Пример визуализации похищенных данных.Согласно информации издания РБК, следственными органами Московского межрегионального следственного управления на транспорте СК России при содействии управления «К» МВД и службы безопасности ОАО «Российские железные дороги» удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. На данный момент молодому человеку предъявлено обвинение в совершении преступлений, предусмотренных ч. 1 ст. 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну) и ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).
В ходе расследования было установлено, что в июне 2019 года молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации. Для удаленной авторизации на ресурсах ОАО «РЖД» злоумышленник использовал незаконно добытые им учетные записи двух пользователей работников ОАО «РЖД», имена этих сотрудников и способ получения их учетных записей не разглашены.
После того, как злоумышленник заходил под аккаунтами сотрудников внутрь корпоративной сети, за некоторое продолжительное время он совершил незаконное копирование нескольких сотен тысяч фотографий и сведений о работниках ОАО «РЖД», являющихся персональными данными. Позже эта информация была сгруппирована в единую базу данных и опубликована в открытом доступе в сети интернет на одном из интернет-ресурсов, хостинг которого расположен в Федеративной Республике Германия. Тем самым, по словам из заявления следственного коммитета РФ, был нанесен существенный вред законным интересам государства и общества.
В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»).
На сайте, который через несколько часов после публикации данной информации стал недоступен, была надпись: «Спасибо ОАО „РЖД“ за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». После опубликования данной информации представитель ОАО «РЖД» сообщил, что компания начала внутреннюю проверку и собирает материалы по этому инциденту для передачи правоохранительным органам, также в ОАО «РЖД» отметили, что данные о пассажирах и их заказах в эту утечку не попали. Тогда жа в следственном комитете уточнили, что утечка данных сотрудников ОАО «РЖД» произошла из-за несанкционированного проникновения на серверы компании, не предоставив больше дополнительной информации об этом происшествии.
И вот, спустя три месяца появилась официальная информация о ходе расследования, в которой сообщается о задержании подозреваемого в утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года. «Молодой человек признал вину в совершении указанной кибератаки на внутренние ресурсы ОАО «РЖД». В настоящее время следствием продолжается сбор доказательственной базы, расследование уголовного дела продолжается», — заявили представители следственного комитета. Небольшой видеоролик с задержанным можно посмотреть тут. В этом видео злоумышленник рассказывает, что не ожидал, что будет такой резонанс после опубликования данных в сети. Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
Задержанный молодой человек. Источник: СК России.
Вдобавок было дополнительно сообщено, что задержанный злоумышленник по своей специализации является хорошо подготовленным IT-специалистом, он использовал девяносто шесть уникальных IP-адресов при совершении своей удаленной атаки на ресурсы ОАО «РЖД». Каждая из вменяемых молодому человеку статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации) предусматривает наказание в виде лишения свободы на срок до двух лет.
«Подозреваемого удалось обнаружить благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям во взаимодействии со службой безопасности ОАО „РЖД“ и управления „К“ МВД», — подытожили представители следственного комитета.
В ОАО «РЖД» также подтвердили факт расследования. «В компании усилен контроль за соблюдением защиты информационных систем, прорабатываются дополнительные технические и организационные мероприятия по повышению уровня информационной безопасности», — дополнительно сообщил представитель ОАО «РЖД».
В ноябре 2019 года ОАО «РЖД» проводило другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».
15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».
А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что не выявили серьезных уязвимостей при проверке мультимедийного портала поезда «Сапсан».
