Утечка конфиденциальных данных медиагиганта Nikkei

Компания Nikkei зафиксировала утечку конфиденциальных данных в результате взлома. Эта утечка конфиденциальных данных вновь подняла вопрос о рисках при доступе к корпоративным ресурсам с устройств, которыми не управляет компания.

Японская медиакомпания Nikkei подтвердила, что взлом ее аккаунтов в корпоративном мессенджере Slack привел к утечке конфиденциальной информации более 17 тыс. пользователей.

«Персональный компьютер сотрудника был заражен вирусом, что привело к утечке учетных данных для аутентификации в Slack. Предполагается, что эта информация была использована для несанкционированного доступа к аккаунтам сотрудников», — говорится в заявлении Nikkei. 

Инцидент ИБ был выявлен в сентябре. После этого компания приняла необходимые меры, включая смену паролей. Nikkei признает, что могли быть скомпрометированы имена, адреса электронной почты и история переписки 17 368 пользователей, зарегистрированных в Slack.

В заявлении Nikkei также отмечается, что компания уведомила об инциденте японскую Комиссию по защите персональных данных (PIPC).

Консультант по кибербезопасности Брайан Левин (Brian Levine), бывший федеральный прокурор, ныне занимающий должность исполнительного директора FormerGov, каталога бывших правительственных и военных специалистов, подчеркнул, что инцидент в японской медиакомпании — это часть продолжающейся тенденции утечек данных из Slack.

«Риск часто возрастает, когда сотрудники или подрядчики получают доступ к корпоративным ресурсам с устройств, не находящихся под управлением компании. Недавние атаки на Okta, MGM Resorts и другие компании были связаны с таким неконтролируемым доступом», — сказал Левин.

Cпециалист также напомнил, что в 2024 году злоумышленник похитил более терабайта внутренних данных из среды Slack компании Disney. Атака произошла после того, как подрядчик получил доступ к Slack с устройства, которое не контролировалось компанией, и обошел системы мониторинга.

Эрик Авакян (Erik Avakian), технический консультант Info-Tech Research Group, отметил, что одна из самых тревожных особенностей атак, подобных взлому Nikkei, заключается в том, что злоумышленники часто могут легко обойти защиту многофакторной аутентификации (MFA).

«Компьютер сотрудника атакуют с использованием вредоносного ПО, предназначенного для кражи учетных данных. Вирус позволяет захватывать токены сеансов и файлы cookie Slack, а затем отправляет их на серверы управления и контроля злоумышленников», — рассказал Авакян. 

По его словам, с помощью украденных и, вероятно, активных токенов злоумышленник может войти в Slack со своего устройства и получить доступ к закрытым каналам и истории чатов, даже не запуская запрос многофакторной аутентификации. 
Стивен Бойс (Stephen Boyce), консультант по безопасности и генеральный директор The Cyber Dr., заявил, что инцидент с Nikkei — это еще одно напоминание о том, что принцип нулевого доверия должен распространяться на всю периферию, а не только на сеть. Необходимо знать, какое устройство использует сотрудник, подключать MFA, привязанную к управляемому оборудованию, и контролировать, какие данные хранятся в SaaS-инструментах.

Источник: CSO