Группировка ShinyHunters заявила о взломе нидерландского телеком-провайдера Odido и краже миллионов записей пользователей. Компания подтвердила утечку личных данных 6,2 млн клиентов, но отрицает компрометацию паролей и биллинговой информации. — bleepingcomputer.com
Группировка вымогателей ShinyHunters взяла на себя ответственность за взлом нидерландского телекоммуникационного провайдера Odido и кражу миллионов записей пользователей из скомпрометированных систем компании.
Odido является одной из крупнейших телекоммуникационных компаний в Нидерландах, предоставляющей услуги мобильной связи, широкополосного доступа и телевидения миллионам абонентов по всей стране.
Компания сообщила об утечке 12 февраля, раскрыв, что злоумышленники загрузили личные данные многих ее пользователей после получения доступа к системе контактов с клиентами 7 февраля. Однако Odido добавила, что в ходе инцидента не были скомпрометированы пароли от Mijn Odido, данные о звонках, местоположении, биллинговые данные или сканы удостоверений личности.
По данным телекоммуникационной фирмы, раскрытая информация различается для каждого клиента и может включать комбинацию полного имени, адреса и города проживания, номера мобильного телефона, клиентского номера, адреса электронной почты, IBAN (номера банковского счета), даты рождения и некоторых идентификационных данных (номера паспорта или водительского удостоверения и срока их действия).
Тогда же компания сообщила местным СМИ, что утечка данных затронула 6,2 миллиона клиентов, а злоумышленники связались с ними, заявив, что украли миллионы записей пользователей.
Обнаружив инцидент, Odido уведомила об утечке Управление по защите данных Нидерландов, заблокировала доступ злоумышленников к своим системам и наняла внешних экспертов по кибербезопасности для содействия в реагировании на инцидент и его смягчении.
Представитель Odido не предоставил дополнительной информации об инциденте, когда его спросили о том, какая именно группировка стоит за атакой и требовали ли они выкуп, сославшись на «продолжающиеся расследования».
Хотя Odido еще не назвала виновника атаки, вымогательская группировка ShinyHunters добавила компанию в свой даркнет-сайт с утечками, утверждая, что они украли почти 21 миллион записей, содержащих данные, которые компания уже раскрыла как скомпрометированные в результате утечки.
В понедельник ShinyHunters также заявили BleepingComputer, что украденные данные содержат внутренние корпоративные данные и пароли в открытом виде.
«Это последнее предупреждение: вернитесь в наш чат и закончите то, что мы задумали, прежде чем мы опубликуем данные вместе с рядом досадных (цифровых) проблем, которые обрушатся на вас», — заявляет вымогательская группировка на сайте утечек. — «Примите правильное решение, не станьте следующим заголовком. Вы знаете, где нас найти».
Однако представитель Odido опроверг их заявления в заявлении для BleepingComputer, вновь подчеркнув, что «никакие пароли, данные о звонках, номера социального страхования или биллинговые данные не затронуты».
За последние недели ShinyHunters взяли на себя ответственность за волну других нарушений безопасности, включая Panera Bread, Betterment, SoundCloud, Canada Goose, PornHub и гиганта онлайн-знакомств Match Group (владеющей платформами Tinder, Hinge, Meetic, Match.com и OkCupid).
Системы некоторых их жертв были скомпрометированы в результате атак голосового фишинга (vishing), направленных на учетные записи единого входа (SSO) в Google, Microsoft и Okta, в ходе которых злоумышленники звонят сотрудникам, выдавая себя за сотрудников IT-поддержки, и обманом заставляют их вводить учетные данные и коды многофакторной аутентификации (MFA) на фишинговых сайтах, имитирующих порталы входа в систему их компаний.
Как впервые сообщила BleepingComputer, группа ShinyHunters также недавно начала применять vishing с использованием кодов устройств, злоупотребляя потоком авторизации устройств OAuth 2.0 для получения токенов аутентификации Microsoft Entra.
После кражи учетных данных и кодов аутентификации своих целей злоумышленники захватывают учетные записи SSO жертв для взлома подключенных корпоративных сервисов, таких как Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox и многих других.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan