В открытом доступе оказались данные сотен российских компаний

Об этом сообщает "КоммерсантЪ" со ссылкой на данные Infosecurity a Softline company. В публичном доступе оказались данные нескольких сотен крупных и тысяч небольших российских компаний и объем этих данных продолжает расти, говорят эксперты компании.

В России досками Trello пользуется в основном малый и средний бизнес, встречаются и представители крупных организаций, в том числе банков, говорят в Infosecurity.

Это иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании»,— отмечает гендиректор infosecurity Кирилл Солодовников.

По итогам 2020 году ущерб от утечек превысил 3 млрд руб.

Организации размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов. Так, сейчас по тематическим запросам в поисковых системах находится более 9 тыс. досок с упоминаниями логинов и паролей, говорят в Infosecurity. «Обычно несложно определить, из какой организации утекли сведения. Ее наименование нередко фигурирует либо в названии самой доски, либо в описании задач»,— отмечают эксперты.

Инструмент используют и киберкриминальные группировки, которые координируют в них свою работу, добавляет заместитель руководителя центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков. Например, обнаружены доски, принадлежащие участникам преступной группы, действующей по сценарию «русские невесты», то есть обманывающей доверчивых иностранцев, желающих познакомиться с молодыми красавицами, добавляют в Infosecurity.

Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, утверждают эксперты.

Злоумышленники могут использовать данные из досок, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов, волна которых отмечалась прошлой осенью, рассказывают Infosecurity.

Но у компаний, данные сотрудников и клиентов которых оказались публично доступны, могут быть и более серьезные проблемы, отмечают эксперты. «Подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону "О персональных данных"»,— поясняют в Infosecurity. За нарушение закона компаниям грозят штрафы. В феврале Госдума приняла законопроект об их увеличении, теперь для юридических лиц штрафы составляют 60–100 тыс. руб.

Сергей Новиков рекомендует компаниям перейти на платные онлайн-менеджеры проектов либо не размещать в Trello конфиденциальную корпоративную информацию. По словам ведущего эксперта по информационной безопасности IT-компании «Крок» Александра Черныхова, правила по безопасности крупных компаний уже включают «вполне конкретные указания по приватности в подобных приложениях».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!