В Group-IB заявили о рекордном сливе баз российских компаний. «Вот Так» объясняет, пользователям каких сервисов стоит беспокоиться

За лето 2022 года хакеры выложили в открытый доступ 140 баз данных, содержащих около 304 млн фамилий, паролей, адресов и телефонных номеров. Эксперты Group-IB назвали утечки рекордными. «Вот Так» вспоминает, какие именно сервисы были взломаны, и рассказывает, с чем могут быть связаны атаки.

900 миллионов строк

Кибератаки на российские компании участились весной 2022 года. К началу июня эксперты по кибербезопасности Group-IB заявили о публикации на хакерских форумах около сотни свежих баз данных. В файлах содержались имена клиентов, телефоны, адреса, даты рождения, а в некоторых случаях — паспортные данные и результаты медицинских анализов.

Тогда Group-IB заявляла, что в марте было 16 сливов, в апреле — 32, а в мае и начале июня — более 50. Осенью специалисты подкорректировали статистику, заявив, что всего весной хакеры опубликовали 73 базы, причем и эти показатели были рекордными. Однако осенние данные побили и их. По информации Group-IB, с июня по конец августа хакеры опубликовали 140 файлов с персональными данными миллионов россиян.

«Как и весной, “летние сливы” в основном касаются баз данных крупных российских компаний и популярных сервисов для бесплатного скачивания, чтобы не заработать, а нанести максимальный ущерб бизнесу и его клиентам», — говорится в отчете Group-IB.

Всего суммарно с начала весны по конец лета хакеры выложили в открытый доступ более 900 млн строк с персональными данными жителей РФ. Их актуальность, как правило, весна – лето 2022 года. В каждой строке содержатся сведения одного человека. Общее количество пострадавших наверняка меньше, поскольку одни и те же люди пользуются разными интернет-сервисами, а значит, будут учтены в разных базах.

Представители Group-IB отметили, что чаще всего атакам подвергались интернет-сервисы доставки (192 млн строк), онлайн-кинотеатры (43 млн строк), телеком-операторы и медицинские центры (около 30 млн строк). От хакеров пострадали также компании, связанные со строительством и транспортом, однако число записей их клиентов, попавших в открытый доступ, в отчете специалистов кибербезопасности не представлено.

Кому следует беспокоиться

Летом 2022 года сообщалось об утечках информации о клиентах популярных интернет-сервисов и сотрудниках российских компаний. В том числе о сливе данных:

• 6 млн пользователей образовательного портала GeekBrains;
• 300 тыс. пользователей «Яндекс.Практикум»;
• 115 тыс. пользователей внутренней системы сайта Минстроя России;
• 629 тыс. сотрудников РЖД;
• 109 тыс. сотрудников «Ростелекома» и 712 тыс. пользователей сервиса «Умный дом» этого интернет-провайдера;
• неназванное число пользователей домашнего интернета от «Билайна»;
• 7,5 млн клиентов Tele2;
• 1,2 млн заказов Delivery Club;
• 2,6 млн клиентов сервиса по заказу билетов tutu.ru;
• 10 млн отправлений «Почты России»;
• неназванное количество клиентов Wildberries;
• 200 тыс. пользователей сайта Народно-освободительного движения;
• 509 тыс. пользователей магазина автозапчастей Avtoto и других.

Компании по-разному реагировали на слив данных. Некоторые, как Wildberries и «Билайн», назвали сообщения фейковыми. Другие, как Tele2 и Tutu, заявили о проведении служебного расследования.

Что стоит за участившимися атаками

Представители Group-IB сообщали, что общее количество кибератак на российские сервисы увеличилось после полномасштабного вторжения в Украину. Можно предположить, что взлом баз данных связан с деятельностью украинских хакеров. Как минимум их обвиняли во взломе сайта Минстроя РФ.

IT-армия Украины также рассказывала о взломе RuTube и «Почты России», хотя при этом хакеры не сообщали о публикации данных пользователей этих российских сервисов.

Причиной увеличившегося числа атак может быть общее внимание к России, сообщил «Вот Так» руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Деров. По его словам, хакеры и «хактивисты» сильно подвержены влиянию «моды» и устраивают атаки на компании стран, оказывающихся на слуху.

«Вот свежий пример. Недавно на одном из хакерских форумов выложили утечку индонезийского телеком-оператора. Это сразу же привело к тому, что на форуме началось настоящее паломничество злоумышленников, заинтересованных в данных по этому региону. Это привело к еще большому числу публикаций баз данных из этого региона. А далее из-за недостаточной защищенности цифровых активов бизнесов злоумышленники при помощи самых простых инструментов начинают массово взламывать базы и сливать данные», — рассказал он.

Аналогичная ситуация складывается с Россией. Хакерам помогает низкая защищенность интернет-сервисов. «Возможно, влияет тот факт, что многие компании считают, что они слишком маленькие и никому не интересны, но в таких историях это играет против них», — сказал Деров.

Эксперты «Известий» указывали на еще одну проблему — уход из России компаний, которые предоставляют системы защиты сетей.

Иван Маслов