Оон

Продолжаем собирать классические и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone.

У них

Заводская проходная

Что случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.

Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.

Слив-подряд

Что случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб.

Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля.

Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы засветили данные 150 миллионов пользователей тех же соцсетей.

Доплата за энергию

Что произошло: Британский поставщик электроэнергии Peoples Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках третьей стороны оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в Peoples Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия.

Кто виноват: По версии Peoples Energy, причиной инцидента стало неблагоприятное стечение обстоятельств. Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой Peoples Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были.

Международная заброшка

Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации.

Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai в рамках проверки на уязвимости, которую инициировала сама ООН.

Ограбление по-итальянски

Что произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете.

Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.

Новичок на миллион

Что произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.

Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с приданым коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции.

Цена любви

Что произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов.

Кто виноват: По одной из версий дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе.

Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу).

У нас

Зряплата

Что произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на левые карты под видом зарплаты и обналичили через банкоматы.

Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной начинкой. Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию.

Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.

Сим-сим, закройся

Что произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости.

Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты.

После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть дыры в безопасности. Пресс-служба компании, правда, публично выступила против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.

В 2015 году Организация Объединенных Наций приняла повестку дня в области устойчивого развития до 2030 года. Программа состоит из 17 глобальных целей (ЦУР), направленных на ликвидацию нищеты, сохранение ресурсов планеты и обеспечение благополучия. Каждая цель содержит ряд показателей, которые должны быть достигнуты втечение 15 лет. Для ихдостижения 193 страны согласились приложить совместные усилия правительств, гражданского общества и бизнеса. Поопределению ООН, устойчивое развитие заключается втом, чтобы развитие нынешнего поколения нешло вразрез синтересами будущих поколений.

Для обеспеченияустойчивого развитиярешающее значение имеет согласованная реализация трех ключевыхкомпонентов: экономического роста, социальной интеграции и охраны окружающей среды.

Рассмотрим какой вклад в охрану окружающей среды принесет переход от сжигания углеводородного топлива к использованию энергии атома.

Переход к чистой атомной энергии взаимосвязан с четырьмя целями устойчивого развития:

7 Недорогостоящая и чистая энергия;

12 Ответственное потребление и производство;

13 Борьба с изменением климата;

15 Сохранение экосистем суши.

Глобальный экономический рост предусмотренный ЦУР 8 напрямую зависит от роста энергопроизводства в мире, однако обеспечить такое производство в масштабах планеты, при реализации ЦУР 7, 13 и 15, к 2030 году представляется в настоящее время недостижимым.

Чистые возобновляемые источники энергии за последние годы получили бурное развитие, однако масштабы такого развития недостаточны для перевода крупных промышленных объектов, авиа и автотранспорта, систем теплоэнергетики исключительно на данные виды энергогенерации. В мире не менее 80% получаемой энергии производится за счет сжигания углеводородов, что приводит к выбросу парниковых газов и изменению климата входя в противоречия с ЦУР 13. Ежегодные выбросы в атмосферу достигают 33,1 млрд. тонн СО₂.

Единственной энергетикой, не меняющей климат и производящей ничтожно мало отходов, по сравнению с отходами углеводородных ТЭЦ, является атомная энергетика. Работающие в настоящее время реакторы используют в качестве топлива уран -235, запасы которого ограничены и вряд ли способны решить ЦУР 7.

Россия единственная страна в мире, где работают два промышленных реактора на быстрых нейтронах БН-600 и БН-800 в г. Заречный Свердловской области, в данном типе реакторов топливом является уран-238, запасы которого исчисляются миллионами тонн. Часть запасов хранится на предприятиях по обогащению урана в виде обедненного гексафторида урана. Правовой статус таких запасов не позволяет отнести их к промышленным отходам, так как имеется гипотетический потенциал их дальнейшего использования, но масштабы накопленных запасов таковы, что их реальное масштабное вовлечение в энергетический цикл возможно лишь при реализации крупнейших целевых программ государственного или даже мирового уровня.

Химически чистый уран-238, входящий в состав обедненного гексафторида урана, может служить идеальным исходным сырьем для реакторов на быстрых нейтронах. Накопленный в разных странах в значительном количестве, порядка 2 млн. тонн, в результате военных программ и развития энергетики на тепловых нейтронах обедненный гексафторид урана содержит колоссальные запасы энергии.

Оценим запасы энергии заключенные в накопленном в мире 2 млн. тоннах ОГФУ:

в 1 акте деления урана-238 выделяется 176 МэВ энергии

1 эВ=1,6*10^-19Дж

1 деление урана-238 = 2,82*10^-11Дж

238 грамм урана-238 содержит N_A число атомов = 6,02*10²³

при делении 238 грамм урана-238 выделяется 1,7*10¹³ Дж

нормируем на 1 грамм урана-238 = 7,1*10¹⁰Дж

2 млн. тонн ОГФУ = 2*10⁶*10³*10³ грамм * 7,1*10¹⁰Дж = 1,4*10²³Дж

Производство электроэнергии в мире в 2019 году составило 27*10¹⁵ Вт/ч

Запаса энергии в накопленном ОГФУ хватит на 1440 лет генерации электроэнергии на текущих уровнях.

Проведенные расчеты качественны, не учтено КПД установки, неполное выгорание топлива, замкнутый топливный цикл, наработка и использование плутония, и прочие допущения, однако общий вывод позволяет утверждать, что переход на атомную энергетику на быстрых нейтронах позволит обеспечить человечество генерацией чистой энергии на тысячи лет, при отсутствии выбросов парниковых газов. Переход на замкнутый топливный цикл сократит до минимума объем образования радиоактивных отходов, что полностью соответствует вышеопределенным целям устойчивого развития ООН.

Вовлечение в энергогенерацию накопленных объемов урана-238, в настоящий момент частью населения, воспринимаемого как промышленные отходы, будет способствовать улучшению климата, за счет отсутствия выбросов парниковых газов и продуктов сгорания углеводородов, сохранению экосистемы суши, так как отпадет необходимость разработки новых месторождений углеводородов. Энергетика будущего на быстрых реакторах позволит создать устойчивую сеть мощных источников энергии в таких странах как Китай и Индия переживающих резкий рост населения, но не имеющих достаточных энергоресурсов, все это будет способствовать устойчивому развитию в соответствии с целями и задачами ООН.