Известную ИТ-компанию взломали. Возможно, она сокращает команду и поэтому тоже
По словам источника, история повлияла на финансовое положение компании.
По словам источника, история повлияла на финансовое положение компании.
На просьбу dev.by к ИТ-сообществу рассказать о таких кейсах откликнулся экс-сотрудник компании «Софтек».
По его словам, осенью 2022 года хакеры создали тикет в Jira и добавили в него всех сотрудников — так те узнали о взломе и требовании выкупа.
— Взломали через уязвимость в Confluence. По словам СЕО, делом занималось ФБР, — рассказал экс-сотрудник. — Несколько дней сервисы компании были парализованы. Но так как взлом произошёл в пятницу вечером, на [текущую] работу сильно не повлияло.
В уведомлении не было никаких названий — только почта, по которой со взломщиками надо связаться, и пара ссылок на примеры, что за данные они украли.
Заказчикам о взломе сообщила сама компания. Какие данные и чьи утекли, нам не раскрывали, но известно, что в их числе почти все крупные клиенты. Какой выкуп требовали и как в итоге решили вопрос, тоже не раскрывали. Но репутацию это подпортило.
Из-за этого случая ушли некоторые заказчики и появились трудности с привлечением новых, увеличились расходы на безопасность (новое ПО и лицензии, наём новых безопасников). Наравне с расходами на релокацию сотрудников из РБ этот инцидент, по словам руководства, стал одной из причин сокращения штата весной этого года.
Теперь на ресурсы компании можно попасть только через новый VPN, всем на девайсы (личные и корпоративные) установили ПО, которое в реальном времени отслеживает угрозы и подозрительную активность. Его функционал шире, чем у антивируса, он отслеживает всю активность, поэтому у сотрудников есть к нему вопросы. Но заверяют, что личную информацию ПО компании не передаёт.
К учётным записям привязали Google Authenticator, телефон (теперь обязательно). Более частыми стали смены паролей.
«Софтек» основана в 1997 году. Штаб-квартира компании находится в Хьюстоне, штат Техас. В 2008 году в Минске был открыт центр разработки — «Софтек Девелопмент». С июля 2009 года компания являлась резидентом ПВТ. Входила в топ-50 компаний по размеру штата.
После 24.02 компания запустила процесс релокации. Одним из вариантов для переезда стала Литва. По данным rekvizitai.vz.lt, за прошлый и этот год штат литовского офиса вырос с 30 до 130+ сотрудников.
В марте этого года «Софтек» объявила о сокращении 60 сотрудников по всему миру, в том числе в Литве. Это часть «стратегической перестройки компании», объяснило руководство сотрудникам. По данным dev.by, это порядка 15% штата.
В апреле стало известно о намерении компании уйти из Беларуси. Сейчас юрлицо в Беларуси находится в ликвидации.
Немного теории о взломах
Экс-сотрудник «Софтек» НЕ знает, была ли эта атака хакерской группировки Sneaking Leprechaun или какой-то другой — злоумышленники не подписывались.
В компании отказались комментировать кейс, сославшись на кофиденциальность.
Мы спросили специалиста по вредоносному ПО, как безопасники выделяют хакеров в отдельные группировки, что делают компании, узнав о взломе, и как защититься.
Часто секьюрити-организации сами придумывают имя какой-либо атаке. Взломщики не подписываются, но при исследовании взломов двух разных организаций всегда можно понять, один атакующий или разные. По используемым эксплоитам, утилитам, malware-коду. По техникам и тактикам движения по сети, способу взаимодействия с жертвой, по используемым IP при атаке и эксфильтрации данных организации.
Судя по статье на habr.com, количество жертв и их географию bi.zone узнали, получив доступ к управляющему серверу злоумышленников. Там они и увидели список заражённых серверов.
Гарантий жертве никто не даёт. Всё — по договорённости между жертвой и атакующим.
Обычно злоумышленники требуют оплату в криптовалюте. Суммы разные — зависят от «оценочной стоимости» украденных данных и потенциального урона. Иногда жертвы действительно платят. Давно процветает бизнес с использованием шифровальщиков: шифруют данные, до которых могут дотянуться, и требуют выкуп за возможность расшифровать.
Обычно советуют не платить. Но жертва сама решает, насколько критичны украденные данные и какой ущерб причинит их слив. Многое зависит от того, кого касаются украденные данные, — самой организации или её клиентов.
Обычно пострадавшие обращаются в секьюрити-компанию, чьими услугами они пользуются, за Incident response. Либо самостоятельно ищут тех, кто сможет провести расследование. Крупные компании имеют своих специалистов по ИБ, но также могут обращаться в компании, предоставляющие услуги по защите сети.
Но в любом случае компания не сообщает IR-команде, как она урегулирует утечку данных со своими заказчиками.
Исключить возможность взлома невозможно, но можно сделать так, чтобы стоимость взлома была выше полученной выгоды. Для этого требуется грамотная работа организации в области обеспечения безопасности сетевой инфраструктуры.
Обновление сервисов, подверженных атакам, грамотная защита серверов и рабочих станцией, разделение сетей и прав доступа у пользователей. По этой теме много публикаций.
Крупные организации могут позволить специализированный софт, штат специалистов по безопасности или сервисы вроде MDR - передачи анализа событий в сетевой инфраструктуре сторонней организации.
Обеспечение ИБ требует денег. Поэтому в наших реалиях взломать банк куда сложнее, чем какой-нибудь государственный ресурс.
dev.by, как и другим честным медиа, сегодня очень сложно: редакция работает за пределами страны, а наши рекламные доходы сократились в несколько раз. Но мы справляемся — с вашей помощью. Это вы делитесь с нами инфоповодами, мнениями, опытом, временем и вниманием. А 210 читателей поддерживают нас донатами.
В 2023 году мы хотим собрать 1000 читателей-подписчиков.
Помочь нам можно через Patreon.
И ещё криптой, тут кошельки.
Спасибо, что прочитали это сообщение.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
надо было выбирать бренды ОАЦ и биклауд с битриксом
Слишком жирно
вот это верное предложение, с таким гуаном ни одна хакерская группировка связываться не будет, себе же дороже
Комментарий скрыт за нарушение правил комментирования.
[censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement]
надо таблетки ,что б тебе прописали более сильнодействующие .
Так джира / конфлуенс всегда были Овер-дырявыми и вообще нечего свои джира логин страницы в интернет выставлять было. Для доступа к корп ресурсам придумали впн не просто так.
7 мес назад логи Пейджа джиры был доступен: https://sur.ly/i/jira.softeq.com/
Штаб квартира кучерявых бла-бла Техас: 11 продавцов и 7 разрабов – это типичная шарашка, не представляющая никакой ценности ни для кого кроме бедолаг, которые работают сверхурочно ради блага кучерявых господ.
с каждым днем все радостнее жить. вот [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement], и тогда заживем
Пользователь отредактировал комментарий 30 мая 2023, 21:06
странно, девбай зацензорил цитату из фильма про василия ивановича чапаева о том, когда наступит хорошая жизнь
так он же утонул
я слышал в еду сыплют и потом люди внезапно спать хотят
когда плавают или едут например куда-то то есть в. нужное время
мне как-то тоже сыпнули коллеги твои
затрымалі дырэктара маркетынгавага агенцтва Gusarov Андрэя Гусарава
а чем он в ИТ известен?
а ты чем известен кроме как тут сидеть [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] писать.
Для полубогов давно пора делать "Skin in the Game".
Стейкнул премию в вестинг, через год получишь, если не взломают.
Или в Bug Bounty critical vulnerability не найдут.
Возможно и бизнес KPI надо до уровня земли спускать.
Пользователь отредактировал комментарий 31 мая 2023, 14:57
Издержки стремительного развития информационных технологий. Чем больше программного обеспечения используется, тем выше риск взлома. Интересна судьба безопасников компании. Уволили или взяли дополнительных?
ty budesh smejatsia, no v tom IT otdele im dazhe povysili zarplatu)))
Повысили :)
А если я, например, не покажу свой ВНЖ, не разрешу сканировать? Он же не нужен для въезда в Беларусь — у меня есть паспорт.
— У пограничников есть права истребовать с лиц, пересекающих государственную границу, дополнительные документы, которые имеются для пересечения государственной границы. Это могут быть и права, и временный вид на жительство. И если же будет интерес к человеку, который пересекает границу, увидеть [его] ВНЖ, и мы знаем, что он у него есть, — значит, будут либо сотрудники РОВД вызваны, либо дополнительные мероприятия на выявление — личный досмотр и тому подобное. То есть смотрите сами. Вы же не на рынке, правильно? На государственной границе, где проводится ряд мероприятий в отношении лиц.
Документами Госпогранкомитета прописано, что пограничники могут истребовать дополнительные документы. А за отказ от действия законного представителя есть ответственность.
доставят до РОВД а там уже [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] будешь кричать и руками махать
Мне вообще тут кажется всё просто. [censored - П. 4.1.2. Пользовательского соглашения — https://dev.by/pages/agreement] очередной указа в котором обязал всех граждан в добравольно принудительном порядке предоставить ВНЖ и прочие документы других стран. Видно очередь желающих не выстраилась вот они и начали таким методом делать. Теперь всё законно в стране не до законов.
а есть идеи для чего им? Неужели будут считать родственников того кто получил ВНЖ неблагонадежными и их увольнять?
Давить через родственников будут.
тяжелая ситуация, непонятно кто слил на девбай. Руководсвту терпения
admitad следующий?
тоже джиру с торентов скачали?
а кейген чей? хотя наверное на сервере дату перевести нужно
тогда заодно и ссл работать перестанет