ГУП «Центр кибербезопасности» сообщило, что в ходе мониторинга интернета 18 октября была выявлена база учётных записей пользователей различных информационных ресурсов по всему миру, в том числе из Узбекистана.
В сообщении говорится, что при изучении опубликованной в Telegram базы данных установлено более 200 тысяч учётных записей, большая часть которых является актуальной и представляет угрозу кибербезопасности информационных систем и ресурсов государственных органов и других организаций. Среди обнаруженных данных — аутентификационная информация к системе OneID, Агентства по оценке знаний и квалификаций, ряда других госорганов, образовательных учреждений, поисковых и платёжных систем.
Ряд информационных каналов и СМИ поспешили сообщить о масштабном «сливе» и взломах. Однако из сообщения Центра кибербезопасности это не следует. Центр отметил, что подобные утечки данных пользователей могут произойти по причинам слабой парольной политики (установка угадываемых паролей, их повторное использование), использования нелицензионного или устаревшего программного обеспечения, а также заражения устройств вредоносными программами типа мобильных троянов или стилеров.
Администрация Единого портала интерактивных государственных услуг, который использует OneID, заявила, что никаких атак на систему не было, как не было и каких-либо сбоев в её работе. «С большой вероятностью проблема связана с заражением вирусами компьютеров пользователей», — отмечается в сообщении.
Администрация портала рекомендовала уделять особое внимание безопасности данных и не сохранять логины и пароли в браузерах. Кроме того, пользователям посоветовали время от времени менять пароль для доступа к OneIDи выбирать сложные пароли.
Агентство по оценке знаний также опровергло какие-либо взломы своих систем или баз данных. 73% (3438) данных пользователей, появившихся в интернете, не зарегистрированы в системах агентства, а оставшиеся 1250 не являются активными пользователями, и их пароли непригодны.
Что произошло на самом деле?
Директор компании ONESEC Дмитрий Палеев, к которому «Газета.uz» обратилась за комментарием, подчеркнул, что речи о каких-либо взломах или компрометации интернет-ресурсов нет.
«Как компания, занимающаяся информационной безопасностью уже более 18 лет, мы не понаслышке знаем о подобных случаях. Утечки происходят практически ежедневно. Взламывают ресурсы, сливают персональные и платёжные данные пользователей, компрометируют учётные записи, такие как логины и пароли, адреса электронной почты, номера телефонов, персональные данные, номера кредитных карт и многое другое. Всё это рано или поздно появляется на подпольных хакерских площадках (даркнет) в продаже либо в свободном доступе. В данном же случае ситуация немного другая», — сказал он.
«В даркнете существуют так называемые „облака логов“, где хакеры продают к ним доступ, либо просто выкладывают в открытый доступ для запутывания своих следов. Ведь чем больше людей их загрузят и начнут использовать полученную информацию, тем сложнее будет правоохранительным органам вычислить реальных виновников несанкционированного доступа к информационным ресурсам и устройствам пользователей», — отметил Дмитрий Палеев.
«Что такое „облако логов“? Логи на хакерском жаргоне — это полученные несанкционированным способом данные с пользовательских устройств (персональные компьютеры, ноутбуки, мобильные телефоны). Это происходит благодаря заражению этих устройств вредоносным программным обеспечением — стилерами. Заражение происходит во время открытия файлов, содержащих вредоносный код, которые открывает и запускает сам пользователь», — пояснил он.
Хакерские технологии на сегодняшний день могут обходить большинство защит и антивирусных продуктов, поэтому даже при наличии антивируса пользователь может заразить своё устройство стилером. После этого все пароли (сохранённые в браузерах, различных интернет-клиентах, мессенджерах
«Современные стилеры содержат в себе ещё и кейлоггеры, которые записывают и перехватывают все нажатия на клавиатуре, делают снимки экранов, записывают видео с камеры и звук с микрофона, осуществляют поиск по файлам и отправляют всё это операторам для дальнейшего анализа и несанкционированного использования», — отметил глава компании.
Обнаруженная в Telegram открытая группа как раз и была таким своеобразным «облаком логов», где в свободном доступе все желающие могли загрузить похищенные стилерами аутентификационные данные разных вебсайтов и информационных систем. После их изучения были выявлены и ресурсы в доменной зоне UZ, сообщил он.
Что делать?
«Пользователи, чьи данные обнаружены в этих базах, должны задуматься о безопасности своих устройств и обязательно их „вылечить“ — удалить вредоносное программное обеспечение. Потому что при наличии стилера смена паролей не поможет обеспечить безопасность персональных данных. Новые пароли также через некоторое время могут попасть в руки злоумышленников», — отметил Дмитрий Палеев.
«Ни в коем случае не открывайте и не запускайте вложения в электронной почте от незнакомых отправителей, не открывайте файлы, присланные в мессенджерах, не устанавливайте программы из источников, которым вы не доверяете. Ваша безопасность — в ваших руках. Всегда думайте о последствиях и о том, что ваши данные могут оказаться в следующих утечках и ими могут воспользоваться в корыстных целях», — посоветовал эксперт.
Рекомендации Центра кибербезопасности:
Всегда устанавливать надёжный пароль, который должен быть не менее 8 символов и включать заглавные и строчные буквы, цифры и специальные символы (например, @,#,$,%,&
Настройте двухэтапную однофакторную или многофакторную аутентификацию.
Не используйте одни и те же учётные данные для регистрации на различных вебсайтах, а также не применяйте бесплатные менеджеры паролей и не сохраняйте пароли в браузерах.
Используйте исключительно лицензионные операционные системы, программное обеспечение и антивирусы, а также регулярно обновляйте их.
Не переходите по подозрительным ссылкам и не скачивайте неизвестное программное обеспечение. В организации для всех сотрудников необходимо проводить регулярные тренинги по соблюдению кибергигиены.
При открытии веб-страниц до ввода персональных данных или логина и пароля обратите внимание на адрес страницы. Убедитесь, что эта веб-страница является официальной и не содержит подозрительных символов.
