Известный ИБ-журналист Брайан Кребс сообщает, что хакер, известный под ником USDoD, выдал себя за главу неназванного финансового учреждения и обманом получил доступ к базе данных информационно-просветительской программы ФБР InfraGard, насчитывающей более 80 000 участников.
InfraGard создана для распространения конфиденциальной информации об угрозах национальной безопасности и кибербезопасности среди чиновников и представителей частного сектора, которые управляют объектами критической инфраструктуры США.
Журналист объясняет, что InfraGard — это практически готовый «справочник» по критической инфраструктуре, в который входят бизнес-лидеры, ИТ-специалисты, военные, сотрудники правоохранительных органов, а также правительственные чиновники, имеющие отношение к обеспечению безопасности абсолютно всего: от электросетей и транспорта, до здравоохранения, трубопроводов, ядерных реакторов, оборонной промышленности, плотин и водохранилищ и сферы финансовых услуг.
Эта некоммерческая организация, основанная в 1996 году, является крупнейшим общественно-государственным объединением ФБР, представители которого есть во всех отделениях Бюро. InfraGard регулярно делится со своими участниками информацией об угрозах, поступающей от ФБР и Министерства внутренней безопасности США, и представляет собой что-то вроде социального медиа, работающего «при закрытых дверях» и только для избранных инсайдеров.
По информации Кребса, хакер, проникший в InfraGard в начале декабря, уже разместил образцы украденных данных на известном хак-форуме BreachForums и заявил, что готов продать всю базу за 50 000 долларов.
При этом сам злоумышленник рассказал Кребсу, что получил доступ к порталу InfraGard, выдав себя за генерального директора некоего финансового учреждения. В его заявлении, поданном в ноябре, содержался контактный email-адрес (который контролировал сам хакер), а также настоящий номер мобильного телефона главы неназванной компании, которым прикидывался USDoD.
Злоумышленник подчеркивает, что весь процесс проверки оказался на удивление ненадежным (система InfraGard по умолчанию требует многофакторной аутентификации, но пользователи могут самостоятельно выбирать между получением одноразового кода через SMS или по электронной почте), а проникнув внутрь, он смог добраться до БД при помощи API InfraGard и простейшего скрипта.
На хак-форуме USDoD пишет, что только 47 000 записей (примерно половина украденного) содержат уникальные email-адреса участников InfraGard. Хакер говорит, что среди похищенных им данных нет ни номеров социального страхования, ни дат рождения. Хотя в БД существовали поля для такой информации, пользователи InfraGard в основном оставляли их пустыми (вероятно, заботясь о безопасности).
При этом злоумышленник похвастался Кребсу, что уже рассылает сообщения другим членам InfraGard, по-прежнему выдавая себя за генерального директора финансового учреждения, и пытается получить больше личных данных, которые можно было бы использовать в преступных целях.
Представители ФБР подтвердили, что им известно о потенциально фейковой учетной записи на портале InfraGard, и в настоящее время специалисты активно изучают этот вопрос. Так как расследование еще не завершено, от других комментариев правоохранители отказались.
