Xakep #305. Многошаговые SQL-инъекции
Компания MGM Resorts, которая владеет сетями отелей, курортов и казино по всему миру, сообщила, что вымогательская атака, произошедшая в прошлом месяце, стоила ей 110 млн долларов и позволила хакерам похитить личную информацию клиентов.
Напомним, что о взломе MGM Resorts стало известно в середине сентября. Инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторые услуги в казино.
В частности сообщалось о том, что в казино не работают игровые автоматы, у посетителей отелей отказывают ключ-карты от номеров, электронные переводы выигрышей в казино замедлились, не работает приложение MGM Rewards, а по вопросам бронирования пользователям предлагалось связываться с компанией по телефону.
Вскоре выяснилось, что ответственность за эту атаку лежит на хакерской группировке BlackCat (ALPHV), которая использовала для атаки социальную инженерию. Хакеры заявляли, что зашифровала более 100 гипервизоров ESXi, вынудив компанию практически полностью отключить внутреннюю инфраструктуру.
Теперь из бумаг, которые MGM Resorts подала в Комиссию по ценным бумагам и биржам США, стало ясно, что этот инцидент обошелся компании дорого, и атака нарушала широкий спектр бизнес-операций.
Потерянная из-за случившегося прибыль оценивается в 100 000 000 долларов США. Также компания потратила не менее 10 000 000 долларов на единовременные расходы, связанные с устранением рисков, правовыми услугами, консультациями со сторонними экспертами и реагированием на инциденты.
При этом компания заявляет, что рассчитывает, что все это должна покрыть страховка от киберинцидентов. И в целом ожидается, что случившееся не окажет какого-либо существенного влияния на годовые финансовые показатели.
Также MGM Resorts сообщает, что злоумышленникам удалось похитить личную информацию клиентов, которые совершали транзакции в сети MGM до марта 2019 года. Пострадавшим уже были отправлены соответствующие уведомления, согласно которым, в руки хакеров могли попасть следующие данные (варьируются от человека к человеку):
- полное имя;
- номер телефона;
- адрес электронной почты;
- почтовый адрес;
- пол;
- дата рождения;
- данные водительского удостоверения;
- номер социального страхования;
- номер паспорта.
Подчеркивается, что расследование не выявило утечек паролей клиентов, а также номеров их банковских счетов и информации о банковских картах.
Всем пострадавшим предоставят услуги бесплатного кредитного мониторинга, а также услуги по защите от кражи личности. Компания предупреждает клиентов о необходимости сохранять бдительность, так как за кражей личных данных нередко следует мошенничество.