Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе, ссылаясь на Infosecurity a Softline company. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Почти миллион публичных досок сервиса Trello в настоящий момент индексируется поисковыми системами, причем тысячи из них содержат конфиденциальную информацию, отметили аналитики. В России досками Trello пользуется в основном малый и средний бизнес, встречаются и представители крупных организаций, в том числе банков, говорят в Infosecurity.
Это иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании, отметил гендиректор Infosecurity Кирилл Солодовников. Организации размещают на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов. Сейчас по тематическим запросам в поисковых системах находится более 9 тыс. досок с упоминаниями логинов и паролей, пояснили в Infosecurity. Данные из досок Trello уже оказывались в открытом доступе, но настолько масштабная утечка происходит впервые, утверждают эксперты.
Инструмент используют и киберкриминальные группировки, которые координируют в них свою работу, добавил заместитель руководителя центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков. Злоумышленники могут использовать данные из досок, например, для атак на клиентов компаний или взломов корпоративных Instagram-аккаунтов, волна которых отмечалась прошлой осенью, рассказывают Infosecurity.
Но у компаний, данные сотрудников и клиентов которых оказались публично доступны, могут быть и более серьезные проблемы, отмечают эксперты. Подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону «О персональных данных». За нарушение закона компаниям грозят штрафы, пояснили в Infosecurity.
Оставить комментарий