Хакер #305. Многошаговые SQL-инъекции
С 14 марта 2022 года в работе маркетплейса Wildberries наблюдаются серьезные проблемы. По сети расходятся слухи о том, что компанию скомпрометировала и заразила шифровальщиком хакерская группа OldGremlin. Представители Wildberries уверяют, что взлома не было, и финансовые данные пользователей в безопасности.
Как было упомянуто выше, о проблемах в работе Wildberries пользователи стали массово сообщать в начале текущей недели (14 марта). Покупатели из РФ и стран СНГ жаловались, что в личном кабинете недоступна информация о заказах, доставках, не работает оплата, а зачастую в профиле не отображаются даже базовые личные данные, включая ФИО и номер телефона. Продавцы, в свою очередь, не могли получить доступ к карточкам товаров, информации о продажах и так далее.
Кроме того, все отмечали невозможность связаться с поддержкой, а на сайте Wildberries не было никаких сообщений о происходящем (и их по-прежнему нет). Зато проблемы в работе маркетплейса хорошо иллюстрирует статистика Downdetector.
Представители компании, тем временем, сообщали СМИ следующее:
«Информация о сбое не соответствует действительности: заказы в пунктах выдачи и через курьеров выдаются в стандартном режиме, изменений нет. Отмечаются ошибки в работе сервисов Wildberries, но в ближайшее время они будут исправлены».
Вскоре в компании заверили, что 70% упомянутых «ошибок» уже были устранены ИТ-специалистами и скоро все разработает в штатном режиме.
«Персональная и финансовая информация наших пользователей не пострадала: данные банковских карт надежно защищены в соответствии со стандартом Payment Card Industry Data Security Standard (PCI DSS), который разработан ведущими международными игроками в сфере платежных систем», — подчеркивали в компании.
Однако вчера, 15 марта 2022 года, в сети начали активно распространяться слухи о том, что происходящее связано с кибератакой. К примеру, о хакерской атаке сообщал Telegram-канал «Запуск завтра», который ведет Самат Галимов, а на AntiLocker и вовсе появились подробности предполагаемого взлома.
Анонимные источники сообщали, что за атакой на маркетплейс может стоять хакерская группа OldGremlin, у Wildberries «больше нет бэкэнда», все данные зашифрованы, а бэкапы уничтожены.
AntiLocker цитирует разговор со своим источником:
А как доставили? Фишинг?
— Да. Причем точки входа были скомпрометированы более года назад.
— это как? т.е. год были какие то колбеки, антивирусы ругались…. и всем было пофиг!?
— Да в том-то и дело, что ничего не ругалось. Или логи антивируса тогда никто не смотрел, мой предшественник не помнит по крайней мере.
— То есть не саму заразу через фишинг принесли, а дроппер? Или удаленное управление?
— Да, дроппер по ссылке пользователь скачал. А потом, когда ноутбук был вне корпоративной сети, уже остальное докачалось, видимо. Пока ещё анализируем. Скачивалось, видимо, когда ноутбук был вне корпоративной сети. Бэкапы эти «товарищи» перед тем, как начать шифровать, удаляют. В нашем случае ещё и сервер управления ленточной СХД развалили.
— То есть между ротациями хранилок их не отключали? Или не было ротации хранилок? Или было но не помогло? Ну всмысле, когда у тебя одну неделю все сыпется на один нас (одну группу дисков в насе), а в другую неделю — во вторую группу дисков, когда первая в тотальном оффлайне и так по кругу, или хотя бы как в Altaro — одна копия выносится за пределы сети на сервер, не отвечающий по обычным протоколам
— По определенным причинам ни ротации ни отключения не было. Надеюсь, теперь что-то исправится.
На сегодняшний день представители Wildberries говорят, что устранили уже 90% ошибок, и маркетплейс почти вернулся к нормальной работе, так как оставшиеся технические неполадки тоже скоро будут исправлены. Тем не менее, в компании признали, что имел место некий «инцидент», о котором уже уведомили правоохранительные органы:
«Компания запустила внутреннее расследование инцидента от 14 марта 2022 года, который повлек за собой появление ошибок в работе мобильных приложений и сайта. По его результатам материалы дела будут переданы в правоохранительные органы. Об инциденте были проинформированы представители регулирующих органов».
При этом информацию о хакерской атаке и заражении шифровальщиком представители компании сегодня назвали «домыслами диванных аналитиков».