В браузере Google Chrome появилась основанная на искусственном интеллекте функция автоматической смены скомпрометированных паролей на сайтах — пока она доступна только в тестовых сборках на канале Canary.

Источник изображения: Rubaitul Azad / unsplash.com

Когда браузер обнаруживает, что пользователь пытается воспользоваться скомпрометированным паролем, он выводит предупреждение и предлагает изменить этот пароль. Если пользователь соглашается, браузер самостоятельно генерирует надёжный пароль, самостоятельно изменяет его на этом сайте и сохраняет в менеджере. Включить эту возможность можно в разделе «Экспериментальные ИИ-функции» (chrome://settings/ai) в настройках браузера.

Источник изображения: x.com/Leopeva64

Приватность обеспечивается за счёт сверки хэш-префикса на стороне пользователя; ни сами пароли, ни их полные хэши на внешние ресурсы не передаются. Алгоритмы ИИ в новой функции применяются для автоматической смены паролей на сайтах: система самостоятельно заполняет и отправляет необходимые для этого формы, и пароль меняется на новый.

Около пяти лет назад в Chrome появилась проверка компрометации паролей, которые сохранены в менеджере — она основана на поиске по базе скомпрометированных аккаунтов. Google не раскрывает размер базы данных, которую использует — в одной из известных крупных баз содержится информация о 15 млрд учётных записей.

Специалисты из «Лаборатории Касперского» обнаружили мобильный вредонос, который получил название SparCat и использовался злоумышленниками с марта 2024 года. Вредоносный фреймворк выявили в приложении для доставки еды в ОАЭ и Индонезии, а позднее в 19 других, не связанных между собой программных продуктах. Компания проинформировала об этом Apple и Google, которые удалили из своих магазинов цифрового контента опасный софт.

Источник изображения: Kevin Ku / unsplash.com

Специалисты изучили код вредоносного приложения, в результате чего удалось установить, что оно могло захватывать отображаемый на экране текст, а также извлекать информацию из скриншотов. Вредонос сканировал галереи изображений на устройстве жертвы в поисках ключевых фраз, предназначенных для восстановления доступа к криптовалютным кошелькам. Отмечается, что созданное киберпреступниками ПО могло обрабатывать данные на разных языках, включая английский, китайский, японский и корейский. С помощью вредоноса злоумышленники могли получать доступ к криптовалютным кошелькам жертв с целью кражи цифровых активов.

Исследователи уведомили об обнаружении вредоносных приложений Apple и Google. Вскоре после этого представляющие опасность программные продукты были удалены с площадок App Store и «Play Маркет». «Все идентифицированные приложения были удалены из Google Play, а их разработчики заблокированы», — прокомментировал данный вопрос представитель Google. Он также добавил, что пользователи Android-устройств были защищены от известных версий этого вредоноса благодаря функции Google Play Protect.

Apple выпустила обновление для iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 для устранения уязвимости нулевого дня, позволяющей обойти парольную защиту и получить физический доступ к данным на заблокированных iPhone и iPad. Обновление касается функции USB Restricted Mode, впервые внедрённой в iOS 11.4.1 в 2018 году для предотвращения попыток обхода средств защиты шифрования.

Источник изображения: Daniel Romero / Unsplash

Компания подтвердила, что уязвимость могла быть использована в «чрезвычайно сложной атаке против отдельных конкретных лиц» и, по сообщению The Verge со ссылкой на слова исследователя Билла Марчака (Bill Marczak) из The Citizen Lab, предоставляла физический доступ к данным на заблокированном устройстве в обход защитного механизма USB Restricted Mode.

Apple уточнила, что проблема была связана с ошибкой в управлении авторизацией, которую удалось устранить с помощью улучшенного управления состоянием системы. Уязвимость затрагивала устройства, начиная с iPhone XS, iPad Pro 3-го поколения и более поздних моделей.

Ранее Apple уже исправляла недостатки USB Restricted Mode, добавив в iOS 18 функцию перезагрузки при бездействии, которая автоматически перезапускает неиспользуемые устройства через несколько дней, требуя для доступа ввод пароля. Новое обновление также включает патчи для платформ Mac, Apple Watch и Vision Pro, однако подробности и пояснения к патчам пока не опубликованы.

Компания настоятельно рекомендует пользователям обновить свои устройства, чтобы защитить данные. Обновление уже доступно для загрузки.

На этой неделе Microsoft добавила в свой фирменный браузер Edge новый инструмент защиты от мошенников под названием Scareware blocker, который использует компьютерное зрение и машинное обучение для обеспечения безопасности пользователей. Алгоритм предназначен для борьбы с так называемыми программами-страшилками, которые побуждают пользователей скачивать вредоносное программное обеспечение под предлогом борьбы с вирусами.

Источник изображений: Microsoft

Использование технологий искусственного интеллекта позволяет Scareware blocker эффективно выявлять не только уже известные виды мошенничества, но также определять новые на основе характерных признаков. После обнаружения признаков мошенничества он блокирует открывающееся на весь экран окно, которое по задумке мошенников должно подтолкнуть жертву к скачиванию вредоносного ПО.

«Scareware blocker использует модель машинного обучения, которая запускается на локальном компьютере. Эта модель использует компьютерное зрение для сравнения полноэкранных страниц с тысячами примеров мошенничества, которыми с нами поделилось сообщество. Модель работает локально, без сохранения или отправки изображений в облако», — сказано в сообщении Microsoft.

Как только мошенничество будет обнаружено, браузер автоматически выйдет из полноэкранного режима, остановит воспроизведение видео- или аудиосообщения, а также предупредит пользователя об опасности. После этого пользователь может продолжить взаимодействие с Edge, а также добавить обнаруженный мошеннический сайт в базу данных Scareware blocker.

Согласно имеющимся данным, новый инструмент защиты пользователей от мошенников доступен в последней стабильной версии Edge. По умолчанию он отключен, поэтому пользователям придётся самостоятельно активировать соответствующую опцию в настройках приложения.

В универсальных драйверах для принтеров HP (HP Universal Print Driver) версий PCL 6 и PostScript обнаружены критические уязвимости, которые могут позволить злоумышленникам внедрить и выполнить вредоносный код, говорится в свежем отчёте безопасности производителя. Компания уже выпустила обновления, закрывающие эти дыры в безопасности, и рекомендует установить их немедленно.

Источник изображения: HP

Проблемы безопасности связаны со сторонними компонентами, использующимися в составе драйверов. Список уязвимостей, имеющих статус критических и обладающих высоким риском, состоит из:

• CVE-2017-12652 (выполнение произвольного кода);
• CVE-2022-2068 (выполнение произвольного кода);
• CVE-2023-45853 (раскрытие информации);
• CVE-2020-14152 (отказ в обслуживании).

Универсальные драйверы печати HP поддерживаются тысячами различных моделей принтеров и поэтому широко используются. Самостоятельно проверить, затронут ли ваш принтер вышеуказанным уязвимостям, можно с помощью этого списка принтеров от HP.

Все версии универсальных драйверов HP для принтеров, исключая текущую версию 7.3.0.25919, затронуты критическими уязвимостями безопасности и должны быть обновлены. Последние версии драйверов доступны на странице загрузки обновлений сайта HP.

Все старые версии драйверов HP в системе следует вручную удалить после установки новой версии, поскольку они не удаляются автоматически. Администраторам рекомендуется дважды проверить, что системой используются только новейшие драйверы, а все файлы старых драйверов удалены.

Киберпреступники создают в общественных местах фальшивые сети Wi-Fi — при попытке подключиться к ним пользователи получают запрос на авторизацию через Telegram, но в действительности у них крадут учётные записи в мессенджере, предупредило МВД. Администрация аэропорта Шереметьево рекомендовала пользоваться официальной сетью.

Источник изображения: svo.aero

Хакеры организуют фальшивые сети Wi-Fi в общественных местах и используют их для «угона» аккаунтов Telegram, рассказали в управлении МВД по борьбе с кибепреступлениями. Один из таких инцидентов произошёл в аэропорту Шереметьево, в котором появилась мошенническая точка доступа «SVO_Free», казавшаяся безобидной. При попытке подключиться к сети пользователей просили пройти авторизацию через Telegram и отправить полученный через SMS шестизначный код служебному боту — так киберпреступники получали доступ к учётной записи.

Настоящая сеть Wi-Fi в Шереметьево называется «_Sheremetyevo Wi-Fi» — для авторизации в ней используется только номер телефона, а не учётные записи в мессенджерах или на «Госуслугах», сообщили в администрации. На территории аэропорта не рекомендуется подключаться к сетям с любыми другими названиями. Ранее о схожей схеме Evil twin («Злой близнец») рассказали в службе безопасности МТС: мошенники создают неотличимую от подлинной поддельную точку доступа и крадут конфиденциальные данные. Чтобы не стать жертвой киберпреступников, рекомендуется отказаться от функции автоматического подключения, сообщил оператор.

В течение шести лет оставалась незамеченной фишинговая кампания, мишенями для которой стали пользователи устаревшей службы единого входа Microsoft: более 150 организаций в сферах образования, здравоохранения, государственного управления и технологической сферы. Злоумышленники полагаются не на техническую уязвимость систем, а на методы социальной инженерии.

Источник изображения: BoliviaInteligente / unsplash.com

Киберпреступники рассылают потенциальным жертвам фишинговые письма якобы от службы безопасности. Перейдя по ссылке из такого письма, пользователь корпоративной системы попадает на поддельную страницу входа в Active Directory Federation Services (ADFS), на которой вводит свои учётные данные и код многофакторной аутентификации. Схема работает почти без изменений с 2018 года, рассказали в компании Abnormal Security; конкретного субъекта угрозы нет — кампания связана с несколькими финансово мотивированными группировками киберпреступников, которые могут продавать украденные учётные данные.

Большинство жертв находятся в Северной Америке, Европе и Австралии. На образовательные организации пришлись 52,8 % атак, на здравоохранение — 14,8 %, на государственные учреждения — 12,5 %. Microsoft призвала клиентов отказаться от службы ADFS в пользу более надёжной Entra ID, но по финансовым и техническим соображениям это не всегда возможно: устаревшие системы, совместимые только с ADFS, продолжают использоваться во многих организациях, а обновление до Entra потребует комплексного развёртывания новых инструментов.

Впрочем, аналогичные фишинговые атаки возможны и с Entra, отметили в Abnormal Security. Более эффективным способом защиты, по мнению экспертов, является сокращение срока действия токенов и кодов многофакторной аутентификации — это ограничит для злоумышленников возможность использовать украденные данные. Поможет и блокировка связанных с кампанией известных доменов — киберпреступники годами полагались на одну и ту же инфраструктуру.

Тайваньский производитель сетевого оборудования Zyxel заявил, что не планирует выпускать обновления ПО для своих устройств и закрывать две недавно обнаруженные уязвимости, которые активно эксплуатируются киберпреступниками и могут затрагивать несколько тысяч клиентов.

Источник изображения: greynoise.io

Критические уязвимости нулевого дня в маршрутизаторах Zyxel активно эксплуатируются киберпреступниками, сообщила в конце января специализирующаяся на анализе угроз компания GreyNoise. Эти ошибки позволяют злоумышленникам выполнять на устройствах произвольные команды, что приводит к компрометации системы, утечкам данных и проникновению в локальную сеть. Ещё в июле прошлого года их обнаружила компания VulnCheck, в августе Zyxel была поставлена об этом в известность, но производитель до сих пор ничего не предпринял.

Лишь накануне на сайте Zyxel появилось сообщение, что компания «недавно» узнала о двух уязвимостях, которые проходят под номерами CVE-2024-40890 и CVE-2024-40891 и, по её словам, затрагивают несколько продуктов с истекшими сроками поддержки. VulnCheck, по версии тайваньского производителя, ничего об этих уязвимостях не сообщала, и о проблеме он узнал лишь в январе, когда GreyNoise рассказала, что они активно эксплуатируются. Ошибки затрагивают «устаревшие продукты, срок эксплуатации которых истёк много лет назад», подчеркнула Zyxel, поэтому компания не намерена выпускать исправляющие их обновления ПО.

Производитель рекомендовал клиентам заменить уязвимые маршрутизаторы «продуктами нового поколения для оптимальной защиты». При этом в списке снятых с поддержки устройств на сайте Zyxel данные устройства не упоминаются, а некоторые из них до сих пор продаются на Amazon, из чего можно сделать вывод, что на практике они остаются актуальными, обратила внимание VulnCheck. Почти 1500 уязвимых устройств сейчас доступны через интернет, гласят данные профильной поисковой системы Censys. Анализ ботнетов, включая Mirai показал, что одна из уязвимостей устройств Zyxel эксплуатируется на практике, а следовательно, это оборудование может использоваться в крупномасштабных атаках, обратила внимание GreyNoise.

Данные сервисов по поиску работы указывают на то, что в 2024 году количество вакансий специалистов по кибербезопасности увеличилось на 17-50 %, тогда как количество резюме уменьшилось на 6 %. По мнению работодателей, удовлетворить потребность в качественных ИБ-специалистах удастся только спустя годы, тогда как количество кибератак продолжает неуклонно расти.

Источник изображения: Shutterstock

По данным сервиса HeadHunter, число вакансий на должности специалиста по ИБ на площадке за 2024 год выросло на 17 % до 27,3 тыс. единиц. При этом в SuperJob сообщили о росте количества таких вакансий на 50 %, а в «Хабр.Карьере» — на 18 %, не уточняя абсолютные цифры. Несмотря на это, количество резюме, которые разместили соискатели на должность ИБ-специалиста на платформе SuperJob, сократилось на 6 %.

Рост спроса повлёк за собой увеличение зарплат специалистов по информационной безопасности. По подсчётам SuperJob, зарплатные предложения в Москве за отчётный период выросли на 12 %. Максимальная зарплата для директора по ИБ достигает 1 млн рублей в месяц, тогда как медианная составляет 450 тыс. рублей в месяц. Калькулятор зарплат «Хабр.Карьеры» указывает на увеличение медианных зарплат всех позиций в отрасли в 2024 году на 17,3 % до 146 тыс. рублей.

Гендиректор эксперт-рынка TechNet НТИ Антон Аверьянов подтверждает наличие дефицита специалистов по кибербезопасности. «Все хорошие «безопасники» уже заняты работой, а из вузов выходят только «сырые» кадры, которых в любом случае необходимо дообучать. На фоне возросшей актуальности информационной безопасности из-за геополитической обстановки таких кадров стало не хватать», — добавил господин Аверьянов.

Директор по управлению талантами ГК «Солар» Людмила Макарова считает, что нехватка кадров в ИБ становится ключевым ограничением для развития отрасли в целом. «Рынок ИБ ещё далёк от насыщения технологиями и реализации задач импортозамещения. К тому же количество киберугроз не снижается. Но вероятно, на горизонте трёх-пяти лет произойдёт некоторая стабилизация ситуации с количеством необходимых специалистов», — прогнозирует госпожа Макарова.

«Но в ближайшие пять лет и спрос на специалистов будет стабильно расти, да и в целом потребность в безопасности никуда не денется», — уверен начальник отдела по ИБ компании «Код Безопасности» Алексей Коробченко.

Китайская компания DeepSeek, создавшая бюджетный чат-бот с высокой производительностью, оказалась в центре внимания из-за серьёзных проблем с безопасностью своей модели. Несмотря на активный рост популярности, новый чат-бот DeepSeek R1 показал катастрофические результаты при попытках блокировать вредоносные запросы, сообщает PCMag.

Исследователи компании Cisco смогли взломать модель DeepSeek R1 со 100-% успешностью, используя автоматизированный алгоритм в сочетании с 50 запросами, связанными с киберпреступностью, дезинформацией и незаконной деятельностью. Чат-бот не смог отклонить ни одного опасного запроса и стал выдавать запрещённые инструкции.

Если сравнивать китайского чат-бота в плане безопасности с конкурентами, то статистика оказалась не в пользу DeepSeek. Так, модель GPT-4o от OpenAI смогла отклонить 14 % вредоносных запросов, Google Gemini 1.5 Pro — 35 %, а Claude 3.5 показала результат в 64 %. Лидером стала предварительная версия OpenAI o1, которая заблокировала 74 % атак. По мнению Cisco, причина такого «поведения» DeepSeek кроется в низком бюджете, затраченном на разработку. Компания утверждает, что на создание модели было потрачено всего $6 млн, тогда как, например, обучение GPT-5 обошлось примерно в полмиллиарда долларов.

Несмотря на слабую защиту от атак, DeepSeek демонстрирует строгую цензуру на политически чувствительные темы, связанные с Китаем. Например, на вопросы о положении уйгуров, подвергающихся гонениям по данным ООН, и о протестующих на площади Тяньаньмэнь в 1989 году, бот отвечает: «Извините, это выходит за рамки моих возможностей. Давайте поговорим о чём-то другом».

Интересно, что проблемы с безопасностью и цензурой пока не влияют на популярность DeepSeek. По данным Similarweb, количество пользователей чат-бота выросло с 300 тысяч до 6 миллионов в день. А Microsoft и Perplexity уже начали интегрировать DeepSeek, который базируется на открытом исходном коде, в свои разработки.

Google заблокировала более 2,3 млн приложений Android для магазина Google Play в 2024 году. Они нарушили политику платформы, что делало их потенциально опасными для пользователей. Кроме того, компания заблокировала 158 тыс. аккаунтов разработчиков за попытку публикации вредоносных приложений, включая шпионское ПО.

Источник изображения: Bleeping Computer

Для сравнения, в 2023 году Google заблокировал 2,28 млн опасных приложений, а в 2022-м — 1,5 млн. В те же годы компания лишила доступа к платформе 333 тыс. и 173 тыс. разработчиков соответственно. Возросшее количество заблокированных приложений в 2024 году на платформе частично объясняется тем, что в поиске вредоносного ПО сотрудникам компании помогала система искусственного интеллекта.

«Сегодня более 92 % наших человеческих обзоров вредоносных приложений проводятся с помощью искусственного интеллекта, что позволяет нам принимать более быстрые и точные меры для предотвращения проникновения вредоносных приложений в Google Play. Благодаря этому мы смогли заблокировать доступ к Google Play для значительно большего, чем когда либо, количества вредоносных приложений», — пояснили в Google.

Компания также сообщила, что предотвратила 1,3 случаев получения приложениями чрезмерных прав и разрешений, которые предоставили бы ПО ненужный доступ к конфиденциальным пользовательским данным.

В 2024 году встроенная в Android система безопасности под названием Google Play Protect получила значительное обновление защиты в реальном времени даже для приложений, устанавливающихся за пределами платформы Google Play. Google утверждает, что стандартная защита Android ежедневно сканировала более 200 миллиардов приложений, выполняя анализ на уровне кода в реальном времени. В течение 2024 года эти сканирования выявили более 13 миллионов новых вредоносных приложений, полученных за пределами Google Play.

Разработчики приложений также получили новые инструменты для лучшей защиты своего ПО от вредоносных SDK и случаев неправомерной эксплуатации, а индекс Google Play SDK в прошлом году расширился на 80 новых доверенных SDK. Более широкое внедрение API Play Integrity привело к снижению нарушений из ненадёжных источников на 80 %. Теперь 91 % установок приложений используют функции безопасности и защиты конфиденциальности, доступные в Android 13 и более поздних версиях операционной системы.

Система блокировки установки ненадёжных APK от Google, впервые запущенная в качестве пилотного проекта в Сингапуре в феврале 2024 года, теперь расширена на Бразилию, Гонконг, Индию, Кению, Нигерию, Филиппины, Южную Африку, Таиланд и Вьетнам. Её успех в 2024 году отражается в предотвращении 36 миллионов попыток установки 200 000 уникальных приложений на 10 миллионах устройств Android.

В прошедшем году доля российских абонентов мобильных сетей, которые столкнулись со звонками с подозрением на мошенничество с неизвестных номеров, выросла на 18 процентных пунктов по сравнению с 2023 годом и составила 61 %. Различные спам-звонки в 2024 году получали больше 90 % пользователей. Об этом свидетельствуют аналитические данные «Лаборатории Касперского», полученные с помощью анонимизированной статистики приложения Kaspersky Who Calls.

«В конце прошлого года злоумышленники стали использовать новые легенды: в первом звонке они представляются сотрудниками организаций из сферы ЖКХ и просят назвать не связанную с финансами информацию, например, продиктовать показания счётчиков. Если жертва продолжила общение со звонящими, обычно её уведомляют о необходимости замены счётчиков, на которую якобы надо записаться, используя одноразовый код от личного кабинета информационной системы. Таким образом киберпреступники получают доступ к аккаунту жертвы и запрашивают от её имени какую-либо справку, которая не требует дополнительного подтверждения. В дальнейшем мошенники связываются с жертвой уже через несколько дней, в этот раз представляясь регуляторами. Они сообщают о взломе личного кабинета, пугают информацией об оформленном на пользователя кредите и просят оказать содействие. В дальнейшем схема развивается традиционно: злоумышленники вынуждают жертву подтвердить транзакцию, снять и передать им средства, привязать новое устройство к банковской системе или получить доступ к онлайн-банку, чтобы украсть деньги жертвы», — рассказал Сергей Голованов, главный эксперт «Лаборатории Касперского».

Среди других приёмов телефонных мошенников, которые остаются актуальными в 2025 году, эксперты отмечают многоступенчатые атаки с предварительной перепиской с потенциальной жертвой в мессенджерах; рассылку зловредных программ, например, троянцев с функцией удалённого доступа под видом полезных приложений; использование предзаписанных голосовых дипфейков, а также звонки с иностранных номеров, которые человек может принять за региональные.

Неизвестные киберпреступники взломали учётную запись сотрудника службы поддержки торговой площадки Ozon во «ВКонтакте» и разослали подписчикам маркетплейса фишинговые письма, в которых предложили получить призы «по случаю годовщины» Ozon, но для этого якобы нужно оплатить комиссию. К настоящему моменту доступ к аккаунту удалось восстановить, а рассылку — прекратить.

Источник изображения: ozon.ru

Страницу сотрудника службы поддержки Ozon во «ВКонтакте» взломали в ночь на 29 января, после чего пользователи соцсети начали получать фишинговую рассылку, рассказали представители торговой площадки агентству «РИА Новости»: «Мы в курсе ситуации, и сейчас доступ восстановлен, а рассылка прекращена». Администрация соцсети помогла удалить все отправленные злоумышленниками сообщения, в Ozon призвали подписчиков страницы «ни в коем случае не переходить по ссылкам».

В письмах хакеры сообщили пользователям «ВКонтакте», что Ozon по случаю своей годовщины запускает конкурс с призами. Для участия предлагалось перейти по ссылке и оплатить комиссию, чтобы получить приз. Подписчики маркетплейса начали публиковать снимки экранов с этими сообщениями в комментариях к публикациям Ozon. Впоследствии сообщения в группе закрыли до 1 февраля.

«Т-банк» стал первым среди крупных отечественных банков, кто импортозаместил технологический корпоративный центр сертификации (Certification Authority, CA) с продукта Microsoft на российский аналог от Safetech. Такое решение требуется, например, для подтверждения личности сотрудников в системе или подтверждения подлинности сайта. Об этом пишут «Ведомости» со ссылкой на данные представителей «Т-банка» и Safetech.

Источник изображения: «Т-банк»

CA используется для выдачи цифровых сертификатов для Windows, служащих подтверждением подлинности программного обеспечения и веб-сайтов, а также аутентификации пользователей, устройств и ПО внутри корпоративной среды. CA также задействуют для обеспечения безопасного соединения HTTPS на сайтах, для электронной подписи документов и других задач. Без таких сертификатов работа банка может быть парализована, поскольку они используются как при взаимодействии с клиентами, так и при выполнении операций внутри финансовой организации.

Вице-президент и технический директор «Т-банка» Олег Щербаков отметил, что замена зарубежных компонентов инфраструктуры на отечественные средства защиты информации является одной из приоритетных задач для банка. Гендиректор Safetech Lab Александр Санин добавил, что переход с Microsoft CA на Safetech CA был полностью бесшовным благодаря импорту самих сертификатов и шаблонов из Microsoft CA. По оценке директора департамента расследований T.Hunter Игоря Бедерова, затраты на замену системы CA могут составлять от 1,5 млн рублей.

На сайте Safetech сказано, что CA компании может полностью заменить Microsoft CA, а также оптимизировать процессы выпуска и управления сертификатами. Разработчики реализовали поддержку протоколов MS Enrollment и SCEP, за счёт чего обеспечивается возможность выпуска сертификатов для различного сетевого оборудования и устройств с Windows, Linux, macOS и др. Среди прочих российских разработчиков аналогичных продуктов эксперты называют компании «Аладдин» с ПО Aladdin Enterprise CA и «Ред софт» с решением «Ред АДМ пром».

Немецкий поставщик облачных услуг мог непреднамеренно раскрыть персональные данные всех жителей Грузии, обнаружили исследователи в области кибербезопасности. Они выявили две доступные без паролей базы данных с записями о жителях страны.

Источник изображения: Growtika / unsplash.com

Открытие сделал эксперт в области кибербезопасности Боб Дьяченко (Bob Dyachenko) из компании SecurityDiscovery.com. Он рассказал, что обнаружил индекс Elasticsearch без защиты паролем, который содержал «обширный набор персональных данных», принадлежащих жителям Грузии. Индекс был составлен из двух баз: в одной было около 5 млн, в другой — более 7 млн записей. Учитывая, что население Грузии составляет менее 4 млн человек, есть основания предположить, что даже при наличии дубликатов записей в результате инцидента риску кражи данных, фишинга и другим угрозам подвержены все жители страны.

В архивах содержались идентификационные номера граждан (возможно, номера социального страхования), их полные имена, даты рождения, пол, номера телефонов и прочая конфиденциальная информация. «Данные, видимо, были собраны или агрегированы из нескольких источников, предположительно из правительственных или коммерческих баз и служб идентификации», — рассказали эксперты. Сервер, на которым были размещены базы, принадлежал немецкому поставщику облачных услуг, и вскоре после предания инцидента огласке его отключили.

Многие вопросы остались без ответа: был ли осведомлен об инциденте облачный провайдер, успели ли киберпреступники похитить данные перед отключением ресурса, и была ли перемещена база в другое место. Наконец, не удалось установить, по чьей вине произошла эта утечка, а значит, едва ли получится привлечь это лицо к ответственности.