Анонимный источник передал изданию CyberNews образцы данных, которые утекли у компании Keenetic еще в 2023 году. Журналисты подтвердили, что утечка включает в себя все: от паролей для Wi-Fi до конфигураций маршрутизаторов и подробных логов.

Утечка 2023 года

Напомним, что об утечке данных, затронувшей пользователей приложения Keenetic, стало известно на прошлой неделе. Тогда производитель сообщил, что пользователи, зарегистрировавшиеся до 16 марта 2023 года, могли пострадать от несанкционированного доступа к БД официального мобильного приложения компании.

Еще два года назад, в марте 2023 года о возможной компрометации БД мобильного приложения компанию предупредил неназванный ИБ-эксперт, после чего ошибка была исправлена. Тогда исследователь заверил, что он не передавал кому-либо обнаруженные данные и уничтожил все образцы, к которым получил доступ.

До недавнего времени никаких других свидетельств компрометации БД у Keenetic не было, и о произошедшем не сообщалось публично. Однако 28 февраля 2025 года компании стало известно, что часть информации из базы данных была раскрыта неназванному независимому СМИ. Как стало ясно теперь, этим изданием было вышеупомянутое CyberNews.

Производитель заявлял, что утечка раскрывала ограниченное количество полей БД, а именно:

  • идентификаторы Keycloak;
  • адреса электронной почты (логины) и имена учетных записей Keenetic;
  • региональные настройки;
  • конфигурации учетных записей пользователей устройств, включая хеши паролей MD5 и NT;
  • кастомные имена KeenDNS;
  • конфигурации сетевых интерфейсов, включая идентификаторы Wi-Fi SSID и preshared ключи;
  • настройки каналов Wi-Fi, идентификаторы и ключи роуминга;
  • настройки политик IP и шейпинга трафика;
  • адреса удаленных peer'ов, логины и пароли VPN-клиентов, назначенные IP-адреса;
  • имена и MAC-адреса зарегистрированных хостов;
  • конфигурации IPsec site-to-site;
  • конфигурации сервера IPsec Virtual-IP;
  • настройки пула DHCP;
  • настройки NTP;
  • списки доступа IP и MAC.

Подчеркивалось, что какая-либо другая информация не пострадала. В частности, утечка не коснулась данных RMM, данных учетных записей Keenetic, приватных ключей, а также конфигурации туннелей WireGuard VPN и данных OpenVPN.

Также отдельно отмечалось, что Keenetic не собирает, не хранит и не анализирует данные о платежных картах или связанных с ними учетных данных, транзакционных данных, банковских реквизитах или банковских паролях. То есть финансовые данные утечка тоже не затронула.

«Мы твердо уверены, что несанкционированный доступ был осуществлен без какого-либо мошеннического или злого умысла, и информация из базы данных недоступна публично. Тем не менее, соответствующее уведомление было отправлено в государственный орган по защите данных.

Приносим извинения за любые неудобства и подтверждаем, что приняли все необходимые меры для предотвращения подобных ситуаций в будущем», — заявили представители Keenetic на прошлой неделе.

Анализ CyberNews

Как рассказывают журналисты CyberNews, данные пользователей Keenetic изданию прислали анонимно по электронной почте, после чего журналисты уведомили производителя об утечке, и компания выпустила вышеописанное предупреждение.

«Массив данных включает учетные данные администраторов, обширные пользовательские данные, информацию о Wi-Fi, специфических настройках устройств и сведения о сетях. Этот инцидент представляет серьезный риск для конфиденциальности и безопасности, — сообщает издание. — Злоумышленники, получившие доступ к этим данным, могут проникнуть в затронутые утечкой сети, отслеживать или перехватывать трафик, а также скомпрометировать дополнительные подключенные устройства».

По утверждению анонимного источника CyberNews, суммарно утечка включает:

  • 1 034 920 записей, которые содержат обширные данные о пользователях: email-адреса, имена, локали, идентификаторы Keycloak, Network Order ID, Telegram Code ID;
  • 929 501 запись с подробной информацией об устройствах: SSID и пароли от Wi-Fi открытым текстом, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое;
  • 558 371 запись о конфигурациях устройств, включая данные о доступе пользователей, уязвимые перед брутфорсом пароли с хешированием MD5, назначенные IP-адреса и расширенные настройки маршрутизатора;
  • исчерпывающие служебные логи, содержащие более 53 869 785 записей, среди которых можно найти имена хостов, MAC-адреса, IP-адреса, сведения о доступе и даже флаги owner_is_pirate.

Большинство пострадавших от утечки пользователей, по-видимому, находятся в России. Так, данные о локали помогли выявить 943 927 русскоязычных пользователей, 39 472 англоязычных и 48 384 турецкоязычных.

Эту статистику косвенно подтверждают данные Shadowserver Foundation: большинство (70%) публично «видимых» маршрутизаторов Keenetic находятся в России, за которой следуют Украина (14% устройств) и Турция (5% устройств).

Издание еще раз подчеркивает, что утечка, вероятно, произошла еще в марте 2023 года, когда был найден неправильно настроенный сервер, раскрывавший облачные резервные копии конфигураций маршрутизаторов и другие файлы. Расследование Cybernews показало, что сервер, с которого утекли данные, скорее всего, находился под управлением российской компании NDM Systems, сотрудничающей с Keenetic.

Журналисты называют эту утечку «мечтой хакеров» и предупреждают, что неизвестно, кто еще мог иметь доступ к этим данным, похитить их, и доступна ли скомпрометированная БД где-либо еще.

Исследователи рекомендуют пользователям устройств Keenetic немедленно изменить SSID Wi-Fi, учетные данные и административные пароли своих маршрутизаторов, а также сбросить любые другие учетные данные, используемые в сетях этих устройств.

Представители Keenetic рекомендовали владельцам маршрутизаторов сменить следующие пароли и ключи:

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии