ГОСТ
По задачам
По отраслям
Запрос индивидуального предложения
Защита конечных устройств Корпоративная мобильность Безопасность КИИ Защита каналов связи Защита промышленных систем Защищенные коммуникации Подключение к государственным системам
Связь Транспорт и логистика Розничная торговля Производство и промышленность Органы государственного управления
В раздел решений В раздел решений
Категории продуктов
Прайс-лист
Дополнительно
Защита каналов связи Приложения Инфраструктура открытых ключей Защита конечных устройств Электронный документооборот Системы обнаружения вторжений Защита систем промышленной автоматизации Квантовые криптографические системы Защищенные коммуникации
Информационные материалы Маркетинговые исследования Стенд для тестирования TLS 1.3 Тестовый удостоверяющий центр ИнфоТеКС
В раздел продуктов В раздел Продуктов
Поиск по партнерам Стать коммерческим партнером Стать технологическим партнером
Запрос в поддержку Вопросы и ответы Центр загрузок Политика разработки безопасного программного обеспечения Соглашение об уровне сервиса (Service Level Agreement) Правила гарантийного обслуживания ПАК ViPNet Форум
Новости Мы в СМИ Мероприятия Вебинары и мастер-классы
О компании
Услуги
Компания «ИнфоТеКС» Экосистема ИнфоТеКС Лицензии Академия Патенты Акционерам Награды Реквизиты Вакансии Контакты
Техническая поддержка Обучение и сертификация Проектные работы Исследовательская лаборатория Исследование состояния безопасности информационных систем
В раздел О компании В раздел Услуги
Главная
Пресс-центр
Публикации
Результаты расследования инцидента утечки БД пользователей сайта ИнфоТеКС

Результаты расследования инцидента утечки БД пользователей сайта ИнфоТеКС

Новости
#Компания #Группа компаний
02 Июн 2023

Специалисты компании «ИнфоТеКС» совместно со специалистами компании «Перспективный мониторинг» (входит в ГК «ИнфоТеКС», является аккредитованным центром ГосСОПКА) завершили расследование инцидента информационной безопасности, связанного с утечкой базы данных пользователей сайта www.infotecs.ru (далее — БДП), извещение о котором было опубликовано 21 мая в 20:45 (здесь и далее — время Мск) в официальном телеграм-канале, и 22 мая на сайте компании. Согласно требованиям Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ компания «ИнфоТеКС» в установленные сроки уведомила об инциденте Роскомнадзор, детальный отчет о расследовании передан уполномоченным государственным структурам.

Предметом расследования стал архив объемом 8.78 Мб, содержащий БДП сайта www.infotecs.ru c 60 912 учетными записями пользователей, включая поля, которые могут быть отнесены к персональным данным пользователей. Эти данные были похищены 26 апреля 2023 года в 14:04 из контура разработки и отладки нового сайта компании ИнфоТеКС (далее — тестовый контур). Данный контур изолирован от других информационных систем компании и физически располагается на внешней площадке удаленного центра обработки данных. Легитимный доступ к ресурсам данного контура имели только ответственные сотрудники ИнфоТеКС и сотрудники Подрядчика, отвечающие за разработку сайта www.infotecs.ru.

В ходе расследования рассматривалось несколько возможных каналов утечки и следующие модели нарушителя:

  • внутренний нарушитель в ИТ-периметре ГК «ИнфоТеКС» (далее — ГК)

  • внешний нарушитель (целевая атака на ИТ-периметр и информационные системы ГК)

  • внешний нарушитель на уровне подрядчиков (компании-подрядчики ГК «ИнфоТеКС», предоставляющие услуги по хостингу БД и web-серверов сайтов ГК, услуги по разработке сайтов ГК).

Детальный анализ скомпрометированной (похищенной) БДП показал, что всего 7 486 из 60 912 записей БДП были активными и актуальными. Оставшаяся большая часть БДП представляет собой тестовые или сильно устаревшие записи, в т.ч. сгенерированные автоматически на разных этапах развития личного кабинета сайта ИнфоТеКС. В ходе анализа также выяснилось, что немногие данные из указанных 7 486 актуальных записей БДП содержат данные, которые могут быть отнесены к персональным данным пользователей и могут быть использованы для их идентификации.

Скомпрометированная БДП не коррелирует непосредственно с базой данных заказчиков и партнеров компании «ИнфоТеКС». Многие пользователи регистрировались на сайте ИнфоТеКС, указывая личные почтовые ящики и/или под условными именами.

Установлено, что БДП была похищена не путем прямого копирования файлов БДП, а с помощью удаленных запросов к серверу БД в течение короткого промежутка времени с информационного ресурса с IP-адресом Подрядчика, ответственного за разработку нового сайта ИнфоТеКС. В данных, которые впоследствии были опубликованы злоумышленниками, содержатся не все исходные записи БДП.

В ходе расследования были аргументированно отклонены версии утечки БДП через внутреннего нарушителя и через ИТ-инфраструктуру компании, исключена версия атаки на ИТ-инфраструктуру ИнфоТеКС извне. Специалисты ИнфоТеКС и Перспективного мониторинга подтвердили отсутствие какого-либо влияния данного инцидента на ИТ-инфраструктуру ГК «ИнфоТеКС», включая системы разработки, тестирования и производства продуктов ViPNet.

С целью установления значимой последовательности событий, предшествующих инциденту, был проведен ретроспективный анализ всех доступных журналов событий из тестового контура, а также журналов доступа в этот контур сотрудников компании «ИнфоТеКС» и сотрудников компаний-подрядчиков.

Установлена следующая последовательность:

2022-05-27 15:03 – первоначальная загрузка Подрядчиком кода нового сайта в тестовый контур разработки сайта www.infotecs.ru, содержащего функциональность, которую возможно классифицировать как недекларированную возможность (далее – НДВ). Данная функциональность не является штатной функциональностью CMS Битрикс, на которой работает сайт www.infotecs.ru. Он был добавлен Подрядчиком с целью упрощения и автоматизации процедуры авторизации сотрудников Подрядчика с правами администраторов сайта. Информация о его наличии не доводилась до сотрудников ИнфоТеКС, ответственных за разработку и работу с сайтом www.infotecs.ru.

2023-04-24 18:33 – администратором сайта – сотрудником компании «ИнфоТеКС» – производится копирование БДП из боевого контура, в котором работает актуальный сайт www.infotecs.ru, в тестовый контур разработки нового сайта www.infotecs.ru с целью финальной проверки работоспособности всех механизмов нового сайта и подготовке его к публикации. Публикация нового сайта планировалась 4 мая 2023 года.

2023-04-25 12:32 – через указанную НДВ на сайте в контуре разработки создается учетная запись «rootuser» с правами администратора CMS Битрикс.

2023-04-26 13:59 – через указанную НДВ на сайте в контуре разработки создается еще одна учетная запись уже с именем одного из сотрудников Подрядчика с правами администратора CMS Битрикс.

2023-04-26 14:04 – осуществляется передача в сторону подрядчика 79,9 Мб данных от WEB-сервисов сайта из контура разработки. Предположительно использовалась панель администратора CMS Битрикс.

2023-05-20 18:56 – публикация украденных данных на ресурсе TLB с последующими репостами в публичных информационных каналах. Опубликованные данные содержат признаки порционной передачи данных с WEB-сервисов сайта из тестового контура разработки.

На основании приведенной последовательности событий сделан вывод о том, что угроза ИБ (утечка ПДн пользователей сайта www.infotecs.ru) была реализована посредством ИТ-инфраструктуры Подрядчика.

Компания «ИнфоТеКС» уведомила Подрядчика о результатах проведенного расследования, об угрозах применения описанного нештатного для CMS Битрикс механизма авторизации и предложила свою помощь в продолжении расследования уже на ресурсах Подрядчика с целью установления последовательности действий злоумышленников по эксплуатации их инфраструктуры.

По результатам расследования ИТ-службе ГК «ИнфоТеКС» предписаны меры повышения уровня информационной безопасности публичных ресурсов компании, включая требования по обязательному контролю на НДВ исполняемого и разрабатываемого кода сайтов ГК и ужесточению политики доступа к системам управления сайтами.

В настоящее время ведется работа по санации БДП сайта www.infotecs.ru. Запуск личного кабинета пользователей сайта infotecs.ru запланирован на 15 июня 2023.

Всем пользователям сайта www.infotecs.ru, использовавшим при регистрации на сайте тот же логин и пароль, что и для доступа к другим информационным ресурсам и сервисам, рекомендуется незамедлительно сменить пароль доступа к данным ресурсам.

Другие публикации

Все публикации
Новости
24 Июл 2024
В МЭИ подготовили специалистов по разработке защищенных интеллектуальных систем учета электроэнергии
#Компания
Новости
23 Июл 2024
ГК «ИнфоТеКС» вошла в ТОП-50 крупнейших ИТ-компаний России по версии CNews
#Компания #Группа компаний
Новости
18 Июл 2024
ИнфоТеКС в ТОП-5 крупнейших ИТ-компаний в области разработки ПО
#Компания #Группа компаний
Новости
15 Июл 2024
Новости стандартизации в отрасли обеспечения информационной безопасности финансовых операций
#Технологии и стандартизация в ИБ
Все публикации
Заказать обратный звонок
Наш менеджер свяжется с вами в течение рабочего дня
Нажимая на кнопку «Отправить», я даю своё согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определённых Политикой АО «ИнфоТеКС» в отношении обработки персональных данных.