Процесор онлайн-платежів Checkout.com зазнав атаки на початку цього місяця з боку високопоставленої групи здирників ShinyHunters, яка стверджувала, що зламала сервер і вкрала дані, а тепер вимагає від лондонської компанії виплати викупу.
Керівництво Checkout.com повідомило, що компанія не буде платити викуп, а натомість пожертвує нерозголошену суму, яку вимагають, двом університетам для допомоги у фінансуванні їхніх досліджень кібербезпеки.
«Злочинці не будуть нас вимагати», — написав цього тижня технічний директор Checkout.com Маріано Альбера в дописі в блозі, описуючи напад і відповідь компанії. “Ми не будемо платити цей викуп. … Безпека, прозорість і довіра є основою нашої галузі. Ми визнаємо свої помилки, захищатимемо наших продавців і інвестуватимемо в боротьбу зі злочинцями, які загрожують нашій цифровій економіці”.
Швидке розкриття витоку даних і рішуча реакція компанії були позитивним кроком, але атака також послужила ще одним нагадуванням про ризики, пов’язані з корпоративними системами, які більше не використовуються, але не були належним чином виведені з експлуатації.
Застарілу систему сторонніх розробників зламано
За словами Albera, зловмисники ShinyHunters отримали доступ до застарілої сторонньої хмарної системи зберігання файлів, яка востаннє використовувалася Checkout.com у 2020 році для зберігання внутрішніх операційних документів і матеріалів для реєстрації торговців. Він сказав, що порушення вплине на менше чверті поточної торгової бази компанії, і що “інцидент не вплинув на нашу платформу обробки платежів. Зловмисники не мають і ніколи не мали доступу до торгових коштів або номерів карток”.
Тим не менш, технічний директор запропонував вину за інцидент, вказавши на неправильне виведення систем з експлуатації.
«Це була наша помилка, і ми беремо на себе повну відповідальність», — написав він. “Нам шкода. Ми шкодуємо, що цей інцидент викликав занепокоєння у наших партнерів і людей”.
Checkout.com визначає компанії, які постраждали, і зв’язується з ними. Він також співпрацює з правоохоронними та регуляторними органами. Гроші, які вимагали зловмисники, будуть направлені в Університет Карнегі-Меллона і Центр кібербезпеки Оксфордського університету.
Вимкніть стару, невикористану технологію
Кібератаки за участю старих систем, які були виведені з експлуатації або взагалі не виведені з експлуатації, не є чимось незвичайним. У 2021 році центр ДНК-тестування DNA Diagnostics Center (DDC) потрапив у заголовки газет, коли він постраждав від масового витоку даних, під час якого було викрадено здоров’я та особисту інформацію, зокрема імена, номери кредитних і дебетових карток і номери фінансових рахунків.
Серед систем, зламаних хакерами за допомогою інструменту Cobalt Strike, була база даних, успадкована компанією DDC, коли вона купила меншу компанію в 2012 році, і яка містила старіші резервні копії з 2004 по 2012 рік і не була пов’язана з активними системами або базами даних DDC. Наслідки порушення включали не тільки розголошення деяких даних, але й шкоду репутації компанії та її фінансам у вигляді штрафів, які їй довелося сплатити, за даними консалтингової компанії The TJC Group.
За словами Лори Паррі Ройо, директора з маркетингу The TJC Group, і Одрена Бутері, консультанта SAP консалтингової компанії, це був урок важливості управління такими застарілими системами.
«Виведення з експлуатації застарілої системи — одна зі сфер управління ІТ-інфраструктурою, якою зазвичай нехтують», — написали Ройо та Бутері минулого місяця. “Це не зовсім захоплюючий і передовий проект порівняно з іншими проектами, тому ця тенденція не дивує. Проте в сучасному світі, де рівень кіберзлочинності продовжує зростати в геометричній прогресії, це, мабуть, найдорожча помилка, яку може зробити технічний директор. Виведення з експлуатації застарілої системи є стратегічним питанням ІТ з багатьох причин”.