Данные с доставкой

После массового сбоя в работе IT-систем логистическая компания СДЭК в начале июня по большей части восстановила работу, возобновив движение отправлений. Но, по данным специалистов по кибербезопасности, уязвимости в инфраструктуре оператора все еще не закрыты: в сети опубликована часть данных отправителей за апрель с указанием товаров, пунктов отправки и фото посылок. Если компания не сможет закрыть все уязвимости, подчеркивают эксперты, атака может повториться.

Выйти из полноэкранного режима

Развернуть на весь экран

СДЭК, объявившая 3 июня, что движение отправлений возобновлено и большая часть задержанных посылок выдана, так и не устранила часть уязвимостей в своей инфраструктуре. Собеседники “Ъ” на рынке кибербезопасности говорят, что в сети обнаружено несколько ссылок на сервисы Google, в частности «Google Таблицы», где размещены данные отправлений за апрель. “Ъ” ознакомился с информацией. Таблицы содержат номера накладных, описание причин задержек, описание посылок (вес, изображения), названия подразделений СДЭК, отправителей (физлица и юрлица). Один из источников “Ъ” уточнил, что «ссылки можно обнаружить в открытом доступе на сторонних ресурсах».

В СДЭК “Ъ” заверили, что хранят персональные данные клиентов в собственной защищенной базе данных, а в открытом доступе допускается появление инструкций для персонала, шаблонов действий по типовым ситуациям и так далее: «У нас нет оснований полагать, что произошла утечка данных».

В Роскомнадзоре “Ъ” говорили 27 мая, что компания не уведомляла регулятора об утечках. На запрос об информации, размещенной на сервисах Google, в ведомстве не ответили. В 2022 году база данных клиентов СДЭК уже оказывалась в доступе: тогда на продажу была выставлена информация о более чем 9 млн клиентов (см. “Ъ” от 13 мая 2022 года).

В конце мая СДЭК подверглась кибератаке, ее сервисы и пункты выдачи не работали несколько суток. Ответственность на себя взяла хакерская группа Head Mare. Эксперты полагали, что причиной сбоя стала атака с помощью вируса-шифровальщика, которые обычно нацелены на уничтожение данных (см. “Ъ” от 27 мая). Собеседник “Ъ”, знакомый с деталями инцидента, уточняет, что «хакеры не стремились получить выкуп, а работали над уничтожением ценных данных». В СДЭК заверили, что компании удалось восстановить работу сервисов, в том числе отслеживание посылок на сайте: «Остаются некоторые ограничения, над устранением которых мы активно работаем».

Опрошенные “Ъ” эксперты в области кибербезопасности считают, что база данных, появившаяся в открытом доступе, не могла быть задействована в атаке. «Такие данные не могут быть точкой входа в инфраструктуру компании, позволяющей запустить вирус-шифровальщик»,— поясняет основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Собеседник “Ъ” в одной из компаний в области кибербезопасности говорит, что утечка «явно произошла из-за халатности сотрудников СДЭК, потому что злоумышленники публиковали бы данные на профильных форумах». Ресурсы СДЭК в Google «оказались в открытом доступе просто по ошибке внутренних специалистов, которые не защитили должным образом внутреннюю информацию», полагает он.

В то же время данные из открытого доступа могут быть использованы в том числе для конструирования сложных атак на инфраструктуру компании, отмечает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. В «Информзащите» подчеркивают, что в 30% случаев успешных атак хакеры совершают вторую попытку, «особенно если организация не закрывает уязвимости».

Татьяна Исакова