Информация о сотрудниках «Билайна» утекла в сеть

Утечка не коснулась данных абонентов, уверяет компания
Сергей Портер / Ведомости

Данные почти всех сотрудников «Билайна», включая адреса корпоративной электронной почты, номера мобильных и домашних телефонов, закодированные ФИО и др., оказались в открытом доступе. Первым об этом сообщил Telegram-канал «Утечки информации». Представитель «Билайна» подтвердил факт утечки. 

Хакеры выгрузили в анонимный Telegram-канал четыре LDIF-файла (каталог в текстовом формате. – «Ведомости») с данными внутренних пользователей систем «Билайна» в Московском, Южном, Уральском и Центральном регионах, пишут «Утечки информации». Источник «Ведомостей» в компании на рынке кибербезопасности уточнил, что речь о Telegram-канале NLB. Файлы с данными были выложены в открытый доступ 1 декабря в 16.20, уточняет автор Telegram-канала «Утечки информации» и основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Файлы содержат почти 200 000 уникальных логинов в домене vimpelcom.ru, почти 100 000 домашних и мобильных телефонов, 67 000 корпоративных e-mail-адресов, а также ФИО в кодировке Base64 и другую служебную информацию, указано в посте. ФИО из слитой базы легко декодировать с помощью любого доступного онлайн-дешифратора, уточняет технический директор АО «Синклит» Лука Сафонов. По его словам, в базе также есть информация о подразделении, в котором работает сотрудник.

Что грозит «Билайну» за утечку

С 1 сентября 2022 г. компания, допустившая утечку персональных данных, в течение суток обязана уведомить об этом Роскомнадзор. Протоколы по утечкам составляет Роскомнадзор, но размер штрафов определяет суд. Максимальный размер такого штрафа сейчас составляет 500 000 руб.

«Данные наших клиентов в безопасности. Информацию о попадании в открытый доступ данных из корпоративного справочника, который доступен каждому сотруднику «Билайна», подтверждаем», – говорится в комментариях представителя «Билайна» «Ведомостям». В настоящее время ведется расследование по выявлению причин произошедшего, добавил он.

«Ведомости» направили запрос в Роскомнадзор.

У операторов связи данные утекают часто и крупными кусками, так как среди всех компаний, ведущих цифровой бизнес, они отличаются «наиболее легкомысленным» подходом к информационной безопасности, говорит Оганесян. Это уже не первая утечка данных в инфраструктуре «Билайна», напоминает он. В сентябре 2021 г. в открытом доступе оказались около 1,5 млн уникальных записей с данными клиентов домашнего интернета оператора. Компания тогда направила заявление в правоохранительные органы, сообщал собеседник «Ведомостей» в «Билайне». «Какая-то часть нашей инфраструктуры оказалась доступна и не защищена извне. Был допущен ряд ошибок системного характера», – объяснял он.

С большой вероятностью можно говорить, что в открытый доступ попали данные большинства сотрудников «Билайна» в России и для компании это крупная утечка, утверждает Оганесян. С ним соглашается и Сафонов, по словам которого эту утечку можно сравнить с утечками почти всех данных сотрудников «Сбера» и РЖД в 2018 и 2019 гг. соответственно. 

Хакер, выложивший данные сотрудников «Билайна», уже известен публикацией утечек из крупных российских компаний, продолжает Оганесян. По его словам, именно он публиковал базы участников программы лояльности Tele2, «Почты России», GeekBrains, Delivery Club, tutu.ru и др. Вероятнее всего, он специализируется на атаках на рабочие места IT-специалистов, а также git-репозитории разработчиков и в данном случае получил доступ к аккаунту сотрудника с доступом к серверам LDAP (Lightweight Directory Access Protocol, своего рода «телефонная книга» организации с правами, ФИО, контактами и иерархией. – «Ведомости»), резервным копиям или же тестовой среде («песочнице»), откуда и выгрузил данные, считает Оганесян. Сафонов допускает, что данные мог выгрузить и сотрудник самого «Билайна».

Проблема доступа к LDAP-каталогам известна, на эту уязвимость уже обращали внимание регуляторы в своих рекомендациях и это звонок для службы безопасности компании, говорит советник по вопросам информационной безопасности ФБК и FBK CyberSecurity Андрей Курило. Украденные данные, по его словам, могут быть использованы для подготовки более масштабной атаки методами социальной инженерии с последующим развитие других векторов.

Наиболее вероятно использование этой базы в фишинговых и социальных атаках на сотрудников компании, так как утечка содержит все необходимые данные, включая не только имена и контакты, но и место в оргструктуре, данные руководителя и проч., добавляет Оганесян. С помощью этих данных вполне возможно добиться от сотрудников компании выполнения многих опасных действий, включая предоставление доступа к внутренней инфраструктуре, считает он.

Если в базе присутствуют электронные почты, злоумышленники смогут проводить, например, таргетированные фишинговые рассылки, предупреждает источник «Ведомостей» в компании на рынке кибербезопасности. Также через Microsoft Exchange можно провести атаку с распылением паролей (Password spraying), продолжает он. В этом случае злоумышленник пытается получить валидный пароль, подставляя общераспространенные пароли к имеющимся у него адресам почты. Если у него это получится, то дальше он уже может выгрузить полную и на 100% актуальную базу с данными сотрудников компании, поясняет собеседник.