loading

«Мы были в полной их власти». Как атака на корпоративные соцсети может разрушить бизнес и что делать, чтобы этого не допустить

Как я испортила Пасху

Бывали у меня воскресенья и получше. 16 апреля 2017 года, Пасха. Мы с мужем сидели дома, только закончили ужинать. Настало долгожданное время насладиться покоем и нашим новым увлечением — запойным просмотром Netflix. Знала бы я тогда, что вот-вот сыграю главную роль в собственной драме, заслуживающей гораздо большего внимания.

Загорелся экран моего телефона — пришло сообщение от Шатель, руководителя нашего отдела по подбору персонала. Мы с ней тесно общались. Всего 12 дней назад мы помогли McAfee отделиться от Intel в качестве одной из крупнейших независимых компаний в области кибербезопасности. Я не удивилась ее сообщению на Пасху — думала, она просто прислала мне поздравления с праздником. Но речь там шла не об этом.

«Загляни к нам в соцсети. Дело плохо». Я открыла страницу McAfee в очень известной социальной сети, название которой не буду здесь упоминать, — и пришла в ужас.

Кто-то взломал профиль нашей новорожденной компании, которой едва исполнилось 12 дней, и исписал страницу самыми грязными и непристойными выражениями, какие только могут прийти в голову. Такое не лучшим образом сказалось бы на любой фирме. Но стоит объяснить, насколько плохо, бесконечно плохо это было для нас.

Оскорбительные надписи резко противоречили всему, что представляла наша организация. Мы только что перезапустили бренд с новым слоганом «Вместе — сила», отражавшим нашу веру в то, что для защиты мира от киберугроз нужно использовать все возможные средства. Мы только что представили сотрудникам новые ценности компании, одна из которых —всеобъемлющая открытость и прозрачность. И мы были лидерами в области кибербезопасности.

Что подумают клиенты о нашей способности сохранить их самые ценные цифровые активы, если мы не можем защитить даже собственный профиль в одной из крупнейших соцсетей? И вдобавок ко всему, именно моя команда — маркетинговая организация — отвечала за управление профилями компании во всех социальных медиа, включая этот, «опороченный» прямо у меня под носом.

Я начала действовать. Нужно было связаться с главой нашей диджитал-команды, чтобы понять, что происходит. Я сразу дозвонилась ей, и мне не пришлось объяснять, что звонок никак не связан с Пасхой.

— Я знаю, почему ты звонишь. Мы разбираемся. Наш аккаунт взломали. Мы на связи с [социальной сетью], решаем проблему. Я начала думать о худшем. Взломанный аккаунт — это одно. Но что, если это скоординированная атака на McAfee? Вдруг хакеры нацелились на добычу покрупнее и отвлекли наше внимание этой «пожарной тревогой», чтобы параллельно проникнуть в систему компании?

Руководитель диджитал-команды тут же уверила меня, что наш директор по информационной безопасности уже все проверил и подтвердил: все системы в порядке. На миг я испытала облегчение, но тут же осознала, что нужно сделать еще один звонок. Генеральный директор должен быть в курсе происходящего. И лучше бы мне сообщить ему новости лично. Итак, я набрала его номер, собираясь испортить и ему пасхальное воскресенье.

Он взял трубку почти мгновенно.

— Крис, один из наших аккаунтов в социальных сетях взломали.

— Насколько все плохо? — сдержанно спросил он.

— Корпоративные сервера в порядке, Крис. Взломана страница компании на сайте социальной сети.

Я объяснила ему, что случилось. Первым проблему обнаружил Гэвин, наш SMM-специалист. Он был дома и занимался тем же, чем и многие фанаты социальных сетей на выходных, — сидел в сети. Около пяти часов вечера он увидел, что статус на странице компании поменялся на произвольный набор букв. Гэвин предположил, что сообщение случайно написал кто-то из его команды, — и удалил пост.

Затем он связался с сотрудниками, чтобы выяснить, чьих это рук дело. Об обновлении никто ничего не знал. Вскоре появился новый бессмысленный пост. И теперь он был неслучайным. Гэвин залогинился в социальной сети и перешел в настройки аккаунта. Имена всех людей, имеющих доступ к управлению страницей, были ему знакомы. Но чтобы перестраховаться, он начал закрывать доступ другим администраторам из списка.

Пока он делал это, страница в браузере обновилась — и его «выкинуло» из аккаунта. Теперь сомнений в злонамеренности действий не осталось. За секунду Гэвин сообразил, что удаление поста сообщило хакеру: в McAfee знают о взломе. Началась классическая гонка из криминальных фильмов о технологиях: пальцы летали по клавиатуре, появлялись и скрывались значки программ, всплывали сообщения — все в лучших традициях Голливуда. Гэвин и злоумышленник на всех парах в режиме онлайн неслись к одной цели. Даже отсутствие напряженного саундтрека не снижало накала страстей. Гэвин рассказал: «Я старался удалить всех остальных администраторов, и хакер делал то же самое. Он сработал быстрее».

Прежде чем закончить разговор с генеральным директором, мне пришлось поделиться с ним еще одной неутешительной новостью.

— И еще, Крис, зайдя на нашу страницу, вы увидите не только оскорбительные посты, но и картинку, которой заменили лого нашей компании — что-то вроде птицы. Присмотритесь. Это вовсе не птица. Это... кхм... это части тела. Распространенная вещь в хакерском сообществе — «украшать» взломанные сайты непристойными рисунками, чтобы пометить тех, кто был, как говорят на сленге, «унижен», кого «хакнули». Хакер уже знал, что мы заблокированы и ситуация под его контролем; он повесил пошлую картинку вместо нашего нового логотипа просто так, на всякий случай.

Моя команда максимально вовлекла службу поддержки социальной сети в решение проблемы. Но... в праздники все происходит дольше. Поскольку был уже поздний вечер, нас перевели на сотрудников группы, работающей в Азиатско-Тихоокеанском регионе. Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки. Минуты ползли со скоростью улитки.

Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим».

Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы и доступ к ней остался только у них. Это были хорошие новости: по крайней мере, большего вреда нанесено не будет.

Непристойный аватар и сила нетворкинга

А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа. В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee (какая ирония!). Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия.

Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице. Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка. И в моем тоже.

Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу — реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности.

Серьезно? Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти. Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей.

Те, кто был в курсе происходящего, так и сделали. Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах. И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях.

Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию (подробнее о ней — чуть позже).

Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» (когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга), то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю.

Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему:

— Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса.

Во время очередного звонка руководитель вытащил козырь из рукава.

— Эллисон, я устал ждать, пока они нами займутся. Я знаю кое-кого из владельцев этой соцсети. Звоню ему.

— Отлично, Крис. Мы пока продолжим подгонять службу поддержки.

Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем.

Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями.

Наученные горьким опытом

Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ (назовем ее Джули), которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение.

Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети (будучи одним из администраторов нашей страницы) — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже?

Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории. Это ее вина.

Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина.

Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести.

Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома.

  • Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
  • Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности.
  • Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах.
  • Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.
  • Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты.
  • И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.

Еще несколько важных уроков:

  • Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
  • В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами.
  • Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу.
Скопировать ссылку