Хакеры могли взломать ретейлеров из-за нежелания обновлять ПО для устранения багов
Данные клиентов торговых сетей «Ашан», «Твой дом» и Gloria Jeans могли утечь в сеть из-за уязвимости CMS «1C-Битрикс», выяснил «Коммерсантъ». Эксперты по кибербезопасности отмечают, что обновления для защиты разработчик выпустил еще год назад, но далеко не все клиенты его установили
Исследователи сервиса разведки утечек данных и мониторинга даркнета DLBI обнаружили в сети базы данных трех торговых сетей. Это данные ретейлеров «Ашан» и Gloria Jeans (текстовые файлы с 7,8 млн и 3 млн строк соответственно) и «Твоего дома» (дамп таблицы пользователей на 713 000 строк из системы управления сайтами «1C-Битрикс»), пишет «Коммерсантъ» со ссылкой на DLBI.
В выложенных базах клиентов «Ашана» и Gloria Jeans приводятся имя и фамилия, номер телефона, адрес электронной почты и адреса доставки и самовывоза товаров. В базе ретейлера «Твой дом» представлен почти тот же набор данных, но без фактических адресов пользователей. В DLBI полагают, что данные опубликовал тот же хакер, что в марте выложил данные пользователей сервисов «Сбера» («СберСпасибо», «СберПраво»).
Основатель DLBI Ашот Оганесян рассказал, что опубликованные данные открыты для публичного доступа в принадлежащем взломщику Telegram-канале. Это свидетельствует об их бесполезности для самого хакера, добавил собеседник. Пока известно о девяти пострадавших от утечек в сеть компаниях, но хакер пообещал опубликовать базы данных 12 крупных компаний.
В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс», как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или к нему самому. Гипермаркет «Твой дом» (товары для ремонта и декора, входит в Crocus Group) есть в числе компаний, создавших корпоративный сайт на платформе, следует из данных сайта «1С-Битрикс».
В случае с «Ашаном» исследователи не стали утверждать, что «1С-Битрикс» стала точкой входа — она выложена в другом формате. На сайте разработчика указано, что его услугами пользовался благотворительный проект ретейлера «Поколение АШАН». Всего у «1С-Битрикс» более 180 000 веб-проектов. В компании-разработчике и Crocus Group не ответили газете. Служба безопасности «Ашана» подтвердила утечку и сообщила, что проводит внутреннее расследование с целью «установления вектора атаки и источника».
Взлом произошел в мае, предположил руководитель отдела исследования киберугроз экспертного центра Positive Technologies Денис Кувшинов. Он отметил, что компании «взломали в одно и то же время и по одному сценарию». 26 мая по всей России сайты, работающие на устаревшей версии CMS «1C-Битрикс», содержащей уязвимости, подверглись массированной атаке, напомнил Кувшинов. В результате нее было выведено из строя несколько тысяч ресурсов, констатировал он.
Гендиректор Cyberok Сергей Гордейчик подчеркнул, что в большинстве обсуждаемых взломов используются уязвимости CMS, обновления для которых существуют с марта 2022 года. Он считает, что «не стоит винить во всем вендора» — более чем за год владельцы информационных ресурсов на основе «1С-Битрикс» не установили обновления, продемонстрировав низкий уровень кибербезопасности.
В начале мая за утечку персональных данных мировой судья оштрафовал подведомственный Роскомнадзору Главный радиочастотный центр на 30 000 рублей. В 2022 году в России утекло более 667 млн записей с персональными данными, что в 4,5 раза больше населения страны: статистика за год выросла в 2,7 раза, сообщала группа компаний InfoWatch. По закону операторы, допустившие утечку данных, обязаны в течение 24 часов самостоятельно сообщить об инциденте в Роскомнадзор, а в течение 72 часов — предоставить результаты внутреннего расследования с указанием причины утечки и ответственных лиц.