(Не) безопасный дайджест Halloween Edition: страшно халатный подрядчик, ужасно внимательный хакер, совестливый взломщик

Подоспела страшно поучительная и интересная Хэллоуинская подборка ИБ-инцидентов и новостей. Сегодня в программе: сотрудник слил код отечественного ИБ-решения конкурентам, компания потеряла почти 100 млн руб. из-за ошибки ^[1] сотрудника, а Бразильские мошенники заработали на ИИ-молитвах.

Заколдованный код

Что случилось: сотрудник на испытательном сроке слил часть исходного кода отечественного ИБ-решения и попытался внедрить в него бэкдор.

Как это произошло: вы когда-нибудь боялись, что стажер, которого вам дали в помощь, так сильно накосячит, что придется откатывать часть проекта? Схожая история произошла у отечественного ИБ-вендора Metascan.

22 октября 2025 года компания сообщила ^[2], что один из ее разработчиков на испытательном сроке передал часть исходного кода конкуренту. Также он попытался внедрить бэкдор: зловредный код попал в репозиторий, но так и не дошел до продакшена.

По заявлению Metascan, в скомпрометированном коде не было реквизитов доступа к клиентским или другим административным данным. Для расследования инцидента компания привлекла сторонних специалистов и пообещала принять дополнительные меры по контролю действий привилегированных пользователей.

Из облаков в дым

Что случилось: пожар в дата-центре парализовал работу государственных сервисов Южной Кореи.

Как это произошло: 26 сентября 2025 года в государственном дата-центре Южной Кореи вспыхнул пожар. Огонь уничтожил ^[3] или повредил сервера 96 ключевых информационных систем из-за чего временно приостановилась работа почти 650 государственных сервисов: от аналога госуслуг до госпочты.

Но особо печальной оказалась ситуация с облачным хранилищем G-Drive. Это специальное облако для чиновников, на котором около 125 тыс. корейских госслужащих хранили ^[4] 858 ТБ данных. Бэкапы G-Drive, в отличии от других поврежденных систем, хранились в том же сгоревшем здании (!). То есть огонь безвозвратно уничтожил и основные данные, и их резервные копии.

Причиной пожара стало ^[5] воспламенение литий-ионных аккумуляторов системы бесперебойного питания, которые в момент инцидента заменяли и переносили в подвал. Полиция расследует инцидент и уже задержала четырех человек по подозрению в халатности.

По последним данным (на 10.10.25) государственные сервисы Кореи до сих пор не оправились от инцидента. ИТ-специалисты восстановили ^[6] работу только 30% информсистем, поврежденных огнем. А чиновники и вовсе вручную ищут утраченные документы в почте или на флешках, чтобы восстановить хотя бы какие-то файлы.

Неприступная защита

Что случилось: румынский заключенный взломал информсистему тюрьмы, в которой отбывал наказание.

Как это произошло: в июле 2025 года неназванный румынский хакер, отбывавший наказание в исправительном учреждении, оказался в тюремной больнице. Там он случайно увидел логин и пароль сотрудника с правами администратора.

Вернувшись, заключенный воспользовался ^[7] физическим доступом к инфокиоскам учреждения, которые были подключены к внутренней сети и снабжены клавиатурами. Он проник во внутреннюю платформу тюрьмы для управления информацией о заключенных, используя подсмотренные логин и пароль.

Далее хакер «расшарил» доступ для других заключенных и совместно они стали регулярно сокращать сроки наказаний, переводить на свои счета деньги, менять условия содержания на более мягкие и увеличивать количество свиданий.

Все вскрылось 18 сентября, когда сотрудница финансового отдела учреждения обратила внимание ^[8] на то, что суммы на счетах некоторых заключенных не уменьшались после покупок. Это стало поводом для начала внутреннего расследования. В результате проверки выяснилось, что арестанты также получили доступ к изображениям с камер, документам безопасности и внутренней документации, и даже вынашивали планы клонирования всей ИТ-системы для дальнейшей продажи на черном рынке.

Ставка на зеро

Что случилось: подросток взломал несколько казино Лас-Вегаса и затем сдался с повинной.

Как это произошло: с августа по октябрь 2023 года несколько казино в Лас-Вегасе пострадали от хакерских атак. Для проникновения в инфраструктуру злоумышленник использовал ^[9] социальную инженерию. Он выдал себя за сотрудника казино, информацию о котором он нашел в LinkedIn, и попросил ИТ-отдел компании сбросить ему пароль. 

Далее подросток получил доступ к внутренним системам организации, что позволило вывести из строя ключ-карты отелей и игровые автоматы, заблокировать системы бронирования и доступ сотрудников к электронной почте.

Одним из пострадавших казино могло стать MGM Resorts. В октябре 2023 года компания заявила ^[10], что потеряла более $100 млн из-за проблем с кибербезопасностью.

Ответственность за инциденты взяла известная хакерская группировка Scattered Spider, а кибергруппа ФБР приступила к расследованию. В итоге они вышли на след злоумышленника, им оказался 17-летний подросток. Позже, 17 сентября, он сам сдался властям, чтобы смягчить ответственность. Однако прокуратура добивается перевода несовершеннолетнего в уголовный отдел, где ему предъявят обвинения как взрослому.

Убийственная ошибка

Что случилось: бухгалтер нефтяной компании по ошибке перевел 94 млн рублей вместо того, чтобы перевести всего 934 рубля – деньги компании не вернут.

Как это произошло: в 2020 году Ванкорнефть должна была направить в бюджет РФ 934 руб. в качестве штрафа за негативное воздействие на окружающую среду. Бухгалтер компании ошибся и случайно перевел за несколько кварталов в общей сложности более 90 млн руб.

Компания обнаружила переплату в 2022 году и обратилась с заявлением о возврате в Росприроднадзор. Однако ведомство отказалось рассматривать обращение, сославшись на истечение срока дав��ости и отсутствие акта сверки, подписанного без разногласий.

Далее Ванкорнефть дала делу законный ход. Судебные тяжбы длились долго: компания несколько раз получала отказ, подавала апелляции, но все в итоге кончилось только в октябре 2025 года. Тогда Арбитражный суд Восточно-Сибирского округа окончательно отказал ^[11] в возврате. Причина — компания должна была обнаружить ошибку еще в 2021 году, когда сдавала соответствующую декларацию, а сейчас возврат переплаты невозможен.

Кейс по своей сути очень похож на типовые ошибки при расследовании ИБ-инцидентов. Например, на нарушение сроков судебного расследования. Если не выявить инцидент, не найти нарушителей и не подтвердить их причастность в срок, то нельзя будет, например, привлечь виновников к дисциплинарной и материальной ответственности за утечку.

Подробнее про этот и другие подводные камни мы рассказывали в соответствующем чек-листе ^[12].

Ничего святого

Что случилось: бразильские мошенники организовали схему по продаже молитв, сгенерированных ИИ.

Как это произошло: в октябре 2025 года полиция Бразилии арестовала ^[13] группу ИИ-мошенников. Они продавали молитвы, написанные искусственным интеллектом ^[14]. Схема работы банды была следующая: человек, который называл себя «пастором» и лидером группы, публиковал в соцсетях мотивационные сообщения с предложением получить «божественное откровение».

С теми, кто оставлял свои контакты, чтобы получить такое откровение, связывался оператор колл-центра. Он звонил заинтересовавшемуся человеку и под разными предлогами узнавал его личную информацию. Потом на ее основе ИИ генерировал «чудотворную молитву», которую мошенники продавали за $10 США.

Некоторые покупатели были так впечатлены силой молитв, что заказывали новые. Другие, будучи уверены, что получают сверхъестественную помощь, платили гораздо больше. По данным полиции, количество обманутых таким образом исчисляется тысячами.