Около 3000 рабочих UniCredit выставили на продажу после взлома
19 апреля пользователь хакерского форума, скрывавшийся за прозвищем c0C0linoz, предложил к продаже личную и служебную информацию сотрудников UniCredit. UniCredit является крупнейшим банком в Италии и одним из крупнейших финансовых институтов в Европе. Он имеет около 100 тысяч сотрудников, а также филиалы в ряде стран. Многих интересовало, что именно было выставлено на продажу, и исследователи из Cyble, а также сотрудники подразделения Telecom Italia по имени Telsy решили взглянуть.
Table of Contents
Что было украдено?
Согласно сообщению c0c0linoz, начинающие киберпреступники, у которых в кармане есть деньги, могут покупать имена сотрудников UniCredit, адреса электронной почты, номера телефонов и зашифрованные пароли. С технической точки зрения было доступно не так много, но продавец указал, что данные были датированы "концом 2018-2019", и после проверки образцов записей c0c0linoz, размещенных на хакерском форуме, исследователи Telsy пришли к выводу, что информация аутентичный.
Откуда это было украдено?
Очевидно, что нарушение в таком крупном финансовом учреждении может иметь огромные последствия не только для сотрудников, но и для клиентов. Узнав об этой истории, Bloomberg связался с банком и сообщил, что системы UniCredit не были взломаны. Вместо этого атака была направлена на платформу для подбора персонала, разработанную и управляемую румынской компанией.
Расследование Тэлси выявило несколько аккаунтов на других хакерских форумах, которые, вероятно, связаны с c0c0linoz, и исследователи увидели, что данные рекламировались несколько раз. В некоторых объявлениях упоминалось, что данные поступают из Румынии, но остается неясным, находятся ли пострадавшие сотрудники только в восточноевропейской стране или они разбросаны по всему континенту.
Сколько стоят данные?
Факты свидетельствуют о том, что сторонняя HR-платформа была взломана с помощью SQL-инъекции. Инъекции SQL находятся в нижней части спектра, когда дело доходит до сложности. Это далеко не самая сложная атака, но факт остается фактом: тот, кто это сделал, хочет немалых денег.
Число пострадавших сотрудников составляет около 3 тысяч, и киберпреступники, которые хотят получить список своих имен, могут получить его за 1 тысячу долларов. Тем не менее, те, кто хочет иметь полную базу данных вместе со всеми деталями, должны заплатить 10 тысяч долларов.
Алгоритм шифрования, используемый для шифрования паролей затронутых рабочих, неизвестен, а это означает, что трудно сказать, какой риск представляют данные. Однако, если получение учетных данных в виде открытого текста не является тривиальным, суммы, размещенные в объявлении, могут вывести c0c0linoz из рынка. Надеюсь, это именно то, что должно произойти, но UniCredit должен быть готов снизить риск, если этого не произойдет.