Нас правда взломали? Разбираемся в реальных и фейковых сливах

Один случай оказался масштабной атакой с участием подрядчика, другой — примером того, как даже фейковые сообщения о «взломе» способны подорвать репутацию сервиса. Мы собрали ключевые факты и задали экспертам вопросы о реальных рисках, механизмах атак и способах защиты.

Цепочка поставок как слабое звено Discord

3 октября Discord сообщил о взломе, в результате которого утекли данные пользователей сервиса. Группировка Scattered Lapsus$ Hunters (SLH) позднее опубликовала новые подробности, утверждая, что именно они стоят за атакой. В подтверждение хакеры показали скриншот с доступом к панели администратора платформы.

По их словам, злоумышленники получили 1,6 ТБ данных, в том числе конфиденциальную информацию 5,5 млн пользователей и более 2 млн фотографий документов, удостоверяющих личность. Однако представители Discord заявили, что пострадало около 70 тыс. аккаунтов.

Позже Discord сообщил, что инцидент произошел через систему поддержки Zendesk, используемую подрядчиком 5CA, аутсорсинговой компанией по сервисному обслуживанию. Компания отвергла обвинения, заявив, что ее системы не были скомпрометированы и не обрабатывали документы, удостоверяющие личность пользователей.

По заявлению хакеров, Discord отказался платить выкуп за сохранение конфиденциальности украденных данных. Пока расследование причин инцидента все еще продолжается, мы задали Анатолию Песковскому, руководителю направления анализа защищенности IZ:SOC, несколько вопросов.

Насколько реалистичны заявления хакеров о получении доступа к административной панели Discord?

Подобные заявления всегда требуют проверки. Скриншоты, которые публикуют хакеры, часто выглядят убедительно, но это не всегда прямое доказательство компрометации основной инфраструктуры. В данном случае, наиболее вероятный сценарий - не взлом самой панели управления Discord, а компрометация одного из подрядчиков или учетной записи сотрудника, обладающего расширенными правами доступа. Это довольно частая ситуация, когда злоумышленники атакуют не «фронтальную» часть компании, а более слабое звено цепочки — партнеров, аутсорсеров, интеграторов.

Если бы речь шла о полном взломе административной панели Discord, последствия были бы масштабнее, например, мы бы увидели сбои в работе сервисов, изменение контента, массовую утечку пользователей или закрытие доступа. Пока признаков этого нет.

Какие уязвимости чаще всего становятся причиной подобных инцидентов при работе с внешними сервисами?

Классика - фишинг и кража учетных данных сотрудников подрядчиков. Очень часто именно подрядчик имеет доступ к чувствительной инфраструктуре основного сервиса, но при этом уровень его внутренней безопасности несопоставим.

Кроме того, часто встречаются ошибки конфигурации облачных хранилищ, чрезмерные права пользователей и устаревшее ПО без обновлений безопасности. Еще один типичный фактор — отсутствие сегментации: если подрядчик скомпрометирован, злоумышленник может перемещаться по внутренним сетям и добираться до связанных систем.

Отдельно стоит отметить человеческий фактор, от слабых паролей до халатности при использовании корпоративных VPN и личных устройств. Современные атаки редко зависят от одной уязвимости, обычно это цепочка небольших ошибок, которые в сумме дают серьезный эффект.

Какие реальные риски несут пользователи, чьи документы и данные могли утечь?

Основные риски — это компрометация личности, мошенничество и целевой фишинг.

Фотографии документов могут быть использованы для открытия банковских счетов, регистрации SIM-карт, оформления кредитов или аренды оборудования на чужое имя. Email-адреса, пароли и логины позволяют злоумышленникам атаковать другие сервисы, особенно если человек использует одни и те же данные для разных учетных записей.

Дополнительный риск — персонализированные фишинговые атаки. Когда злоумышленник знает имя, должность, компанию, контакты и даже контекст общения, он может создать очень убедительное письмо, сообщение или звонок. Такого рода атаки (так называемый spear phishing) сегодня — одна из самых опасных форм социальной инженерии.

Насколько часто компании действительно выплачивают выкуп хакерам, и как это влияет на безопасность в целом?

Случаи выплаты выкупа происходят, особенно среди малого и среднего бизнеса, где простой системы стоит дороже, чем запрошенная сумма. Однако крупные компании, как правило, избегают таких шагов: во-первых, нет никаких гарантий, что данные будут возвращены, а во-вторых, сам факт оплаты стимулирует преступников к новым атакам.

В последние годы компании чаще идут по пути системного восстановления из резервных копий, с привлечением специалистов по реагированию.

Тем не менее, тренд остается тревожным: по данным мировых аналитических агентств, до 40% компаний хотя бы раз сталкивались с требованием выкупа, и около 20% из них действительно платили. Это создает парадокс — чем чаще платят, тем больше атак становится экономически выгодным сценарием.

Почему атаки на подрядчиков и цепочки поставок становятся все популярнее у киберпреступников?

Так называемые атаки на supply chain — одна из главных тенденций последних трех лет. Причина проста: подрядчики часто обладают техническим доступом и доверительными каналами связи с заказчиками, но при этом их защита менее зрелая. В результате злоумышленнику достаточно взломать одного поставщика, чтобы получить доступ сразу к нескольким крупным компаниям.

Кроме того, из-за сложности ИТ-ландшафтов и микросервисных архитектур, границы инфраструктур компаний становятся всё более размытыми. Найти «слабое звено» становится проще, а обнаружить атаку — сложнее. Инциденты вроде SolarWinds показали, что компрометация одного поставщика может иметь глобальные последствия.

Какие меры сейчас считаются наиболее эффективными для защиты от подобных атак?

Самое важное — это комплексность.

Необходимо обеспечивать контроль не только за своими системами, но и за подрядчиками. Эффективными мерами остаются многофакторная аутентификация, ограничение прав доступа по принципу минимальных привилегий, регулярный аудит поставщиков, обновление ПО и сегментация сетей.

Отдельное внимание стоит уделять обучению персонала: регулярные фишинг-тренинги и моделирование атак помогают выработать «иммунитет» к социальной инженерии.

Кроме того, необходимо развивать систему мониторинга и реагирования (SOC), которая позволяет вовремя фиксировать подозрительные активности, особенно при взаимодействии с внешними подрядчиками.

В современных условиях важно не только предотвращать атаки, но и иметь готовый план действий, когда они происходят — это ключ к снижению ущерба.

MAX и «утечка», которой не было

19 октября в интернете начала распространяться информация о продаже предполагаемой базы данных пользователей мессенджера Max. Хакер заявил, что владеет свыше 46,2 миллионов записей, включая имена, телефоны и идентификаторы профилей, а также данные о якобы интеграции с порталом «Госуслуги».

Однако пресс-служба Max и Минцифры опровергли эти сведения. Ведомство проверило предоставленные образцы и установило, что ни один из ID «Госуслуг» не соответствует реальным пользователям. В ведомстве подчеркнули, что публикации о взломе сфабрикованы.

Для чего хакерам заявлять о фейковых взломах мессенджера? Действительно ли конфиденциальные данные пользователей в безопасности? Эти и другие вопросы мы задали Сергею Сидорину, руководителю третьей линии аналитиков IZ:SOC.

Насколько фейковые вбросы могут навредить репутации компании, даже если данные не были скомпрометированы?

Даже без реальной утечки фейковые вбросы могут серьезно подорвать доверие пользователей и партнеров. Вирусное распространение слухов способно вызвать панику, негативные публикации в СМИ и так далее. Это приводит к репутационным потерям, снижению активности пользователей и финансовым последствиям.

Для чего хакеры создают фейковые новости о взломах, если у них нет реального доступа к данным?

Основные цели таких действий — манипуляция общественным мнением, попытка заработать на продаже «поддельных» баз данных, проверка реакции компании и пользователей, а также подготовка почвы для последующих атак социальной инженерии. Иногда фейковая утечка используется, чтобы привлечь внимание к конкретным уязвимостям или просто для повышения собственной репутации в хакерских кругах.

Какие риски для пользователей создают именно фейковые утечки, даже без реального взлома?

Даже если данные поддельные, пользователи могут стать жертвами фишинга, когда якобы слитой информацией человека могут шантажировать. Кроме того, публикация персональных данных (даже фейковых) может вызывать тревогу, снижать доверие к сервису.

Могут ли фейковые вбросы стать частью подготовительной стадии реальных атак на компанию?

Да. Фейковая утечка может использоваться для тестирования реакции компании, выявления слабых мест в коммуникации и PR, а также для сбора информации о том, какие сотрудники реагируют на подобные новости. Это позволяет злоумышленникам планировать целевые атаки, в том числе фишинговые кампании, социальную инженерию или даже проникновение в корпоративные системы.

Какие признаки позволяют компаниям и экспертам сразу заподозрить, что утечка фейковая?

Признаки могут включать наличие только небольшого «сэмпла» данных вместо полной базы, использование устаревшего или неиспользуемого программного обеспечения в описании утечки, несоответствие ID, имен или других ключевых данных реальной информации, анонимность источника и отсутствие проверки через официальные каналы, а также наличие явных ошибок, логических несоответствий или несоответствие формата данных стандартам компании.