Чтобы плавно войти в рабочий ритм, традиционно публикую список новостей, которые произошли за новогодние праздники и которые зацепили мое внимание. Да, это субъективный список и туда, возможно, попало далеко не все, что могло бы. Итак, первыми мне запомнились три взлома российских компаний — «Спортмастера», регистратора reg.ru и Минстроя России. В первом случае проукраинские хакеры получили доступ к базе клиентов «Спортмастера», который 1-го января уже успел подтвердить факт утечки.
Интересно, а в РКН было кому 1-го января принимать уведомление об утечке ПДн, как того требует законодательство? Или достаточно просто отправить уведомление и все?
В утечку, опубликованную двумя траншами (на 1,6 и 99,9 миллионов записей), попали такие персональные данные как ФИО, e-mail, телефон, адрес, пол и дата рождения. Сама база старая, так как большинство записей датируется 2010-2013-м годами. За свежую ее выдавали, засунув одну запись от ноября 2022 года.
Спустя сутки другая группировка заявила о взломе российского регистратора Reg.ru.
Если у вас есть Интернет-ресурсы, зарегистрированные в reg.ru, то стоит поменять пароли доступа к ним, а также в личному кабинету в reg.ru, а также подключить (если еще этого не сделали) двухфакторную аутентификацию для доступа в личный кабинет.
Та же группировка, в тот же день, анонсировала взлом сайта Минстроя. Причем, по их словам, это уже второй взлом министерства. Первый, произошедший за счет уязвимости в CMS Bitrix, был в июне 2022 года. Второй, судя по всему, произошел тогда же (последние записи датируются апрелем 2022-го года). Интересно другое — хакеры уверяют, что в прошлый раз им заплатили за неопубликование данных из взломанного личного кабинета и это, конечно, самое интересное (если правда).
По какой статье бюджета госорган проводил оплату, часть которой, как заверяют хакеры, пошла в фонд Вооруженных сил Украины?
Алиса Найт запускает новый ТВ-канал Knight TV+ по кибер-тематике — кино, сериалы, трансляции конференций, документальные фильмы, новости, онлайн-обучение. Запускается на Apple TV, Roku, Amazon и Android в начале 2023-го года.
Алиса является автором книги «Hacking Connected Cars», продюссером ряда документальных фильмов про хакеров. Также была арестована в 17 лет за взломы государственных ресурсов, после чего работала на американскую разведку в качестве специалиста по ИБ.
В России была уже идея создать аналогичный круглосуточный канал, но не взлетело. А тут вполне может получиться. Я даже заплачу за подписку на него, преследуя две цели — и пополнять свой багаж знаний, и прокачивать английский язык.
Группировка LockBit принесла извинения канадской детской больнице в Торонто, которая была атакована одним из привлеченных наймитов LockBit, который тем самым нарушил этические нормы хакеров. Больнице был предложен бесплатный расшифровщик зашифрованных файлов. Правда, сделано это было достаточно поздно. Об инциденте больница объявила еще 19-го декабря, а 29-го врачи заявили о восстановлении основных критических систем. Почему хакеры выжидали 3 недели, не совсем понятно. Возможно, просто были не в курсе. Но сама новость примечательна тем, что у хакеров есть свой этический кодекс и они готовы ему следовать, исключая из своих рядов тех, кто его нарушает.
Известного в соцсетях «енота из Херсона» зачислили курсантом специализированного факультета информационной безопасности мелитопольского государственного университета им. А.Макаренко! И это не новогодняя шутка. У нас что, совсем с кадрами в ИБ так плохо?.. Интересно, как он первую сессию будет сдавать и будут ли освещать его отчисление из ВУЗа за неуспеваемость? Но в этой новости интересно другое. Я, конечно, уже давно потерялся в кодах специальностей, регулярно вводимых и изменяемых Минобром в области ИБ, но мне казалось, что 10.04.01 — это магистратура по ИБ. То есть енот уже должен был иметь одно высшее образование (бакалавриат), чтобы поступить в магистратуру. И какое же это образование?
Кстати, самого енота сперли из украинского зоопарка, после чего он стал популярным мемом, а затем и символом нашего времени.
ИБ-общественность была взбудоражена новостью о том, что китайцы смогли взломать алгоритм RSA с помощью квантового компьютера. Однако позже выяснилось, что не все так критично, как предполагалось вначале, и вообще все не совсем так. Неплохо и не длинно об этом написано у Брюса Шнайера, который резюмируют по поводу данной новости — «не надо паниковать«.
Еще новогодние новости одной строкой:
- Qualcomm объявила об обнаружении ряда критических уязвимостей в своих чипах, которые затронут большое число продуктов, построенных на их базе. Это и автомобили, а также ноутбуки и другие устройства на базе ARM (например, Lenovo ThinkPad X13s, Microsoft Surface, продукты Samsung и др.).
- 10 января Microsoft завершает поддержку Windows 8.1, прекращая выпускать для нее обновления и устранение уязвимостей.
- Популярный фреймворк для работы с машинным обучением PyTorch был скомпрометирован в интервале с 25 по 30 декабря и за счет атаки на цепочку поставок (опять вредоносные взаимозависимости) подгружал вредоносную библиотеку torchtriton.
- Купленная в прошлом году Mandiant опубликовала очередное расследование о группировке Turla, которую связывают с российскими спецслужбами. По мнению Mandiant хакеры Turla стоят за многими кибератаками на Украину.
- Российская хакерская группировка Cold River (слышали о такой?) из Сыктывкара атаковала как минимум три исследовательских атомных лаборатории в США.
Ну и напоследок снова про утечки персональных данных. Помните заявления Минцифры о том, что они ратуют за то, чтобы операторы ПДн, допустившие утечку ПДн, компенсировали пострадавшим их потери? Так вот в декабре американское бюро кредитных история Equifax, которое пострадало в 2017-м году от утечки ПДн 147 миллионов своих клиентов, в том числе и из России, стало выплачивать компенсации. По результатам разборок с регулятором Equifax предложил несколько схем:
- бесплатный кредитный мониторинг
- разовая выплата 125 долларов США
- компенсация за время и деньги, связанные с утечкой (не более 20 тысяч долларов).
Но было сразу понятно, что эта схема нерабочая. Выделенный на компенсации фонд в 425 миллионов долларов не смог бы физически выполнить все обещания Equifax в адрес 147 миллионов жертв. Если разделить одно число на другое, то мы получим около 3 долларов компенсации за утечку ФИО, даты рождения, номера соцстраха, номеров кредитных карт и т.п. Вот и Кевин Митник на днях поделился в своем Твиттере фотографией чека с суммой компенсации в 5 долларов 21 цент. Так что у нас история будет схожей, как мне кажется, если не хуже (суммы будут не в долларах, а рублях).
Кстати, о Twitter. 4-го января база данных 209 миллионов пользователей этой соцсети попала в свободный доступ. И на этой новости я закончу обзор того, чем нас порадовала отрасль ИБ за первые 9 дней января, когда все (ну или почти все) россияне отдыхали от трудов праведных.
Еще раз всех с прошедшим Новым Годом и Рождеством! Безопасности вам и всех благ!
Вы насчет енота поосторожней. Его все-таки не «сперли из…», а вывезли