На этой неделе все профильные СМИ следили за разворачивающейся кампанией хакеров из группировки NLB, пообещавших во вторник выложить в открытый доступ данные 12 крупных российских компаний и последовательно выполнявших свою угрозу в течение нескольких дней.
Первыми во вторник 6 июня появились данные 7,8 млн клиентов торговой сети «Ашан», более 700 тыс. строк с информацией о пользователях сети товаров для дома, дачи и ремонта «Твой Дом» и 3,16 млн клиентов торговой сети «Глория Джинс». В выложенных дампах содержались клиентские данные, начиная с ФИО и заканчивая номерами скидочных карт и хэшированными паролями. Все три компании подтвердили факты утечек и объявили о расследовании произошедших инцидентов.
На следующий день эта же группировка обнародовала данные клиентов магазинов товаров для сна «Аскона» и книжного интернет-магазина book24.ru. Опубликованные дампы содержали от 2 до 4 млн строк. Данные «Асконы» актуальны на 20 апреля 2023 года, «Book24» — на 29 мая 2023 года.
8 июня были выложены данные еще четырех компаний. Первым сегодня стал частичный дамп с информацией о зарегистрированных пользователях книжного интернет-магазина «Буквоед» (bookvoed.ru). В открытый доступ были выложены два текстовых файла. Суммарно в них насчитывается 5 419 806 уникальных логинов, 2,58 млн уникальных почтовых адресов и 2,7 млн уникальных номеров телефонов. Второй «слив» представлял собой фрагмент SQL-дампа базы данных кулинарного сайта Юлии Высоцкой «Едим Дома» (edimdoma.ru). Во фрагменте таблицы содержатся данные 535 341 зарегистрированных пользователей сайта.
Также в открытом доступе опубликованы два файла (main.csv и market.csv) объемом около 500 МБ, содержащие фрагменты таблиц зарегистрированных пользователей сайта интернет-магазина «Леруа Мерлен» (leroymerlin.ru). Суммарно в файлах найдено 4,7 млн уникальных почтовых адресов и 3,2 млн уникальных номеров телефонов.
Четвертой утечкой стал частичный SQL-дамп, содержащий фрагмент таблицы зарегистрированных пользователей интернет-магазина одежды «ТВОЕ» (tvoe.ru), содержащий 2 268 634 строк.
И, наконец, 9 июня эксперты обнаружили в свободном доступе базу данных 9,8 млн клиентов интернет-магазина «Читай-город» (chitai-gorod.ru), а также информацию о пользователях книжного портала «Эксмо» (сайт eksmo.ru, размер утечки 452 тыс. строк) и издательства «АСТ» (ast.ru, 87 тыс. строк). и горного курорта «Роза Хутор» (rosaski.com, 522,942 строки). Кроме адресов эл. почты и номеров телефонов, файлы содержали имена и хешированные пароли.
Отметим, что в общем итоге за неделю были выложены данные 13 компаний вместо обещанных 12 злоумышленниками.
В экспертном сообществе появилось мнение, что злоумышленники могли получить доступ через попавшие в открытый доступ веб-серверы системы управления контентом веб-проекта (CMS) от «1С‑Битрикс». Однако в пресс-службе компании заявили, что «Веб-проекты «Буквоед» , «Едим дома» , «Леруа Мерлен» , «Ашан», Gloria Jeans не работают на CMS «1С-Битрикс».
В то же время в «1С‑Битрикс» подтвердили, что работают с «Твой дом», «Твое», «Аскона» и Book24. Компания напомнила о необходимости оперативной установки обновлений.
«Разработчики „1С‑Битрикс“ оперативно подготовили бесплатные обновления больше года назад. Все уязвимости были исправлены. А пользователи проинформированы. К сожалению, большинство компаний игнорируют эту информацию», — подчеркнули в пресс‑службе.
С заботой о вашей безопасности, команда Origin Security
