Wildberries подвергся масштабной атаке
Онлайн-магазин Wildberries не работает уже третьи сутки — пользователи наблюдают проблемы с сайтом, приложением и отслеживанием заказов. В компании трудности объясняют техническим сбоем, но опрошенные «Коммерсантом» эксперты убеждены, что маркетплейс стал жертвой атаки вируса-шифровальщика, к которой могли быть причастны сотрудники.
По данным Downdetector, утром 16 марта число жалоб на трудности с доступом к Wildberries превышало 1500. Всего платформа насчитывает 113 млн пользователей в месяц.
В самой компании сказали, что дело в технических ошибках и что её ИТ-специалисты продолжают устранять их — ко вчерашнему дню было исправлено более 70% ошибок, а заказы выдаются покупателям. Там подчеркнули со ссылкой на Downdetector, что проблем в работе приложений и сайта к 15 марта было в 4 раза меньше по сравнению с 14 марта, и настаивают, что персональная и финансовая информация клиентов в сохранности.
Тем не менее издание Antilocker сообщает, что магазин мог пострадать от рук хакерской группировки OldGremlin и атаки вирусом-шифровальщиком. Собеседник «Коммерсанта» на рынке кибербезопасности подтвердил, что Wildberries была взломана с шифровальщиком, а точки входа были скомпрометированы больше года назад.
«Wildberries взломали русские хакеры и уничтожили почти всю инфраструктуру, включая резервные копии. Данные зашифрованы», — пишет автор Telegram-канала «Запуск завтра» и экс-техдиректор «Медузы», Bookmate и других компаний Самат Галимов. По его мнению, взлом был совершен изнутри, поскольку компания относилась к защите довольно серьёзно.
Один из собеседников «Коммерсанта» утверждает, что, судя по нанесённому ущербу, атака была целевой. «Сейчас основная проблема в том, что потребуется много ресурсов для восстановления всех сервисов, и когда они вернутся к нормальной работе, неизвестно», — заявил эксперт.
Точкой входа для атаки могли быть фишинговые письма с вредоносными вложениями или уязвимый сервис (например, устаревший Exchange или GitLab), считают в центре мониторинга кибербезопасности «Информзащиты» IZ:SOC. Там полагают, что Wildberries не пользовалась услугами центров мониторинга кибербезопасности, которые позволяют выявить такие атаки на ранних этапах, что «удивительно для компании такого масштаба». В Wildberries «Коммерсанту» не стали отвечать на вопрос о центрах, сославшись на коммерческую тайну.
Если масштабы взлома подтвердятся, он может стать одним из крупнейших за последнее время. С учётом нынешнего ажиотажа с покупками и небольшого выбора альтернативных маркетплейсов, Wildberries вряд ли ждёт отток пользователей, добавили в IZ:SOC, но их доверие к площадке, вероятно, снизится.
ИБ-специалисты из Angara Security говорят, что компании такого размера, как Wildberries, и с настолько разветвлённой инфраструктурой нечасто подвергаются атакам, тем более успешным, и если её действительно взломали, под угрозой могут быть персональные данные покупателей, включая платёжную информацию. Клиентам Wildberries рекомендуют снять отметку «оплачивать покупки онлайн без подтверждения по смс» с привязанной карты в мобильном приложении, чтобы предотвратить кражу денег. Российский сервис доставки СДЭК в письме к сотрудникам 15 марта вообще посоветовал вывести средства, заблокировать и перевыпустить привязанную к маркетплейсу карту.
Читать на dev.by