В начале прошлого года некий хакер смог проникнуть во внутренние системы обмена сообщениями OpenAI, разработчика ИИ-чат-бота ChatGPT, и похитил сведения о технологических наработках стартапа, пишет The New York Times. По словам источников издания, злоумышленник выведал подробности о новейших достижениях в сфере ИИ компании из дискуссий сотрудников на форуме, но ему не удалось взломать системы, где создаются её продукты и содержится информация о них.

Источник изображения: TheDigitalArtist / Pixabay

Поскольку никакая информация о клиентах или партнёрах не была украдена, OpenAI не стала предавать публичной огласке этот инцидент, хотя и сообщила о нём на общем собрании сотрудников в апреле прошлого года, а также уведомила совет директоров. Руководители не посчитали инцидент угрозой национальной безопасности, полагая, что хакер был частным лицом, и не стали информировать об этом ФБР и правоохранительные органы.

И всё же у некоторых сотрудников OpenAI возникли опасения, что иностранные государства, такие как Китай, могут украсть сведения об ИИ-технологиях, что в конечном итоге может поставить под угрозу национальную безопасность США. Леопольд Ашенбреннер (Leopold Aschenbrenner), менеджер OpenAI, направил совету директоров OpenAI записку, в которой сообщил о недостаточности мер, предпринимаемых компанией для защиты своих секретов от вмешательства иностранных государств.

Весной 2024 года Ашенбреннера уволили из-за утечки другой информации, но он посчитал увольнение политически мотивированным. В связи с этим бывший сотрудник рассказал о происшедшем в прошлом году взломе IT-инфраструктуры OpenAI. «Мы ценим обеспокоенность, которую Леопольд выражал во время работы в OpenAI, но это не является причиной его увольнения», — заявила пресс-секретарь OpenAI Лиз Буржуа (Liz Bourgeois). Также она опровергла утверждения Ашенбреннера о недостаточности мер компании по защите корпоративных систем от хакерских атак.

В прошлом месяце президент Microsoft Брэд Смит (Brad Smith) сообщил конгрессменам в ходе дачи показаний в Капитолии о том, как китайские хакеры использовали системы компании для широкомасштабной атаки на сети федерального правительства. Поэтому опасения по поводу возможной причастности Китая к атаке на сети OpenAI нельзя считать безосновательными.

Вместе с тем на данный момент нет убедительных доказательств того, что современные ИИ-технологии представляют собой серьёзную угрозу национальной безопасности США. Исследования OpenAI, Anthropic и других организаций показали, что ИИ не более опасен, чем поисковые системы. Даниэла Амодей (Daniela Amodei), соучредитель и президент Anthropic, сообщила, что, если бы сведения об ИИ-технологиях компании похитили или же передали другим, это не представляло бы никакого серьёзного риска. «Если бы наши знания передали кому-то другому, могло бы это нанести огромный вред обществу? Наш ответ: нет, вероятно, нет», — сказала представитель компании корреспонденту The New York Times.

Последствия взлома хакерами электронной почты нескольких руководителей Microsoft оказались более значительными, чем первоначально сообщила американская компания в январе этого года, пишет Bloomberg. В списке клиентов Microsoft, пострадавших от атаки, приписываемой группировке Midnight Blizzard, якобы поддерживаемой правительством РФ, оказались Департамент по делам ветеранов США и подразделение Госдепартамента США.

Источник изображения: TheDigitalArtist/Pixabay

В Агентстве глобальных медиа США, входящем в состав Госдепа США, сообщили, что «пару месяцев назад» получили уведомление от Microsoft о том, что некоторые их данные могли быть украдены. Вместе с тем, представитель агентства заявил, что никакие данные, касающиеся безопасности или личные данные не были скомпрометированы. В свою очередь, Департамент по делам ветеранов США признал, что получал в марте уведомление от Microsoft о том, что его тоже коснулся инцидент с софтверной компанией.

В январе Microsoft сообщила, что хакерская группировка Midnight Blizzard получила доступ к учётным записям её корпоративной электронной почты, а позже предупредила, что хакеры пытались использовать данные, которыми обменивались компания и её клиенты для дальнейшего вторжения. Вместе с тем компания отказалась назвать клиентов, которые пострадали.

«Пока наше расследование продолжается, мы обращаемся с уведомлением к тем клиентам, которые переписывались с аккаунтом корпоративной электронной почты Microsoft, к которой (хакеры) получили доступ, — заявил представитель Microsoft в среду. — Мы продолжим координировать, поддерживать и помогать нашим клиентам в принятии мер по смягчению последствий (взлома)».

Согласно заявлению пресс-службы Microsoft, компания также связалась с федеральным правительственным агентством США «Корпус мира» (Peace Corps) и уведомила его о хакерском взломе. «На основании этого уведомления технический персонал “Корпуса мира” смог устранить уязвимость», — сообщает агентство.

Ещё до атаки Midnight Blizzard компания объявила в прошлом году, что пересматривает меры по обеспечению кибербезопасности после «каскада сбоев в системе безопасности». И совсем недавно Microsoft назвала безопасность своим «главным приоритетом», пытаясь восстановить пошатнувшееся доверие.

Сервис по продаже билетов Ticketmaster подтвердил, что хакеры осуществили взлом его систем в прошлом месяце, украли данные об адресах электронной почты клиентов, их номера телефонов и зашифрованную информацию о банковских картах. Напомним, что злоумышленники выставили на продажу базу клиентов Ticketmaster с 560 млн записей.

Источник изображения: Ticketmaster

Спустя почти месяц после того, как хакерская группа ShinyHunters заявила, что украла 1,3 Тбайт данных у Ticketmaster, сервис начал рассылку клиентам уведомлений об утечке данных. В сообщении об инциденте, отправленном генеральному прокурору штата Мэн, сервис указал, что взлом затронул «более 1000» человек, так что истинные масштабы взлома по-прежнему неизвестны. Судя по электронным письмам, отправленным сервисом клиентам, взлом коснулся тех, кто пользовался услугами Ticketmaster в США, Канаде и Мексике.

Как сообщил Ticketmaster, похищенные данные включают «зашифрованную информацию о банковской карте, а также некоторую другую личную информацию, предоставленную [сервису]». Это говорит о том, что хакерам удалось похитить сведения только о последних четырёх цифрах кредитных и дебетовых карт и дате истечения срока их действия. Именно об этом и сообщила группа ShinyHunters в мае, когда попытались продать украденную информацию за $500 000.

Ticketmaster сообщила, что сведения о клиентах попали к хакерам в результате взлома «изолированной облачной базы данных, размещенной у стороннего провайдера услуг передачи данных», но не стала раскрывать имя этого провайдера. Как утверждает ресурс PCMag, всё указывает на компанию Snowflake, которая предлагает решения для хранения данных для сотен крупных компаний.

Специалисты подразделения Google Mandiant заявили, что хакерская группа UNC5537 использовала плохую защиту паролей, чтобы атаковать 165 организаций, пользовавшихся сервисами Snowflake.

В качестве компенсации ущерба Ticketmaster предложил пострадавшим пользователям 12 месяцев бесплатного кредитного мониторинга. Вместе с тем было отмечено, что «учётные записи Ticketmaster не были затронуты», то есть пользователям даже не обязательно обновлять свои пароли.

TeamViewer, немецкая компания-разработчик программного обеспечения с одноимённым названием для удалённого доступа к ПК, заявила в пятницу, что её внутренняя корпоративная ИТ-среда в начале этой недели подверглась кибератаке. Компания обвинила в инциденте российскую хакерскую группировку APT29, также известную как Midnight Blizzard. Как утверждается, эта группировка поддерживается правительством РФ.

Источник изображения: TheDigitalArtist/Pixabay

TeamViewer заявила, что на данный момент известно, что произошедший 26 июня взлом, был «связан с учетными данными стандартной учётной записи сотрудника в нашей корпоративной ИТ-среде». При этом компания отметила, что её корпоративная среда «полностью независима от среды продукта». То есть пользователи не были затронуты, уверяют в компании.

«Нет никаких доказательств того, что это повлияет на среду продукта или данные клиентов. Расследования продолжаются, и нашей основной задачей остаётся обеспечение целостности наших систем», — указала в заявлении компания, добавив, по мере расследования она предоставит больше подробностей о случившемся.

Как утверждают на Западе, APT29 связана со Службой внешней разведки России (СВР). Этой хакерской группировке приписывают ряд крупных кибератак, включая взлом SolarWinds в 2020 году, а также электронной почты нескольких руководителей Microsoft в начале этого года. Microsoft также обвинила российских хакеров в слежке за своими сотрудниками.

Microsoft заявила, что в начале года российские хакеры проникли во внутренние IT-системы компании и получили доступ к почтовым сообщениям сотрудников, включая переписки с клиентами софтверного гиганта. Это заявление было сделано примерно через полгода после того, как Microsoft впервые сообщила о масштабной кибератаке на свою инфраструктуру.

Источник изображения: Copilot

Раскрытие новой информации подчёркивает масштаб хакерской атаки и происходит на фоне усиления контроля со стороны регулирующих органов за безопасностью программного обеспечения Microsoft. Отметим, что российские власти оставили без внимания обвинения Microsoft во взломе, но в компании также отметили, что хакеры атаковали исследователей в сфере информационной безопасности, которые вели расследование этого киберинцидента.

«На этой неделе мы продолжили отправлять уведомления клиентам, которые переписывались с использующими корпоративные учётные записи электронной почты сотрудниками Microsoft, взломанными злоумышленниками из Midnight Blizzard», — рассказал представитель Microsoft. В сообщении компании не уточняется, какое количество клиентов затронул инцидент, а также объём писем, которые могли быть похищены хакерами.

Напомним, в январе этого года Microsoft заявила, что хакерская группировка Midnight Blizzard получила доступ к «небольшому проценту» учётных записей корпоративной электронной почты компании. Четыре месяца спустя софтверный гигант сообщил, что хакеры всё ещё предпринимают попытки взлома, что вызвало обеспокоенность со стороны регулирующих органов и экспертов в том, что компания в состоянии защитить свои внутренние IT-системы.

Исследования показали что мошенники всё чаще применяют технологии искусственного интеллекта (ИИ) для совершения преступлений и обхода систем защиты. В частности, ChatGPT и ему подобные чат-боты позволяют генерировать более правдоподобные и грамотные тексты для фишинговых писем. Такие письма сложно распознать по традиционным признакам мошенничества.

Источник изображения: Copilot

Как сообщает американская деловая газета The Wall Street Journal, мошенники используют ИИ для имитации голосов реальных людей и создания так называемых глубоких фейков — поддельных аудио и видео. Это помогает выдавать себя за сотрудников банков, руководителей компаний и требовать перевода денег или разглашения конфиденциальных данных. По словам Мэтта Нила (Matt Neill), экс-агента спецслужб США, теперь гораздо сложнее распознать, с кем на самом деле ведётся беседа. Преступники могут вести осмысленный диалог, используя личные данные жертвы для повышения доверия.

Однако крупнейшие американские банки, включая JPMorgan Chase, разрабатывают собственные ИИ-системы для выявления новых схем мошенничества. Но преступники пока опережают — они атакуют всё большее количество людей, а хищения становятся масштабнее. Согласно данным Федеральной торговой комиссии США, в 2023 году американцы потеряли от действий мошенников рекордные 10 млрд долларов, что на 1 млрд больше, чем в 2022 году. При этом лишь 5 % пострадавших сообщают о своих потерях, так что реальный ущерб может достигать 200 млрд долларов.

По словам экспертов, мошенники активно используют инструменты ИИ для сбора личных данных в социальных сетях. При этом ИИ помогает генерировать персонализированные сообщения от имени доверенных лиц для убеждения людей передать деньги или конфиденциальную информацию. По данным опроса специалистов банков, 70 % из них считают, что хакеры используют ИИ более эффективно, чем финансовые организации. Кроме того, прогнозируется дальнейший значительный рост числа афер с применением искусственного интеллекта.

Мошенники также активно используют инструменты искусственного интеллекта для автоматизации взлома онлайн-аккаунтов пользователей. Если они получают доступ к почте и паролю жертвы какого-либо сервиса, они используют программы на основе ИИ, которые быстро проверяют, подходят ли эти данные для доступа к другим аккаунтам этого человека, например, банковским счетам или профилям в соцсетях.

Чтобы противодействовать этой угрозе, банки внедряют собственные системы искусственного интеллекта, которые отслеживают поведение клиентов, то есть как именно вводятся данные, с каких устройств происходит вход в приложение. Если есть отклонения от обычного поведения, система поднимает тревогу и может потребовать дополнительную аутентификацию.

Также банки анализируют скорость набора текста, чтобы определить, не действует ли человек под принуждением. Ещё ИИ выявляет такие подозрительные признаки, как вставка скопированного текста или слишком равномерный набор. Эксперты рекомендуют включать двухфакторную аутентификацию для защиты онлайн-аккаунтов и проявлять бдительность в ситуациях, когда кто-то вдруг начинает требовать срочных действий по переводу денежной суммы.

Хакерская группировка IntelBroker, ранее сообщившая о взломе серверов компании AMD, заявила, что похитила у компании Apple несколько инструментов, которые используют её разработчики внутри компании. Сообщение об этом появилось на одном из хакерских форумов в даркнете.

Источник изображения: 9to5Mac

По словам IntelBroker, «в июне 2024 года на Apple.com произошла утечка данных», в результате которой хакеры получили доступ к исходному коду следующих внутренних инструментов:

• AppleConnect-SSO;
• Apple-HWE-Confluence-Advanced;
• AppleMacroPlugin.

Об Apple-HWE-Confluence-Advanced и AppleMacroPlugin мало что известно. В свою очередь, AppleConnect-SSO представляет собой систему аутентификации, позволяющую сотрудникам компании получать доступ к определённым приложениям внутренней сети Apple. Система интегрирована с базой данных службы Directory Services компании, что обеспечивает безопасный доступ к внутренним ресурсам.

В iOS приложения, предназначенные только для сотрудников, могут использовать AppleConnect-SSO в качестве системы входа на основе жестов, где пользователь для удобства устанавливает специальный шаблон вместо пароля. Известно, что AppleConnect был внедрён в приложение Concierge, используемое сотрудниками Apple Store, а также в SwitchBoard до его закрытия в 2021 году. Насколько широко этот инструмент используется сейчас — неясно.

В сообщении IntelBroker не содержится какой-либо дополнительной информации. Злоумышленники не сказали, планируют ли продавать полученные данные, но опубликовали образец украденных файлов. Судя по всему, эта утечка никак не связана с данными клиентов Apple.

Как сообщают различные источники, ранее IntelBroker также участвовала во взломах баз данных Zscaler, General Electric, AT&T, Home Depot, Barclays Bank, а также баз данных Европола и Госдепа США.

Хакер и предполагаемый лидер группировки Scattered Spider арестован при попытке бежать из Испании. Члены хакерской группы вели в Telegram закрытый рейтинг лидеров по количеству взлома криптовалютных аккаунтов, хвастаясь украденными активами.

Источник изображения: krebsonsecurity.com

Как сообщается на сайте известного американского журналиста Брайана Кребса (Brian Krebs), занимающегося расследованиями IT-преступлений, 22-летний мужчина из Великобритании Тайлер Бьюкенен (Tyler Buchanan), также известный как «Tyler», был арестован на этой неделе в Испании. По данным властей, он является главой группы киберпреступников Scattered Spider, которая подозревается во взломе таких компаний как Twilio, LastPass, DoorDash, Mailchimp и около 130 других организаций за последние два года.

Испанская газета Murcia Today сообщает, что Бьюкенен разыскивался ФБР и был задержан в аэропорту Пальма-де-Майорки, когда пытался сесть на рейс в Италию. По данным полиции, на момент ареста он контролировал криптовалюту на сумму 27 миллионов долларов, полученную в результате взломов.

Бьюкенен считается специалистом по атакам путём подмены сим-карт. С помощью таких атак злоумышленники получают контроль над номером телефона жертвы и перехватывают одноразовые пароли и ссылки для сброса паролей, отправленные по SMS. Это позволяет им получить доступ к аккаунтам жертвы.

Scattered Spider совершила ряд громких кибератак, начав со взлома компании Twilio в 2022 году. Затем они взломали как минимум 163 клиента Twilio, включая приложение Signal и компанию Mailchimp. В результате были украдены конфиденциальные данные и криптовалюта на миллионы долларов.

Помимо этого, группировка подозревается во взломах сервиса хранения паролей LastPass, службы доставки еды DoorDash и десятков других технологических компаний. Для совершения атак они использовали фишинг по SMS и взлом учётных записей сотрудников.

Бьюкенена и других членов Scattered Spider связывают также с сообществом киберпреступников «The Com», которое известно громкими кражами криптовалюты и рейтингом таблицы лидеров этих краж в закрытых Telegram-каналах. Некоторые из участников, в том числе и Бьюкенен, подвергались физическому насилию от конкурирующих группировок. В частности, конкуренты наняли бандитов для вторжения в его дом, угрожали сжечь его, если он не отдаст ключи от своих криптовалютных кошельков. Считается, что Бьюкенен после этого нападения бежал из Соединённого Королевства.

Ранее на этой неделе курьерский сервис СДЭК объявил о возобновлении работы после масштабного сбоя, сообщив, что большая часть задержанных посылок выдана. Теперь же стало известно, что компания, вероятно, устранила не все уязвимости в своей инфраструктуре. На это указывают появившиеся в интернете данные некоторых клиентов СДЭК, которые отправляли посылки в апреле.

Источник изображения: Pixabay

Специалисты по кибербезопасности обнаружили несколько ссылок на сервисы Google, такие как «Google Таблицы», где размещены данные клиентов СДЭК за апрель. В таблицах содержатся номера накладных, описание посылок, их вес и изображения, а также названия подразделений СДЭК и отправителей (физлица и юрлица). По данным источника, ссылки на эти таблицы можно найти «в открытом доступе на сторонних ресурсах».

В СДЭК заверили, что персональные данные клиентов хранятся в собственной защищённой базе данных, а в открытом доступе могли появиться инструкции для персонала, шаблоны действий по типовым ситуациям и другая подобная информация. «У нас нет оснований полагать, что произошла утечка данных», — приводит источник слова представителя СДЭК.

В конце прошлого месяца Роскомнадзор сообщил, что СДЭК не уведомляла регулятора об утечках. Информацию о публикации данных клиентов сервиса доставки в открытом доступе в ведомстве пока никак не комментировали. Отметим, что в 2022 году база данных клиентов СДЭК уже выставлялась на продажу злоумышленниками. Тогда речь шла о базе, содержащей в себе данные более чем 9 млн клиентов логистического оператора.

Агентство национальной безопасности США (АНБ) предупредило о растущих угрозах безопасности мобильных устройств. Регулярное выключение телефона, отключение Bluetooth, когда он не нужен, и использование только надежных аксессуаров — это лишь некоторые рекомендации, которые дала спецслужба.

Источник изображения: Kandinsky

Мобильные устройства, такие как смартфоны и планшеты, стали неотъемлемой частью нашей повседневной жизни. Однако вместе с удобством, которое они предоставляют, эти гаджеты также открывают новые возможности для киберпреступников. Как передаёт ресурс Zdnet, в своем последнем отчете «Лучшие практики для мобильных устройств» Агентство национальной безопасности США предупреждает о растущих угрозах кибератак на мобильные устройства и даёт рекомендации по их защите.

Согласно АНБ, мобильные устройства уязвимы для различных кибератак, включая фишинг, вредоносные приложения, перехват трафика и удаленный доступ. Особенно опасны целевые фишинговые атаки, направленные на заражение устройства вредоносным ПО. Для защиты АНБ рекомендует пользователям выключать и включать свои смартфоны и планшеты минимум один раз в неделю. Это позволит очистить оперативную память устройства и затруднит злоумышленникам сбор конфиденциальных данных.

Однако выключение устройства не гарантирует 100 % защиты. Поэтому АНБ также советует:

• Своевременно устанавливать обновления безопасности для приложений и операционной системы.
• Загружать приложения только из официальных магазинов приложений.
• Не переходить по ссылкам и не открывать вложения в сообщениях от неизвестных отправителей.
• Избегать использования общедоступных Wi-Fi сетей.
• Отключать Bluetooth, когда он не используется.
• Использовать надежные пароли и биометрическую аутентификацию.
• Подключать устройство только к проверенным аксессуарам и зарядным устройствам.
• Отключать службы определения местоположения, когда они не нужны.

Для дополнительной защиты также рекомендуется установить специализированные приложения для сканирования устройства на наличие уязвимостей и вредоносного ПО, например Zdnet советует iVerify.

По словам экспертов АНБ, угрозы безопасности мобильных устройств будут только возрастать. Поэтому пользователям необходимо предпринимать активные меры защиты своих личных и платежных данных от хакеров, в руках которых сегодня имеется большой арсенал инструментов по взлому и фишингу мобильных устройств. Выполнение этих рекомендаций поможет существенно снизить риски и избежать многих кибератак.

Компания Live Nation Entertainment подтвердила утечку данных клиентов сервиса по продаже билетов Ticketmaster спустя 11 дней после её обнаружения. База данных 560 млн пользователей Ticketmaster объёмом 1,3 Тбайт была выставлена на продажу хакерской группировкой ShinyHunters за $500 тыс. Компания начала расследование и сотрудничает с правоохранительными органами, но уверена, что инцидент не повлияет на её финансовое положение.

Источник изображения: deeznutz1 / Pixabay

В течение недели данные 560 млн пользователей Ticketmaster, включая имена, домашние адреса, адреса электронной почты, номера телефонов и номера банковских карт, продавались на хакерских форумах, но только в пятницу вечером Live Nation, компания, владеющая Ticketmaster, признала факт их утечки. До настоящего времени единственным официальным сообщением, подтверждающим утечку данных, было заявление МВД Австралии, которое сообщило о сотрудничестве с компанией для выяснения обстоятельств случившегося.

Live Nation, которая ранее привлекла внимание из-за жалоб фанатов Тейлор Свифт (Taylor Swift) и судебного антимонопольного иска Минюста США, подтвердила, что 20 мая обнаружила несанкционированную активность в облачной среде базы данных третьей стороны. Компания немедленно начала расследование с участием ведущих экспертов в области кибербезопасности.

Уже 27 мая злоумышленники выставили на продажу в даркнете украденные данные пользователей. Live Nation предпринимает меры по снижению рисков для своих пользователей и сотрудничает с правоохранительными органами. Кроме того, компания уведомила регулирующие органы и пользователей о несанкционированном доступе к персональной информации.

Live Nation не предоставила конкретных подробностей о взломе, числе пострадавших пользователей или предпринимаемых мерах, но по данным экспертов по кибербезопасности Hudson Rock, злоумышленники взломали аккаунт компании на облачном хранилище Snowflake, а также аккаунты других компаний. Тем не менее, Live Nation утверждает, что произошедшее не окажет влияния на её финансовое положение и результаты деятельности, что вполне логично, если верить обвинениям её в монополизме.

Производитель компьютерных комплектующих Cooler Master подвергся масштабной кибератаке, в результате которой были украдены личные данные около 500 000 клиентов. Хакер под псевдонимом Ghostr заявил, что ему удалось получить доступ к приватной зоне сайта Cooler Master и похитить 103 Гбайт конфиденциальных данных. Он теперь требует выкуп.

Источник изображения: Cooler Master

Среди похищенной информации — корпоративные данные Cooler Master, данные о поставщиках и продажах, а также личные данные участников программы лояльности Fanzone. В частности, были украдены имена, адреса, даты рождения, номера телефонов и адреса электронной почты клиентов.

По сообщению ресурса Hot Hardware, особенно тревожным является тот факт, что злоумышленники получили доступ к незашифрованным данным банковских карт участников Fanzone. Речь идет о номерах кредитных карт, сроках их действия и трехзначных CVV-кодах, которые используются для подтверждения платежей в интернете. Это позволяет легко похитить деньги с карт.

Хакер грозится выставить все украденные данные на продажу на черном рынке, если Cooler Master не выплатит ему выкуп. Пока компания официально не комментирует инцидент. Однако независимое расследование подтверждает, что часть утёкшей информации является подлинной.

В связи с этим всем клиентам Cooler Master, особенно участникам программы Fanzone, настоятельно рекомендуется усилить бдительность. Необходимо следить за подозрительной активностью на банковских счетах и быть осторожными при использовании личных данных в интернете. Эксперты призывают немедленно связаться с банком в случае обнаружения каких-либо признаков мошенничества. Также рекомендуется сменить пароли и установить мониторинг истории платежей.

Пока неясно, смогла ли компания Cooler Master вовремя обнаружить и заблокировать атаку до того, как злоумышленники успели нанести серьезный ущерб её клиентам. Ожидается официальное заявление компании с разъяснением ситуации и рекомендациями поставщикам и клиентам. Эксперты прогнозируют волну фишинговых атак и других киберпреступлений с использованием украденных данных Cooler Master в ближайшие недели.

Хакерская группировка ShinyHunters выставила на продажу базу клиентов американского сервиса по продаже билетов Ticketmaster. Её объём составляет 560 млн записей, в том числе имена, адреса и частичные платёжные реквизиты. Сама Ticketmaster до сих пор не подтвердила факта взлома своих систем.

Источник изображения: Cliff Hang / pixabay.com

Обычно сведения об утечках данных поступают только после того, как об этом сообщает сама пострадавшая компания. В данном случае впервые об инциденте сообщил специализирующийся на кибербезопасности ресурс Hackread, авторы которого обнаружили базу Ticketmaster на вновь открывшейся хакерской площадке BreachForums. МВД Австралии также сообщило, что «сотрудничает с Ticketmaster, чтобы разобраться в инциденте», и это косвенно подтверждает факт взлома, несмотря на молчание самой компании. Объём базы данных, по словам ShinyHunters, составляет 1,3 Тбайт, и она содержит персональные данные 560 млн клиентов оператора. Хакеры продают её за $500 тыс.

ShinyHunters утверждают, что пытались продать похищенные данные Ticketmaster, прежде чем выставить их на продажу на BreachForums. Администрация платформы, видимо, не отреагировала на попытку вымогательства, и пока трудно сказать, ищет ли группировка нового покупателя или оказывает давление на жертву. Не исключено, что ShinyHunters пытаются заработать очки репутации: две недели назад ФБР закрыла частично подконтрольную группировке площадку BreachForums, которая теперь возродилась с базой клиентов крупного оператора.

В пользу этой гипотезы говорит и тот факт, что хакеры выбрали в качестве жертвы одиозную службу Ticketmaster: среди поклонников певицы Тейлор Свифт (Taylor Swift) и многих других любителей концертов в США к ней сформировалось явно негативное отношение, а Минюст подал против владеющей Ticketmaster компании Live Nation Entertainment антимонопольный иск. Пользователям платформы рекомендовано сменить пароли от учётных записей и проверить, нет ли в них сохранённых данных банковских карт — если да, то лучше эти карты заменить.

В начале мая была совершена кибератака на компьютерные сети известного лондонского аукционного дома Christie’s, ответственность за которую взяла на себя хакерская группа Ransomhub, пишет ресурс Security Boulevard. Хакеры требуют выкуп под угрозой опубликовать данные примерно 500 тыс. клиентов Christie’s в случае отказа.

Источник изображения: TheDigitalArtist/Pixabay

Скриншот заявления хакеров был опубликован в соцсети X исследователем по безопасности Домиником Алвиери (Dominic Alvieri). В нём сообщается, что они пытались договориться с Christie’s о «разумном решении», но аукционный дом «прервал общение на полпути».

Злоумышленники предупредили, что публикация конфиденциальных данных клиентов Christie’s повлечёт за собой «значительные штрафы в соответствии с GDPR» и нанесёт ущерб репутации аукционного дома.

По словам Ransomhub, ею похищена «конфиденциальная личная информация» как минимум о 500 000 частных клиентов Christie’s по всему миру, включая полные имена, пол, даты рождения, место рождения и национальность. В качестве доказательства хакеры опубликовали некоторые образцы данных. Киберпреступники запустили обратный отсчёт на сайте, свидетельствующий об их намерении опубликовать данные в начале июня в случае невыполнения Christie’s требования о выкупе.

Согласно публикации Bloomberg, из-за кибератаки Christie's был вынужден отключить свой сайт 9 мая, за несколько дней до важного весеннего аукциона в Нью-Йорке. В результате аукцион был проведён через альтернативный веб-сайт, а основной сайт был недоступен в течение 10 дней.

Представитель Christie's признал в интервью New York Times, что было похищено «ограниченное количество личных данных некоторых клиентов», отметив, что нет никаких доказательств того, что финансовые или транзакционные данные были скомпрометированы. Газета напомнила, что в преддверии весеннего аукциона Christie's назвал случившееся «проблемой технологической безопасности», преуменьшив масштабы взлома.

Представитель Christie’s сообщил, что компания работает с правоохранительными органами по этому поводу и что в ближайшее время уведомит пострадавших от взлома клиентов.

«Если говорить о высокопоставленных клиентах, которых обслуживает Christie’s, легко понять, насколько большой ущерб может нанести им, а также репутации Christie’s публикация данных», — отметил Рэй Келли (Ray Kelly), эксперт по безопасности Synopsys Software Integrity Group.

Ани Чаудхури (Ani Chaudhuri), гендиректор разработчика ПО Dasera, заявил, что этот инцидент свидетельствует о растущей смелости и изощрённости киберпреступников. Высокий статус аукционного дома подразумевает, что в число его клиентов входят состоятельные люди, для которых утечка личных данных грозит далеко идущими последствиями как в личном, так и в профессиональном плане. «Выплата выкупа только придаёт смелости киберпреступникам, побуждая их совершать новые атаки, — говорит Чаудхури. — Нет никакой гарантии, что выплата выкупа приведёт к безопасному возврату данных».

Известный хакерский форум BreachForums, на котором злоумышленники размещали для продажи похищенные данные пользователей и организаций, взят под контроль ФБР в сотрудничестве с правоохранительными органами других стран, сообщил ресурс BleepingComputer.

Со среды на веб-сайте BreachForums отображается баннер с сообщением о том, что ФБР взяло под свой контроль его и внутренние данные, что указывает на то, что агентство конфисковало как серверы, так и домены сайта.

«Этот веб-сайт был закрыт ФБР и Министерством юстиции при содействии международных партнёров, — говорится в сообщении. — Мы проверяем серверные данные этого сайта. Если у вас есть информация о киберпреступной деятельности на BreachForums, свяжитесь с нами». В верхней части баннера размещены изображения профилей двух администраторов сайта, Baphomet и ShinyHunters, находящихся за тюремной решёткой.

ФБР также наложило арест на Telegram-канал сайта и другие каналы, принадлежащие Baphomet. Также сообщается об его аресте, что подтверждается тем, что некоторые сообщения правоохранительных органов поступали с его аккаунта.

В специальном поддомене на портале IC3 ФБР указано, что расследование ведётся по хакерским форумам BreachForums и Raidforums. «С июня 2023 года по май 2024 года BreachForums, управляемый ShinyHunters, работал как открытая рыночная площадка, где киберпреступники могли покупать, продавать и обменивать контрабанду, в том числе украденные устройства доступа, средства идентификации, инструменты взлома, взломанные базы данных и другие незаконные услуги», — сообщило ФБР.

Агентство отметило, что ранее, с марта 2022 года по март 2023 года отдельная команда BreachForums управляла аналогичным хакерским форумом, который был закрыт, а его создатель арестован и приговорён в январе этого года к тюремному заключению сроком на 20 лет.

Предшественник обеих версий BreachForums — хакерский форум Raidforums — работал с начала 2015 года по февраль 2022 года.