Поделиться
Эксперты F6 предупредили об угрозе распространения персональных данных через публичные онлайн-песочницы
Специалисты центра кибербезопасности компании F6 опубликовали новый блог, в котором подняли проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – песочницы.
Например, онлайн-песочницы VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок. Однако у этих сервисов есть и обратная сторона. Отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников. Так они могут отслеживать загрузку своих инструментов и корректировать свои методы, если атака была обнаружена.
Кроме того, загружаемые файлы могут содержать персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты. И, наконец, загруженные в публичные песочницы файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 взяли публичную онлайн-песочницу Any.Run. Эта популярная интерактивная платформа позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от платформ VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 г. с территории России, эксперты выделили 3 основных типа файлов, которые могут представлять интерес для злоумышленников:
Содержащие персональные данные физических лиц. В ходе исследования были обнаружены не только факты распространения данных одного субъекта ПДН, но и целые списки, содержащие данные работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц. Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или, например, при реализации популярных мошеннических схем с использованием социальной инженерии, таких как FakeBoss или «Мамонт».
Содержащие коммерческую тайну различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорную информацию.
Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точную цифру объема утекающей информации назвать сложно, но можно назвать лидера – это персональные данные физических лиц. По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе. Цифра за год может варьироваться от сотен до нескольких тысяч уникальных записей. Только в одном документе представленном выше находилось почти 1,3 тыс. записей.
В России меняется законодательство в области обработки персональных данных. С 30 мая 2025 г. вступает в силу Федеральный закон от 30 ноября 2024 г. №420-ФЗ, а также уже вступил в силу Федеральный закон от 30 ноября 2024 г. №421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных. Новые правила игры требуют большей ответственности, причем не только со стороны операторов персональных данных. Компании, сотрудники которых загружают на проверку файлы, содержащие персональные данные клиентов и работников, рискуют получить серьезные штрафы за утечку персональных данных, а в некоторых случаях уголовное наказание.
Хотя прямых законодательных запретов на загрузку ВПО в публичные песочницы в большинстве стран нет, существует устоявшаяся практика и рекомендации в профессиональном сообществе.
Необходимо регулярно проводить обучения по цифровой гигиене и повышения осведомленности в ИБ для сотрудников. Каждый сотрудник, взаимодействующий с той или иной информационной системой, обязан знать основы ИБ в том объеме, который позволит повысить уровень ИБ в организации, не нарушая бизнес-процессов.
F6 рекомендует для проверки файлов на ВПО использовать Sandbox-решения только доверенных ИБ-вендоров, чтобы предотвратить попадание чувствительных материалов в руки злоумышленников.
Ввести для сотрудников запрет на загрузку конфиденциальных файлов в публичные песочницы. Перед загрузкой файлов в публичные песочницы убедиться в отсутствии в них конфиденциальной информации.
Использовать не файлы, а хеши файлов. Вместо загрузки файла можно проверить его хеш на наличие в базах данных песочниц, что позволяет получить информацию о файле без фактической его отправки.
Регулярно проверять политики ИБ и адаптировать их под современные угрозы.
Применять решения класса DLP (Data Loss Prevention) для предотвращения утечки данных.
Ограничить круг лиц, имеющих доступ к конфиденциальной информации. Использовать виртуальные машины для просмотра подозрительных документов, которые могут содержать конфиденциальную информацию.
Использовать наиболее устойчивые ко взлому форматы архивов 7z и RAR5. Не использовать ZIP.
Короткая ссылка
