Хакер, опубликовавший ранее данные клиентов сервисов «Сбера», выложил клиентские базы гипермаркетов «Ашан» и «Твой дом», а также сети Gloria Jeans, содержащие имена, номера телефонов и адреса доставки товаров. Исследователи считают, что точкой входа для злоумышленника могла стать уязвимость в системе для создания веб-проектов от разработчика «1C-Битрикс», которая в конце мая подверглась массированной кибератаке. При этом эксперты подчеркивают, что вендор может быть ни при чем: обновление для закрытия уязвимости доступно с прошлого года, но далеко не все клиенты его установили.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
В сети начали распространяться базы данных клиентов гипермаркетов «Ашан», «Твой дом» (товары для ремонта и декора, входит в Crocus Group), а также фешен-ритейлера Gloria Jeans, обнаружили исследователи сервиса разведки утечек данных и мониторинга даркнета DLBI. Данные «Ашана» и Gloria Jeans представлены в текстовых файлах (7,8 млн и 3 млн строк соответственно), данные «Твоего дома» выложены в виде дампа таблицы пользователей (более 713 тыс. строк) из системы управления сайтами (CMS) «1C-Битрикс».
В базе клиентов «Ашана» и Gloria Jeans приводятся имя и фамилия, номер телефона, адрес электронной почты и адреса доставки и самовывоза товаров. В базе ритейлера «Твой дом» практически тот же набор данных, но без фактических адресов пользователей.
Служба безопасности «Ашана» подтвердила утечку и сообщила, что проводит внутреннее расследование с целью «установления вектора атаки и источника». В Gloria Jeans проверяют, принадлежат ли данные покупателям. В Crocus Group не ответили “Ъ”.
Опубликовал данные тот же злоумышленник, что выкладывал данные пользователей сервисов «Сбера» (бонусной программы «СберСпасибо», «СберПраво» и т. д., см. “Ъ” от 9 марта), говорят в DLBI. «База опубликована в принадлежащем взломщику Telegram-канале, данные открыты для публичного доступа, что свидетельствует об их бесполезности для самого хакера»,— пояснил “Ъ” основатель DLBI Ашот Оганесян. В своих угрозах хакер пишет, что всего будут опубликованы базы данных 12 крупных компаний, пока известно о девяти жертвах.
В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс» — как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или ему самому. По данным сайта «1С-Битрикс», гипермаркет «Твой дом» есть в числе компаний, создавших корпоративный сайт на платформе.
Исследователи не стали утверждать, что «1С-Битрикс» стала точкой входа в случае с «Ашаном», поскольку утечка выложена в другом формате. Но “Ъ” обнаружил на сайте разработчика, что его услугами пользовался благотворительный проект ритейлера «Поколение АШАН». Всего у «1С-Битрикс» более 180 тыс. веб-проектов. В самой компании “Ъ” не ответили.
Судя по датам в утекших базах, взлом произошел в мае, говорит руководитель отдела исследования киберугроз экспертного центра Positive Technologies Денис Кувшинов: «При условии что такие крупные базы выложены одновременно и последние даты обновлений совпадают, можно предполагать, что компании взломали в одно и то же время и по одному сценарию». При этом 26 мая по всей России сайты, работающие на устаревшей версии CMS «1C-Битрикс», содержащей уязвимости, подверглись массированной атаке, в результате которой было выведено из строя несколько тысяч ресурсов, отмечает господин Кувшинов.
В большинстве обсуждаемых сейчас взломов используются уязвимости CMS, обновления для которых существуют еще с марта 2022 года, подчеркивает гендиректор Cyberok Сергей Гордейчик: «Но более чем за год владельцы информационных ресурсов на основе "1С-Битрикс" не установили обновления. Это говорит о низком уровне кибербезопасности в организациях, и не стоит винить во всем вендора».
После выхода материала в пресс-службе «1С-Битрикс» сообщили, что одна из частых причин инцидентов с кибербезопасностью компаний — отсутствие плановых регулярных обновлений всей критической инфраструктуры веб-проекта: «Мы устранили все уязвимости несколько месяцев назад. Бесплатные обновления были выпущены, а компании-клиенты - проинформированы».