Компрометация учетных данных стала главным вектором атак на поставщиков вузов
Новость15/07/2026
Эксперты компании «Информзащита» выявили тенденцию роста числа атак на крупных поставщиков вузов, в которых первоначальный доступ получают через скомпрометированные учетные данные.
К 2026 году инциденты были зафиксированы у 28 из 100 наиболее распространенных поставщиков образовательных организаций, причем наблюдение охватывает период с начала 2024 года. Среди трех основных установленных векторов похищенные или скомпрометированные учетные данные фигурировали в девяти случаях, эксплуатация уязвимостей – в пяти, социальная инженерия – также в пяти. В пересчете на эти три категории на учетные данные приходится 47,4% инцидентов, а на два других вектора – по 26,3%. Использование чужой учетной записи встречалось на 80% чаще, чем эксплуатация уязвимости или успешная атака методами социальной инженерии.
Риск повышается, когда поставщик получает привилегированный или интеграционный доступ к инфраструктуре университета. Подрядчики обслуживают системы дистанционного обучения, платформы совместной работы, кадровые сервисы, финансовые приложения, средства аналитики, облачную инфраструктуру и решения информационной безопасности. Для интеграции создаются административные аккаунты, сервисные учетные записи, API-ключи, OAuth-разрешения и доверительные связи между доменами. Часть этих механизмов сохраняется годами, поскольку отключение доступа может нарушить учебный процесс или работу административных подразделений. В результате злоумышленнику достаточно получить одну действующую пару логин-пароль, токен сессии или ключ интеграции, чтобы действовать в легитимном контексте и не привлекать внимания защитных средств на первых этапах атаки.
Отдельную роль играют инфостилеры, которые могут собирать пароли, cookies, данные автозаполнения, токены мессенджеров, VPN-конфигурации и сведения о корпоративных сервисах с рабочих и личных устройств сотрудников подрядчика. Признаки недавнего заражения инфостилерами обнаружены у 11,1% поставщиков. Наличие многофакторной аутентификации при этом не всегда останавливает развитие атаки. Похищенный токен активной сессии в некоторых системах может сохранить доступ без новой проверки MFA до своего истечения или отзыва. Поэтому защита должна включать контроль срока жизни и повторного использования токенов, условный доступ и выявление аномального поведения после входа. Дополнительный риск создают плохо сопровождаемые публичные ресурсы. У 13,3% поставщиков выявлены сайты на небезопасных версиях WordPress, у 5,9% – предпосылки для захвата поддоменов, у 4,2% – IP-адреса, которые связывались с размещением предполагаемых фишинговых страниц. Каждый такой сигнал по отдельности не подтверждает взлом, но их сочетание показывает, насколько быстро состояние ранее проверенного подрядчика может измениться.
Эксперты «Информзащиты» рекомендуют начинать защиту с полной инвентаризации всех учетных записей, сервисных аккаунтов, API-ключей и доверительных интеграций, предоставленных поставщикам. Доступ подрядчика должен выдаваться на ограниченный срок, соответствовать конкретной задаче и автоматически отзываться после завершения работ. Для административных операций целесообразно использовать системы управления привилегированным доступом (PAM), выдачу привилегий только на время выполнения задачи и изолированные точки подключения. События из систем идентификации, облачных платформ, VPN, почты и доступных заказчику административных панелей должны поступать в единый контур мониторинга. В договорах с подрядчиками необходимо устанавливать сроки уведомления о компрометации учетных данных, порядок предоставления материалов расследования и процедуру экстренного отзыва доступа. Такой подход может сократить время обнаружения компрометации и ограничить возможность использовать одного поставщика как точку входа в несколько организаций.
Эксперты компании «Информзащита» выявили тенденцию роста числа атак на крупных поставщиков вузов, в которых первоначальный доступ получают через скомпрометированные учетные данные.
бизнес от киберугроз
Мы изучим заявку и свяжемся с вами