Сотрудник Disney скачал с GitHub бесплатный ИИ-инструмент, что привело к масштабной утечке данных компании

В феврале прошлого года сотрудник Disney Мэтью ван Андел загрузил с GitHub на рабочий ноутбук бесплатное программное обеспечение на базе искусственного интеллекта ^[1] для генерации изображений по текстовым запросам. Однако ИИ-помощник в действительности оказался ^[2] вредоносной программой, которая дала стоящему за ней хакеру доступ ко всем данным ван Андела.

Злоумышленник получил доступ к 1Password, который сотрудник использовал для хранения паролей. В итоге хакер смог просматривать сообщения рабочих каналов Disney в Slack. Ван Андел узнал о проблеме в середине июля прошлого года, когда в Discord ему пришло сообщение от незнакомца со ссылкой на рабочий разговор в Slack.

Мужчина обратился в отдел информационной безопасности компании, который подтвердил, что аккаунт ван Андела в Slack взломали. Однако специалисты не увидели ничего подозрительного на его рабочем ноутбуке и посоветовали проверить личные устройства.

Антивирусный софт обнаружил вредоносное ПО, которое позволило хакеру пять месяцев следить за деятельностью ван Андела и ряда отделов Disney. Позже в июле хакер Nullbulge опубликовал ^[3] архив внутренних данных компании объёмом более 1 ТБ. Речь идёт о переписке сотрудников, программном коде, изображениях и информации о невыпущенных проектах. В ходе атаки Nullbulge пострадали даже аккаунты детей ван Андела в Roblox.

Многие учётные записи защищены двухфакторной аутентификацией, но в случае ван Андела вторым этапом был 1Password. Только потом мужчина понял, что его учётная запись в 1Password не была защищена 2FA.

В августе ван Андела уволили после получения результатов проверки его ноутбука. Поводом стал якобы просмотр порнографии, что ван Андел отрицает. Disney прекратила страховку сотрудника, который потерял около $200 тыс. в виде бонусов. В декабре адвокат Ван Андела направил бывшему работодателю письмо с требованием выплатить восьмизначную компенсацию за потерю зарплаты и эмоциональные страдания.

Осенью прошлого года Disney объявила ^[4] о намерении отказаться от использования Slack. СМИ писали, что компания уже начала переход на новые «оптимизированные инструменты для совместной работы в масштабах предприятия».