Уязвимость в WorkComposer: миллионы скриншотов сотрудников утекли в сеть
Исследователи обнаружили, что скриншоты программы WorkComposer, содержащие рабочие переписки, внутренние документы, страницы входа, логины, пароли, API-ключи и другую чувствительную информацию, утекли в открытый доступ через незащищённое хранилище Amazon S3. Всего оказалось более 21 миллиона скриншотов. Александр Михайлов, руководитель центра мониторинга и реагирования компании "Газинформсервис", рассказал, как происходят подобные атаки.
WorkComposer — это сервис, который фиксирует активность, отслеживает использование приложений и делает снимки экрана каждые несколько минут. Им пользуется более чем 200 тысяч человек по всему миру. Из-за утечки риску подвергаются и корпоративные тайны компаний, и персональные данные сотрудников.
По словам эксперта компании "Газинформсервис", эта новость поднимает сразу несколько важных тем — стоит ли использовать рабочий компьютер для личных переписок, кто контролирует контролирующих, где ещё может храниться ваша информация, как не превратить защищающую систему в атакующую.
"Инструментарий защитников в руках злоумышленников может стать инструментарием нападающих. С очередным подобным случаем наш центр мониторинга и реагирования GSOC столкнулся в текущих работах по поиску следов компрометации в инфраструктуре клиента. Первое, что сделал злоумышленник, проникнув в инфраструктуру, — это скомпрометировал сервер антивирусной защиты. Как и положено, агенты антивирусной защиты были установлены на всех важных серверах и узлах сети, что давало безграничные возможности по распространению вредоносного ПО в сети из консоли сервера; там же можно было сделать все необходимые исключения, чтобы это вредоносное ПО выполнялось без ограничений. Таким образом, антивирус из средства защиты перешёл в разряд средств наступления", — отмечает Александр Михайлов.
Примечательно, что также на руку злоумышленнику может сыграть и система резервного копирования: "Сначала хакеры копируют к себе резервные копии, ведь в них обычно всё самое ценное, а затем удаляют или шифруют хранилище резервных копий вместе с остальными данными в инфраструктуре. Бывают и случаи, когда злоумышленники сидят в инфраструктуре так долго, что резервные копии машин, на которых они закрепились, могут уже не содержать в себе чистые экземпляры, и на какую точку времени не откатывайся — восстановленная машина будет содержать в себе инструменты закрепления", — рассказывает киберэксперт.
По словам Александра Михайлова, с большими возможностями средств защиты и обеспечения инфраструктуры приходит большая ответственность. Поэтому защищать и мониторить такие средства нужно со всей тщательностью. С этой задачей поможет справиться центр мониторинга и реагирования GSOC компании "Газинформсервис", который непрерывно будет выявлять и обрабатывать нетиповые события.
