В от­кры­тый дос­туп по­пали дан­ные поль­зо­вате­лей сер­ви­са за­каза би­летов "Ту­ту.ру". Как ут­вер­ждают злоу­мыш­ленни­ки, дан­ные бы­ли по­луче­ны ими в ре­зуль­та­те взло­ма сер­ве­ров, од­на­ко под­тверж­де­на утеч­ка од­но­го мас­си­ва дан­ных из трех. Так что этот ин­ци­дент мо­жет стать круп­ней­шей фей­ко­вой утеч­кой в Рос­сии.

Телеграмм-канал "Утечки информации" сообщил о том, что в открытый доступ попали данные пользователей сервиса заказа билетов "Туту.ру". В выложенном злоумышленниками фрагменте ­- более 2,6 млн строк, где содержались имена и фамилии, адреса электронной почты и номера телефонов покупателей билетов на междугородные автобусы. Также злоумышленники утверждали, что в их распоряжении имеются дампы таблиц зарегистрированных пользователей портала (7 млн строк с хешированными паролями) и заказов билетов (32 млн строк с паспортными данными). Однако никакого подтверждения наличия этих данных они не привели. По данным ведущих канала, за утечкой стоит тот же злоумышленник или группа злоумышленников, которые слили данные образовательного портала GeekBrains, "Школы управления Сколково", службы доставки Delivery Club.

"Сервис "Туту.ру" подвергся хакерской атаке из-за рубежа и в ограниченном доступе оказалась таблица, содержащая часть данных о заказах на автобусные билеты, вероятно, сделанных через tutu.ru. В файле, о котором идет речь, нет платежных данных, пунктов прибытия-отправления, дат заказа. Но есть фамилия и имя (не всех пассажиров), телефон и почта для отправки чека. В настоящее время достоверность данных проверяется", - такой комментарий дала пресс-служба "Туту.ру".

Как отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, доля утечек, связанных с воздействием внешних злоумышленников, имеет явную тенденцию к росту: "Все последние годы доля внешних нарушителей в общем объеме зарегистрированных утечек в России плавно росла и по итогам 2021 г. составила около 24%. Но в 2022 году, особенно с конца февраля-начала марта, доля утечек внешнего характера стремительно растет, что связано с активизацией хакерских группировок на фоне последних общественно-политических событий. Также важно отметить, что усложняется вектор многих атак, то есть зачастую хакеры пользуются поддержкой инсайдеров и стараются проникнуть в сеть компании, атакуя сотрудников, в том числе дистанционных, с использованием методов социальной инженерии".

По оценке эксперта Центра продуктов Dozor "РТК-Солар" Алексея Кубарева, доля инцидентов, произошедших по вине внешних нарушителей особенно велика, если речь идет о громких случаях: "Это распространенное явление. По нашим оценкам, из-за внешнего взлома происходит порядка 60-70% всех публичных утечек информации. В последнее время интенсивность утечек, вызванных внешними атаками, особенно усилилась из-за кризиса вокруг Украины".

Начальник отдела информационной безопасности "СерчИнформ" Алексей Дрозд отмечает, что оценить сколько в действительности происходит утечек из-за взломов довольно сложно. "Иногда злоумышленники действуют руками сотрудников организаций. Так, по данным нашего исследования за 2021 год с подобными ситуациями столкнулись 14% опрошенных компаний. При этом рост числа внешних атак ощущают почти треть российских организаций. В 2022 году только за первый квартал число DDoS-атак возросло в 4,5 раза, на 54% выросло количество инцидентов, связанных с фишингом. С ростом атак пропорционально увеличиваются и риски внешних утечек информации", - отмечает он.

"Утечка данных в результате действия хакеров, а не сотрудников организации, - распространенное явление. Например, злоумышленники стараются украсть информацию во время атаки шифровальщиками, чтобы шантажировать жертву публикацией данных, если не получат выкуп", - считает руководитель ИБ-практики ООО "АксТим" (бывшая Accenture) Андрей Тимошенко.

По оценке Андрея Тимошенко, из "Туту.ру" утекли довольно чувствительные данные: "Если исходить из того, что утекли контакты (фамилия, имя, номер телефона, электронная почта), даты рождения и паспортные данные, то это чувствительная информация, которая позволяет точно идентифицировать их владельца. Она, несомненно, сама по себе будет использована в мошеннических целях, а также для проведения различных видов атак, направленных на получение злоумышленниками материальной выгоды. Помимо этого, вероятно в распоряжение злоумышленников попали и пароли и это тоже важно, так как люди часто используют один и тот же пароль для разных сервисов".

"Адреса электронной почты, ФИО и пароли - безусловно чувствительные данные, однако не столь критичные как, например, паспортные данные. Злоумышленники могут использовать данные для сканирования других ресурсов с целью получения еще бОльшего объема информации", - предупреждает генеральный директор "БСС-Безопасность" Виктор Гулевич.

Алексей Кубарев также видит главный риск в том, что украденные данные могут использоваться в мошеннических схемах: "В целом, наряду с паспортными данными, которые часто используются для реализации мошеннических схем с помощью социнженерии, интерес для разного рода злоумышленников могут представлять данные о пунктах отправления и назначения пассажиров – эта информация может использоваться для слежки. Однако, судя по комментариям пресс-службы Tutu.ru, данных о перемещении граждан в утекших документах нет".

"Так как в сеть точно утекли фамилии и имена покупателей, номера телефонов, адреса электронных почт, один из возможных вариантов их использования – спам-звонки и рассылки. Второй, более опасный – преступники могут не просто закидывать жертв "мусорными" предложениями, а воспроизвести благодаря этим данным различные сценарии социальной инженерии. Например, могут начаться звонки и рассылки, привязанные к теме билетов с текстом вроде: "маршрут по вашему билету подорожал, просим внести доплату" + ссылка на поддельный сайт оплаты, "произошла отмена поездки, внесите свои данные, чтобы купить другой билет или оформить возврат средств" и т.п. Так преступники могут украсть еще больше важных данных для пополнения уже существующей базы или же сразу получить определенную сумму денег от жертвы, - полагает Алексей Дрозд. - По словам хакера, который выложил в свободный доступ данные, паспорта клиентов компании также могут быть слиты в сеть. Подтверждения пока не было, но стоит приготовиться к тому, что чем больше у злоумышленника информации о человеке, тем проще организовать изощренную атаку с помощью социальной инженерии. Мошенник сможет еще больше усыпить бдительность жертвы, выдавая подробности о паспортных данных, маршрутах поездки и т.д. Кроме того, рано или поздно все выложенные данные будут использованы для обогащения информации о пользователях, добытых из других утечек".

По мнению Андрея Арсентьева, для пострадавших пользователей утечка информации из "Туту.ру" несет не только дискомфорт в плане частичного раскрытия конфиденциальности (компрометация маршрутов передвижения): "Главное состоит в том, что украденные данные могут служить для злоумышленников удобной основой для подготовки фишинговых атак на пользователей с целью получения контроля над финансовыми счетами или различными аккаунтами, например профилями на Госуслугах".

Руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин, однако, считает, что утечка не несет серьезной угрозы: "Анализ таблицы с данными из файла злоумышленников показывает, в открытый доступ попали лишь фамилии и имена пассажиров, а также их телефоны и почты. Слитая информация не представляет серьезной угрозы для их обладателей. Вероятно, сейчас они попадут в поле зрения мошенников, которые посредством звонков и писем попытаются ввести в заблуждение и совершить противоправные действия. Паспортных и платежных данных, которые представляют больший интерес для злоумышленников, на сегодняшний день в общем доступе не обнаружено".

Мотив же злоумышленников, по мнению Антона Кузьмина, состоит в том, чтобы навредить компании: "Подобные атаки проводятся с целью подрыва доверия к компании, которая, очевидно, не смогла уберечь персональные данные своих клиентов от злоумышленников. А это, в свою очередь, в целом, влияет на устойчивость и функционирование бизнеса".

Важно отметить, что злоумышленники заявили о том, что в их распоряжении имеется три массива данных, но обнародовали лишь один, самый скромный по объемам. Андрей Арсентьев видит тут сразу несколько возможных мотивов: "Вероятно, злоумышленники стараются заинтриговать публику, привлечь внимание потенциальных покупателей к имеющимся пакетам данных. Также вполне возможно, что хакеры начали торг с пострадавшей компанией и намекают на выкуп в обмен на то, что не станут выкладывать второй и третий пакеты в Сеть. Нельзя исключать того, что хакеры просто блефуют, и больше никаких данных у них нет".

Виктор Гулевич считает одним из главных мотивов для фейковых утечек именно широкий резонанс инцидента, что увеличивает имиджевые потери для пострадавшей компании: "Злоумышленники зачастую провоцируют скомпрометированные компании для увеличения стоимости неразглашения полученных данных. Стоит также не забывать, что "укрупнение" взлома способно найти бОльшее освещение в СМИ и нанести серьезный репутационных ущерб подвергшейся атаке компании".

Андрей Тимошенко видит главной целью злоумышленников нанести максимальный ущерб российским компаниям. "Существует несколько типов киберпреступников. В частности, это преступные группировки, цель которых - получение финансовой выгоды различными способами, и хакеры активисты (или хактивисты), которые работают ради каких-то идей. И те и другие в случае атак на РФ либо косвенно или напрямую поддерживаются недружественными странами, либо получили негласное отсутствие запрета на действия со стороны своих государств. Они будут использовать любые способы, чтобы навредить российским организациям в киберпространстве", - отмечает он.

"Когда злоумышленники похищают данные, они не обязаны подтверждать утечку компании, которую взломали. У них другие цели и задачи, - считает руководитель департамента информационной безопасности "Сиссофт" Дмитрий Ковалев. - Данные, доступ к которым они получили, всегда нужны для чего-то, как минимум для продажи. Доказывать, что что-то действительно утекло бессмысленно, если хакеры не планируют получить выкуп за нераспространение информации. Такие ситуации бывают, но они не очень часты. Поэтому важнее для компании в этой ситуации что конкретно и когда всплывет в даркнете на продажу".

Алексей Кубарев напоминает, что порой за реальные утечки выдаются скомпилированные данные из различных открытых источников: "В последнее время появляется все больше злоумышленников, чьей мотивацией становится просто громко прокричать об утечке, выдав желаемое за действительное. Однако, в связи с СВО участились и случаи реальной кражи данных и их дальнейшего бесплатного выкладывания в интернет для общего пользования. Так злоумышленники пытаются нанести информационный урон стране и гражданам".

"Распространение персональных данных является правонарушением, за которое законодательством Российской Федерации предусмотрены различные виды ответственности - гражданско-правовая, административная и уголовная, - напоминает партнер коллегии адвокатов Pen & Paper Екатерина Тягай. - Участившиеся случаи утечки персональных данных из баз данных различных компаний привели к разработке законопроекта, направленного на минимизацию рисков утечек и последствий таковых. В частности, законопроектом вводится обязанность операторов персональных данных незамедлительно информировать уполномоченные органы власти об инцидентах с принадлежащими им базами персональных данных и обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. В конце июня 2022 года законопроект внесен на рассмотрение в Госдуму РФ".

Источник: Comnews.ru