К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Хакеры могли взломать ретейлеров из-за нежелания обновлять ПО для устранения багов


Данные клиентов торговых сетей «Ашан», «Твой дом» и Gloria Jeans могли утечь в сеть из-за уязвимости CMS «1C-Битрикс», выяснил «Коммерсантъ». Эксперты по кибербезопасности отмечают, что обновления для защиты разработчик выпустил еще год назад, но далеко не все клиенты его установили

Исследователи  сервиса разведки утечек данных и мониторинга даркнета DLBI обнаружили в сети базы данных трех торговых сетей. Это данные ретейлеров «Ашан» и Gloria Jeans (текстовые файлы с 7,8 млн и 3 млн строк соответственно) и «Твоего дома» (дамп таблицы пользователей на 713 000 строк из системы управления сайтами «1C-Битрикс»), пишет «Коммерсантъ» со ссылкой на  DLBI. 

В выложенных базах клиентов «Ашана» и Gloria Jeans приводятся имя и фамилия, номер телефона, адрес электронной почты и адреса доставки и самовывоза товаров. В базе ретейлера «Твой дом» представлен почти тот же набор данных, но без фактических адресов пользователей. В DLBI полагают, что данные опубликовал тот же хакер, что в марте выложил данные пользователей сервисов «Сбера» («СберСпасибо», «СберПраво»).

Основатель DLBI Ашот Оганесян рассказал, что опубликованные данные открыты для публичного доступа в принадлежащем взломщику Telegram-канале. Это свидетельствует об их бесполезности для самого хакера, добавил собеседник. Пока известно о девяти пострадавших от утечек в сеть компаниях, но хакер пообещал опубликовать базы данных 12 крупных компаний.

 

В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс», как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или к нему самому. Гипермаркет «Твой дом» (товары для ремонта и декора, входит в Crocus Group) есть в числе компаний, создавших корпоративный сайт на платформе, следует из данных сайта «1С-Битрикс». 

В случае с «Ашаном» исследователи не стали утверждать, что «1С-Битрикс» стала точкой входа — она выложена в другом формате. На сайте разработчика указано, что его услугами пользовался благотворительный проект ретейлера «Поколение АШАН». Всего у «1С-Битрикс» более 180 000 веб-проектов. В компании-разработчике и Crocus Group не ответили газете. Служба безопасности «Ашана» подтвердила утечку и сообщила, что проводит внутреннее расследование с целью «установления вектора атаки и источника». 

 

Взлом произошел в мае, предположил руководитель отдела исследования киберугроз экспертного центра Positive Technologies Денис Кувшинов. Он отметил, что компании «взломали в одно и то же время и по одному сценарию». 26 мая по всей России сайты, работающие на устаревшей версии CMS «1C-Битрикс», содержащей уязвимости, подверглись массированной атаке, напомнил Кувшинов. В результате нее было выведено из строя несколько тысяч ресурсов, констатировал он. 

Гендиректор Cyberok Сергей Гордейчик подчеркнул, что в большинстве обсуждаемых взломов используются уязвимости CMS, обновления для которых существуют с марта 2022 года.  Он считает, что «не стоит винить во всем вендора» — более чем за год владельцы информационных ресурсов на основе «1С-Битрикс» не установили обновления, продемонстрировав низкий уровень кибербезопасности.

В начале мая за утечку персональных данных мировой судья оштрафовал подведомственный Роскомнадзору Главный радиочастотный центр на 30 000 рублей. В 2022 году в России  утекло более 667 млн записей с персональными данными, что в 4,5 раза больше населения страны: статистика за год выросла в 2,7 раза, сообщала группа компаний InfoWatch. По закону операторы, допустившие утечку данных, обязаны в течение 24 часов самостоятельно сообщить об инциденте в Роскомнадзор, а в течение 72 часов — предоставить результаты внутреннего расследования с указанием причины утечки и ответственных лиц.

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+