Нидерландский футбольный союз заплатил выкуп хакерам

Королевская футбольная ассоциация Нидерландов (KNVB) подтвердила, что заплатила хакерам в обмен на нераспространение похищенных данных. Весной 2023 г. хакеры взломали системы ассоциации и украли конфиденциальную информацию более 1,2 млн человек.

По данным Управления по защите данных Нидерландов (AP), KNVB пришлось заплатить крупный выкуп — вероятно, более миллиона евро, чтобы не допустить размещения похищенных данных в открытом доступе. Сама футбольная ассоциация о размере выкупа не сообщила, но отметила, что за атакой на ее информационные системы стояла хакерская группировка LockBit. 

KNVB — основной регулирующий орган нидерландского футбола. Под эгидой этой ассоциации проводятся соревнования в основных лигах страны, она управляет мужской и женской национальными сборными, а также организует матчи Кубка Голландии и турниры любительских лиг.

В апреле 2023 г. руководство Королевской футбольной ассоциации сообщило об инциденте информационной безопасности, заявив, что он не затронул бизнес-операции, но при этом были украдены персональные данные. Об инциденте информационной безопасности были уведомлены правоохранительные органы и Управление по защите данных Нидерландов. В том же месяце группировка LockBit заявила, что в их руках находятся данные KNVB общим объемом 305 ГБ. 

Спустя пять месяцев после утечки информации представители KNVB уточнили, что в число потенциально пострадавших от инцидента входит довольно широкий круг лиц: родители или опекуны несовершеннолетних футболистов, которые перешли в зарубежные клубы в 2014-2019 гг.; взрослые игроки, уехавшие играть за рубеж в 2015-2021 гг.; игроки, которые выступали под эгидой профессиональной футбольной организации в 2016-2018 гг.; люди, которые сотрудничали с KNVB по широкому кругу вопросов в 2010-2022 гг.; лица, которые контактировали с Центром спортивной медицины KNVB; любые лица, причастные к дисциплинарным санкциям в период с 1999 г. по 2020 г. 

У большинства пострадавших лиц были скомпрометированы правительственные ID и подписи. У многих людей украдены такие данные, как имена, адреса, сведения о зарплате и номера банковских счетов. В некоторых случаях утекли медицинские данные и детали дисциплинарных дел. 

По словам топ-менеджеров KNVB, выкуп решено было заплатить на основе рекомендаций, полученных от компании Fox-IT, которая занимается вопросами киберпреступлений. 

Футбольная ассоциация Нидерландов заявила, что не ожидает распространения информации, к которой был получен незаконный доступ. Однако, руководитель AP Алейд Вольфсен (Aleid Wolfsen) считает, что верить обещаниям хакеров нельзя. «Если вы заплатите выкуп, у вас нет гарантии того, что киберпреступники не перепродадут украденные у вас данные. Более того, тем самым вы поддерживаете преступную модель получения доходов, которая подрывает конфиденциальность людей. AP настоятельно рекомендует не платить выкуп», — подчеркнул глава нидерландского Управления по защите данных. 

Источник: The Record