Всем доброго дня коллеги.
Когда я вижу заголовки об очередных утечках, я не хватаюсь за голову. Я злюсь. И, пожалуй, мне есть с чем сравнить: я в кибербезопасности с середины нулевых. Я помню те времена, когда основной угрозой был червь Conficker, а для взлома корпоративной сети хакеру нужно было реально попотеть, подбирая эксплойты. Мы жили в эпоху «замков и рвов».
Сегодня всё иначе. Мы в индустрии кибербеза годами кричим об одном и том же, а бизнес продолжает относиться к ИБ как к досадной помехе, на которую можно забить до первого инцидента. Масштаб утечек перестал быть просто «большим». Он стал системным, индустриальным.Комбо-лист Exploit.In на 593 миллиона уникальных учётных записей и свежая bleed-утечка LinkedIn на 164,6 миллиона профилей — это не просто две строчки в хронике Data Breach. Это сырье для гигантской фабрики по переработке ваших денег, репутации и нервов. И именно поэтому сейчас рынок труда ИБ буквально кипит — компании наконец-то нанимают CISO и командуют: «Спасайте». Потому что цена бездействия перестала быть теоретической. Она стала осязаемой, и я покажу вам, как именно она работает изнутри.
Анатомия угрозы: что на самом деле лежит в этих базах?
Люди снаружи нашей профессии видят цифру «593 миллиона» — для них это просто слишком много, чтобы осознать. Но для меня, как для человека, который регулировал инциденты, за этими цифрами стоят очень конкретные, механические процессы. Чтобы понять масштаб катастрофы, нужно разобрать анатомию того, что утекло.- Exploit.In (593 млн записей): Эволюция Credential Stuffing
email:рassword:ip:originЧеловеческая природа не меняется. Люди не умеют создавать разные пароли. Если ваш сотрудник использовал пароль от корпоративной почты для регистрации на каком-то сомнительном форуме в 2025 году, а того сломали — вот он, пароль, уже лежит в Exploit.In в чистом виде.
Как это используется? Раньше хакер брал базу и вручную пробовал зайти на сайт. Сейчас боты берут эти 593 миллиона пар и автоматически, с частотой тысяч запросов в секунду, прогоняют их по логинам Microsoft 365, Salesforce, AWS, банковским системам. Хакеры не взламывают нашу периферию — они просто «открывают дверь своим ключом». И у них это получается сплошь и рядом.
- Утечка LinkedIn (164,6 млн записей): Смертельный удар по социальной инженерии
В чем угроза? Здесь слили не хеши паролей, а контекст. Имена, должности, номера телефонов, email-адреса, места работы, история карьерного роста. Это золото.
Как это используется? Я всегда говорил своим командам: самый дорогой хакерский инструмент — это не нулевой день (0-day), это информация о том, кому писать. Злоумышленник теперь знает, кто у вас работает финдиректором, кто — рядовым аналитиком, кто ушел в декрет. Атака перестает быть шаблонной:
Она становится hyper-персонализированной:
Это уже не спам. Это снайперская стрельба.
Голоса индустрии: что думают светила кибербеза
Когда ты столько лет в профессии, ты понимаешь, что ты не одинок в своей оценке. Одиночество ИБ-специалиста — это миф, в котором нас упорно держат бизнес-партнеры. На самом деле, все главные архитекторы этой цифровой эпохи видят одну и ту же картину. Вот, что говорят люди, которые формируют тренды:Трой Хант (Troy Hunt), создатель Have I Been Pwned:
Брюс Шнайер (Bruce Schneier), криптограф и гуру безопасности:
Кевин Митник (Kevin Mitник) † (хакер №1, ставший консультантом):
Митник прав на все сто. Многомиллионные инфраструктуры рассыпались в пыль не из-за кривого патча от Microsoft, а потому что кто-то кликнул на красиво оформленное письмо. А база LinkedIn — это справочник для таких кликов.
Реальность и кровь (Примеры из жизни)
Абстрактные цифры и умные цитаты не пугают CFO (финансовых директоров). Пугает потеря денег и остановка процессов. Давайте спустимся из стратегического эфира в операционную грязь. Вот как эти утечки бьют по бизнесу прямо сейчас:Классический Credential Stuffing (Zoom, 2020).
Во время пандемии хакеры брали утекшие пароли из комбо-листов и массово логинились в Zoom. Результат: более 500 000 аккаунтов продано в даркнете, утечки корпоративных видеоконференций (включая закрытые борды директоров), колоссальный репутационный удар.B2B-фишинг на стероидах (Твильт/Секторал, 2023-2024).
Используя данные LinkedIn, хакеры рассылали CEO и финдиректорам письма с вложениями вроде «Отчет по конкуренту Q3.pdf.lnk». Кликали даже технарики, потому что письмо выглядело так, будто его отправил реальный человек из их профессионального круга. Результат — шифровальщики на серверах, остановка бизнеса на недели.Скрытая угроза (Supply Chain).
Ваш сотрудник использует свой рабочий email и тот же пароль (из утекшей базы) на стороннем сервисе, например, портале для корпоративной страховки. Хакер берет этот пароль, заходит в портал страховщика, видит внутренние документы вашей компании и использует их для шантажа или дальнейшей цепной атаки. Вы даже не узнаете, откуда пришел удар.Почему цена бездействия стала невыносимой?
- Прямые финансовые потери. По отчету IBM Cost of a Data Breach 2023, средняя стоимость инцидента достигла $4.45 миллиона. Для среднего бизнеса это смерть. Для крупного — увольнение топ-менеджмента.
- Регуляторный молот. В Европе GDPR штрафует на суммы до 4% от годового оборота. В России 152-ФЗ и поправки к нему (особенно в сфере критической информационной инфраструктуры и требования ЦБ для финтеха) сделали неработающую ИБ прямым нарушением закона, вплоть до блокировки ресурса.
- D&O Insurance (Страхование ответственности руководителей). Это любимая тема в бордах директоров. Страховщики больше не платят, если компания «просто не заморочилась» с базовой защитой (например, не включила MFA). Директора начинают понимать, что их личные активы, яхты и квартиры могут уйти на покрытие убытков компании, если суд докажет грубую небрежность в ИБ.
Мой вердикт: Что делать прямо сейчас?
Если вы дочитали до этого места и у вас в животе еще не появилось легкое чувство тревоги — вы не понимаете, в какой сети работаете. Вот три шага, которые я, как человек с 19-летним стажем, прошу вас сделать не завтра, а еще вчера:- Убейте пароли там, где это возможно.
- Включите Continuous Threat Exposure Management (CTEM). Настройте автоматический мониторинг даркнета: как только email вашего сотрудника всплывает в новой базе — немедленно, принудительно сбрасывайте ему пароль. Да, он будет материться на техподдержку. Да, это неудобно. Но это спасет вам миллионы.
- Смените парадигму с "Периметра" на "Zero Trust". Перестаньте верить, что ваш корпоративный VPN — это безопасная крепость. Предполагайте, что хакер уже внутри сети с валидным паролем из Exploit.In. Что его остановит? Жесткая сегментация сети, ограничение привилегий (Least Privilege) и мониторинг аномального поведения (UEBA) — когда система видит, что Иван из бухгалтерии вдруг полез в базу разработчиков.
Время красивых презентаций про «киберграмотность» закончилось. Welcome to the big leagues.
Последнее редактирование модератором:
