Усі ми чули поради про те, що необхідно змінювати паролі до своїх акаунтів хоча б раз на рік і в жодному разі не використовувати однаковий пароль до різних акаунтів. Та чи дослухаємося ми до неї? Журнал Wired дослідив кейс компанії Snowflake, яка, найімовірніше, постраждала через українця в підрядній фірмі, чий акаунт зламали, бо він дуже давно не змінював пароль. Forbes переказує головне з матеріалу
⚡️Даруємо 40% знижки на річну підписку на сайт Forbes. Ціна зі знижкою — 1079 грн/рік. Діє з промокодом JUNE до 30.06 Оформлюйте зараз за цим посиланням
На початку червня стало відомо про ймовірно найбільше викрадення даних на сьогодні. Хакерська група ShinyHunters отримала доступ до даних 560 млн користувачів різних компаній, які зберігали цю інформацію у хмарній компанії Snowflake. Хакер цієї групи розповів Wired, що їм це вдалося завдяки зламу акаунта співробітника підрядної фірми, що обслуговувала Snowflake.
Розбираємо цей кейс, щоб не потрапити на гачок хакерів.
Чим займається Snowflake?
Snowflake – це фірма, що спеціалізується на зберіганні й аналізі даних, а також надає інструменти компаніям для отримання корисної інформації та інсайтів з даних користувачів.
Жертви ShinyHunters
Потенційними жертвами можуть бути близько 165 клієнтських акаунтів Snowflake, але не всі назви компаній-клієнтів відомі загалу.
Точно постраждав банк Santander, який визнав, що його дані було викрадено, але не сказав, у який спосіб. Wired самостійно виявив, що було зламано акаунт фінустанови у Snowflake. Завдяки цьому зловмисники отримали дані про 30 млн клієнтів банку, зокрема 6 млн банківських рахунків і 28 млн номерів кредиток, та інформацію про співробітників Santander.
Також про втрату конфіденційності повідомила Ticketmaster, американська компанія з продажу квитків на розважальні заходи, що працює у різних країнах.
Lending Tree і Advance Auto Parts повідомили, що теж можуть виявитися жертвами цього зламу.
Хто така EPAM Systems?
EPAM Systems – публічна компанія розробки ПЗ і цифрових послуг,, заснована білорусом Аркадієм Добкіним. Поточний виторг фірми, яка з’явилася в 1993-му в США, становить близько $4,8 млрд. Загалом на EPAM працює 55 000 людей в Україні і Білорусі, а операції в Росії, за словами компанії, вона закрила після повномасштабного вторгнення РФ в Україну.
Клієнти в EPAM є в усьому світі, хоча 60% виторгу приходить із Північної Америки. Серед послуг компанії – допомога клієнтам використовувати й управляти їхніми акаунтами Snowflake для зберігання й аналізу даних. EPAM стверджує, що 300 її співробітників мають досвід користування інструментами і послугами Snowflake.
Клієнти EPAM працюють у низці критично важливих сфер, таких як фінансові послуги, охорона здоровʼя, телемережі, фармацевтика, високі технології. Серед найвідоміших компаній, які користуються послугами EPAM, можна назвати Microsoft, Google, Adobe і Amazon Web Services. Wired невідомо, чи у якоїсь із цих компаній є акаунт у Snowflake, до якого мали доступ працівники EPAM.
Як вдалося вкрасти дані?
Хакер із групи ShinyHunters, який сам звʼязався із Wired, розповів, що їм вдалося виконати злам деяких акаунтів Snowflake за допомогою інформації, яку вони знайшли на компʼютері співробітника EPAM в Україні. Частину логінів і паролів, за словами хакера, вони знайшли записаними плейнтекстом у цього співробітника, а решту знайшли в мережі.
Хакери перекопали стос раніше вкрадених облікових даних, які було «здобуто» у попередніх зламах за допомогою шкідливої програми під назвою інфостілер (infostealer). Саме в тих старих стосах вони знайшли додаткові логіни і паролі до акаунтів Snowflake – цікаво, що деякі з них вкрали з компʼютера того самого працівника EPAM.
Wired вдалося знайти такий онлайн-схрон зі старими вкраденими даними, в якому були і дані працівника EPAM в Україні. Серед них була історія його браузера, яка показує його повне імʼя, внутрішній EPAM URL, за яким можна перейти на акаунт Ticketmaster у Snowflake, а також плейнтекст логіна і пароля до цього акаунта.
Облікові дані, викрадені за допомогою інфостілерів, часто викладають в мережу або продають на хакерських форумах. Якщо жертви не змінюють ці дані після зламу або просто не знають про цей злам, то це золота жила для зловмисників. Особливо якщо людина використовує однакові логіни і паролі для кількох акаунтів.
Хакери цього кейсу кажуть, що деякі облікові дані, які вони використали для отримання доступу до акаунтів Snowflake, інфостілер викрав ще у 2020-му.
Цілком можливо, що хакери ShinyHunters самі не зламували працівника EPAM, а просто купили чи взяли дані, які раніше вкрали інфостілери. Reddington, перемовник жертв ShinyHunters із групою про викуп, розповів, що знайшов у мережі дані, які девʼять різних інфостілерів використали для отримання даних з компʼютерів працівників EPAM.
Це викликає занепокоєння щодо безпеки даних клієнтів EPAM, але компанія через речницю заявила, що не вірить у свою причетність до зламу Snowflake, а заяви хакерів назвала дезінформацією.
Як не стати жертвою хакерів: уроки Snowflake
Безпекова компанія Mandiant, що належить Google, серед інших взялася розслідувати справу Snowflake. Із опублікованих нею підсумків робимо такі висновки.
Кібербезпека вашого підрядника – це ваша безпека
Mandiant виявила, що деякі проникнення у систему Snowflake відбулися за допомогою облікових даних кількох сторонніх підрядників – яких саме, не зазначено.
Тому дуже важливо перевірити, чи піклуються ваші сторонні партнери про свою кібербезпеку, адже, як бачимо, від цього залежить базпека і ваших даних.
Знання – це сила
Mandiant виявила, що близько 80% жертв зламу Snowflake було скомпроментовано завдяки обліковим даним, які були раніше викрадені за допомогою інфостілерів і викладені у мережу.
Якби EPAM знала, що дані її співробітників уже є у відкритому доступі для зловмисників, то вона точно вжила б заходів для усунення цієї загрози конфіденційності. Якщо у вас, як і у Wired, є можливість перевірити даркнет на наявність облікових даних вашої компанії і ваших співробітників, зробіть це.
Особисті компʼютери – це потенційне зло
Працівники підрядників, яких клієнти використовують для допомоги зі Snowflake, часто працюють на особистих компʼютерах або тих, що не перебувають під моніторингом компанії-роботодавця, зазначає Mandiant. Саме такі девайси мають високий ризик потрапити під приціл інфостілерів, а якщо це відбудеться, то під загрозою опиняються всі організації, на чиї акаунти заходили з хакнутого девайса.
Коли обираєте підрядника, поцікавтеся, чи часто його співробітники працюють із особистих, а не корпоративних девайсів. Встановлення чітких вимог до кібербезпеки тих, кому ви довіряєте свої дані, може захистити вас від необхідності платити викуп хакерам.
Не лінуйтеся змінювати паролі
Mandiant виявила, що сотні облікових даних клієнтів Snowflake викрадали за допомогою інфостілерів ще з 2020-го, а частину з них використали для цієї атаки проти хмарної компанії.
Тобто виявляється, що логіни і паролі деяких клієнтів Snowflake не змінювали близько чотирьох років. Не повторюйте цю помилку і знайдіть час на те, щоб нагадати собі і своїм співробітникам про важливість регулярної зміни паролів.
Багатофакторна автентифікація
Хакнуті акаунти Snowflake не використовували багатофакторну автентифікацію для більш надійного захисту, а тому уможливили проникнення зловмисників, зауважує Mandiant.