Обзор инцидентов безопасности за период с 11 по 17 марта 2019 года
Коротко о главных событиях минувшей недели.
Прошедшая неделя ознаменовалась сразу несколькими сообщениями об утечках данных. В частности, некорректно сконфигурированные учетные записи в облачном сервисе Box.com стали причиной утечки конфиденциальных данных и деловой документации десятков крупных компаний, в том числе Amadeus, Apple, Herbalife, Schneider Electric, телеканала Discovery и даже самой Box. Проблема состояла в том, что владельцы учетных записей Box Enterprise не выставили в настройках обмена ссылками на файлы/папки параметр «People in your company», в результате все новые ссылки, которые по идее должны быть скрытыми, оказались в публичном доступе. В открытом доступе в Сети была обнаружена незащищенная база данных Elasticsearch с профилями порядка 33 млн соискателей работы, проживающих в Китае. БД размером 57 ГБ включала имена пользователей, сведения о половой принадлежности, семейном положении и возрасте, домашние адреса, города проживания, телефонные номера, а также данные об образовании, предыдущих местах работы и зарплате. Владельца базы данных установить не удалось.
В открытом доступе также оказались базы данных крупного интернет-магазина Gearbest, специализирующегося на продаже электроники, бытовой техники, товаров для дома и прочей продукции. БД включали 1,5 млн записей с конфиденциальными данными клиентов ресурса, в том числе имена покупателей, их электронные и почтовые адреса, номера телефонов, сведения о приобретенных товарах, платежные данные, IP-адреса, паспортные данные и пароли. Кто угодно мог авторизоваться в БД и получить возможность вносить изменения в персональную информацию и даже сменить пароль.
Неизвестные с компрометировали правительственный сайт Пакистана и заразили его кейлоггером и JavaScript-фреймворком Scanbox для сбора данных пользователей, проверяющих статус своего заявления на получение пакистанского гражданства. Администрация ресурса не отреагировала на сообщение исследователей о заражении, в настоящее время сайт продолжается оставаться скомпрометированным.
Китайская киберпреступная группировка Winnti Group взломала одну игровую платформу и сети двух азиатских производителей компьютерных игр и внедрила в их продукцию бэкдор. Первые два продукта – это игра Infestation от тайваньского разработчика Electronics Extreme и игровая платформа Garena. Название третьей игры неизвестно. Winnti Group внедрила вредоносный код в главный исполняемый файл продуктов. Вредонос запускается для выполнения в памяти ПК и в процессе выполнения защищен шифрованием. Сама игра/игровая платформа при этом работает как ни в чем не бывало. То есть, злоумышленники модифицировали не исходный код продукта, а только конфигурацию сборки.
Государственные ведомства в Китае подверглись атакам с использованием вымогательского ПО GandCrab. Программа-вымогатель распространялась по электронной почте. Атаки начались 11 марта нынешнего года. В настоящее время неизвестно, кто является организатором атак, но, судя по некоторым признаками, кампания может быть делом рук киберпреступников из КНДР.
Специалисты обнаружили вредоносную операцию, целью которой являлось заражение PoS-терминалов заведений гостинично-ресторанного бизнеса и сферы развлечений вредоносным ПО DMSniff, предназначенным для кражи данных кредитных карт посетителей. Количество и названия пострадавших предприятий не раскрываются. Вредоносная кампания все еще активна.
На минувшей неделе стало известно о двух вредоносных кампаниях, направленных на владельцев мобильных устройств на базе Android. В рамках первой, получившей название Simbad, злоумышленники инфицировали устройства одноименным вредоносом, предназначенным для показа рекламы. Во втором случае преступники собирали контактные данные с устройств без ведома владельцев, используя для этой цели вредоносные приложения, общее число загрузок которых превысило 111 млн.