1. Гостеприимство
В одну из тюрем Южной Дакоты, США, в 2014 году пришла милая пожилая женщина, которая представилась медицинским инспектором. Сотрудникам она сказала, что должна проверить условия содержания заключенные и соблюдение санитарно-гигиенических норм в служебных помещениях.
Женщину встретили и провели по всем кабинетам, куда она требовала доступ. Охранников даже не смутила просьба пустить ее в Центр управления IT-системами и серверную (якобы, посмотреть, нет ли там плесени). При этом ей разрешили взять с собой телефон и делать фото, и, вдобавок, часто оставляли одну.
В результате Рита Стренд (так звали "инспектора") беспрепятственно собрала информацию обо всей инфраструктуре тюрьмы: точках доступа, ПК, физических мерах защиты. Она взломала все компьютеры, которые попались на пути, подключив к ним "резиновые уточки" (USB Rubber Ducky) для перехвата данных. Ей удалось добраться даже до Пк начальника тюрьмы, который сам (!) пригласил женщину в свой кабинет. На все про все у Риты ушло 45 минут.
Самое смешное, что у Риты Стренд абсолютно не было навыков хакера. Она всю жизнь проработала в общепите и в "шпионских" делах никогда не участвовала. А взломать систему безопасности тюрьмы вызвалась вместо сына, ИБ-эксперта Джона Стренда, который должен был устроить учреждению пентест. Это он снабдил ее "USB-утками" и всеми инструкциями, но сам не ожидал, что проникновение удастся так просто. Историей он поделился на профильной конференции 6 лет спустя, не раскрывая названия и расположения тюрьмы.
2. Tinder головного мозга
Героями этой истории стали сразу несколько десятков солдат израильской армии. Все они завели в сети приятные знакомства, а потом обнаружили, что сливают гостайну.
Инцидент получил огласку совсем недавно. Сообщалось, что с конца 2019 года в соцсетях и на сайтах знакомств солдатам стали активно писать девушки. Они с ходу были готовы делиться пикантными фото, правда, только в специальном защищенном приложении (а не то еще в сеть утекут!). Его и предлагали скачать по ссылке.
Те, кто поддался на уговоры, обнаруживали, что их смартфоны начинали вести себя странно. Активировалась передача данных, рос исходящий трафик, сами собой включались камера и диктофон. Скоро выяснилось, что "секретный чат" с фото- вредонос для удаленного управления телефоном, а "девушки"-хакеры. На протяжении нескольких месяцев они имели доступ к информации о местоположении пораженных устройств, фотографиям и контактам телефона.
Представители армии Израиля утверждают, что раскрыли схему почти сразу, но не реагировали, чтобы понаблюдать за ситуацией. И якобы никаких ценных данных к палестинским боевикам не утекло, потому что всех военных заранее предупредили об опасности.
3. Не вижу, значит, не было
В начале нынешнего года казахстанская ИБ-компания "Центр анализа и расследования кибератак" сообщила в СМИ, что обнаружила крупную утечку данных из информационной системы генпрокуратуры Республики Казахстан. В свободном доступе в сети оказались персональные данные всех граждан Казахстана и иностранцев, в отношении которых в республике когда-либо заводили административные дела. Все их штрафы, предупреждения, адреса проживания, фотографии нарушителей, номера и данные техпаспортов их автомобилей. Более того, доступ к информационной системе прокуратуры оказался открыт из Интернета, любой пользователь мог редактировать, удалять дела, заводить новые. Так как информационная система интегрирована со всеми сервисами электронного правительства страны, скомпрометированы могут быть внутренние данные любых госучреждений.
Исследователи отметили, что несколько раз связывались с ведомством, но так и не добились реакции. Даже после публичного раскрытии информации об уязвимости прокуратура Казахстана стоит на своем: "ничего подобного, данные недоступны в сети Интернет в открытом виде". Удивительное упрямство.