зрения рисков ИБ. В ретейле, руководство которого до конца не осознает серьезность вызовов с точки зрения информационной безопасности, ситуация непростая. При этом, как правило, после остановки бизнеса на несколько суток в результате хакерской атаки или падения одной из ключевых информационных систем сомнений в важности этих рисков уже не возникает".

Игорь Корчагин обращает внимание на низкую осведомленность сотрудников, которая усугубляется спецификой бизнес-процессов в рознице: "Чтобы получить доступ в корпоративную сеть, злоумышленники прибегают к методам социальной инженерии. Например, менеджеру среднего звена, контакты которого опубликованы на сайте компании, поступает звонок от якобы потенциального контрагента, роль которого играет злоумышленник. По итогам беседы он присылает пакет "коммерческих предложений", в которые встроен программный зловред, и мотивирует его запустить, открыв документы. Тем самым злоумышленник превращает сотрудника во внутреннего нарушителя".

По данным "Газинформсервиса", в I квартале 2024 г. количество данных, "утекших" из компаний розничной торговли, снизилось почти в 15 раз в годовом выражении (6,9 млн записей в 2024 г. против 101,1 млн в 2023 г.). Впрочем, как раз на начало 2023 г. пришлось сразу несколько очень крупных инцидентов, включая утечки из "Спортмастера" и "СберСпасибо".

Как напоминает Игорь Корчагин, ситуация в 2024 г. существенно ухудшилась: "По данным Kaspersky Digital Footprint Intelligence, только в I квартале 2024 г. более 19 млн паролей российских пользователей обнаружены в базах данных, опубликованных в даркнете и на других специализированных площадках. Это в шесть раз больше, чем за аналогичный период 2023 г. По данным исследования сервиса DLBI, за I квартал 2024 г. в открытый доступ утекли 121 млн телефонных номеров и 38 млн e-mail-адресов - в сумме это впятеро больше, чем за аналогичный период 2023 г.".

Как сообщила пресс-служба Роскомнадзора, за первое полугодие 2024 года в ведомств поступило 47 уведомлений об утечках персональных данных.