Nissan

(не)Безопасный дайджест пароли по дефолту, персданные в подарок и зарплата для фишеров

01.02.2021 12:14:39 |

Автор: admin

Продолжаем собирать классические и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone.

У них

Заводская проходная

Что случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.

Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.

Слив-подряд

Что случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб.

Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля.

Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы засветили данные 150 миллионов пользователей тех же соцсетей.

Доплата за энергию

Что произошло: Британский поставщик электроэнергии Peoples Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках третьей стороны оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в Peoples Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия.

Кто виноват: По версии Peoples Energy, причиной инцидента стало неблагоприятное стечение обстоятельств. Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой Peoples Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были.

Международная заброшка

Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации.

Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai в рамках проверки на уязвимости, которую инициировала сама ООН.

Ограбление по-итальянски

Что произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете.

Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.

Новичок на миллион

Что произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.

Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с приданым коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции.

Цена любви

Что произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов.

Кто виноват: По одной из версий дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе.

Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу).

У нас

Зряплата

Что произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на левые карты под видом зарплаты и обналичили через банкоматы.

Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной начинкой. Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию.

Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.

Сим-сим, закройся

Что произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости.

Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты.

После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть дыры в безопасности. Пресс-служба компании, правда, публично выступила против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.

Подробнее..

Категории: Информационная безопасность , It-стандарты , Блог компании searchinform , Утечки информации , Дайджест сёрчинформ , Оон , Ржд , Nissan , Vodafone

Перевод Как Tesla со своими зарядными станциями обставила остальных автопроизводителей

07.02.2021 20:15:43 |

Автор: admin

Вкратце: традиционные производители автомобилей тратят миллиарды на разработку электромобилей. Но перед тем, как потратить ещё больше, им нужно воспользоваться опытом Tesla, и создать сети зарядных станций для поддержки своих авто. Только тогда их электромобили смогут считаться продуктами. А сегодня электромобиль это ещё и платформа.

Последние пять лет крупнейшие автопроизводители серьёзно вкладываются в электромобили. В 2017 году Volkswagen Group объявила, что к 2025 году представит 80 новых электромобилей во всех своих брендах, а к 2030 электрические версии каждой из их моделей. В том же году GM анонсировала планы выпустить на дороги не менее 20 электромобилей к 2023 году. И это не всё: в Bloomberg New Energy Finance предсказывают, что к 2022 году на дорогах появится 500 различных моделей электромобилей.

Но, несмотря на все многомиллиардные вложения, ни один из крупных автопроизводителей, судя по всему, не сможет составить конкуренцию лидеру рынка Tesla, чей бренд стал почти синонимом для электромобиля. И это удивительно логично было предположить, что компании с доходом более $100 млрд в год, огромным опытом производства и крупными долями рынка, включившись в эту игру, серьёзно потеснят конкурента.

Но покупатели до сих пор предпочитают Tesla другим машинам будь то Audi eTron или симпатичные машинки таких принадлежащих GM брендов, как Buick, Cadillac, GMC и Chevy. Разгадка этого может быть весьма простой. Покупатели уверенно ездят на своих Теслах на дальние дистанции, зная, что найдут местечко для подзарядки автомобиля. И если давно существующие до сих пор автопроизводители концентрируются на совершенствовании самих автомобилей, Tesla думает над всей экосистемой, пытаясь решить ключевые проблемы водителей электромобилей.

Машина как платформа

Автомобиль ценен тем, что на нём можно ездить, а для этого его нужно постоянно заправлять. Автопроизводители машин с двигателями внутреннего сгорания об этом волноваться не приходится, АЗС в мире полно, и найти их легко. В одних Штатах их более 160 000. Поэтому они строят стратегии на основе стандартных рыночных ценностей: продукт, стоимость, размещение, реклама. Сделайте крутую тачку, активно рекламируйте, предлагайте на правильных рынках по хорошей цене и продажи пойдут.

Электромобили требуют иного анализа ценностей. Станции подзарядки быстрой находятся в зародышевом состоянии. В США их пока всего 4000. Более того, сеть зарядных станций дробится между владельцами и технологиями. Ближайший конкурент Tesla по зарядкам имеет в 10 раз меньше станций. Если вы купите не Tesla, у вас будет очень мало возможностей для планирования поездки, гарантий доступа к зарядным станциям и быстрой подзарядки.

Следовательно, электромобили это двусторонний платформенный продукт. Одна сторона это установившаяся аудитория покупателей. Вторая географически обширная сеть быстрых зарядок с несколькими стойками в каждой. Чтобы продавать электромобили, нужно иметь надёжную сеть зарядок. Однако инвестировать в создание большой сети имеет смысл, только если у вас уже есть достаточно большая база пользователей и есть спрос на эти зарядки. У Tesla есть такая сеть, а все остальные по сравнению с ней просто смехотворны. Как так получилось, и чему эта история может нас научить?

Платформам нужны сети

Nissan со своим ярким и недорогим Leaf вырвалась вперёд на раннем рынке электромобилей, и его машина стала самой продаваемым электромобилем на периоде с 2011 по 2014. Несмотря на это опережение, Nissan не смогла соорудить надёжную сеть быстрых зарядок, из-за чего покупателям приходилось довольствоваться небольшим количеством сторонних станций, обслуживающих все марки.

У Tesla был очевидно другой подход. Компания начала с продукта из разряда роскоши, Roadster, который позволил ей начать работать и обеспечил некоторые продажи. Потом в 2012 году компания выпустила Model S, на который с 2013 по 2015 год существовала очередь длительностью около года. Однако в рамках поддержки своих машин Tesla выкатила собственную сеть зарядок по всем США. Поэтому, хотя в ранние годы компания продала всего несколько тысяч машин, у неё была основа в виде огромной сети. Она решала проблему беспокойства дальности поездки у водителей размышляя о покупке Tesla, вам не нужно было беспокоиться о зарядке.

Большинство автопроизводителей выбрали подход Nissan, и сконцентрировались на производстве более качественных машин. Но представьте, что было бы, если бы вместо трат миллиардов долларов на производство машин, в которых невозможно передвигаться на дальние расстояния, Audi, GM, Ford и все остальные потратили всего лишь миллиард на создание сети суперзарядок. В США на эти деньги можно было бы построить примерно 1000 станций по 10 терминалов в каждой. Если бы сеть таких станций была правильно спроектирована, покупатели могли бы достаточно уверенно выбирать себе автомобиль по его характеристикам, вместо характеристик зарядной сети. А затем компании могли бы уже перейти к выпуску машин в промышленных масштабах, уменьшению их стоимости и в итоге составить серьёзную конкуренцию Tesla.

Преимущество платформы

Стратегия создания собственной закрытой платформы, как у Tesla, позволяет её владельцу координировать обе стороны рынка установившийся парк машин и сеть зарядок. Tesla, владея сетей зарядок, может сама устанавливать стоимость зарядки (или, например, делать зарядку бесплатной и зарабатывать только на авто), выбирать их количество, скорость создания новых и места для них.

Все эти выборы могут отражать общую бизнес-стратегию и подробные данные о клиентах компании и их поездках. Отметим, что ещё один новичок на рынке, Rivian (пока не продавшая ещё ни одной машины) тоже создаёт собственную сеть зарядок. Rivian распределяет станции по главным шоссе и кемпингам и это вполне разумно, учитывая, что она нацелилась на выпуск авто для путешествий.

Автопроизводителям стоило бы перенять опыт Tesla и сконцентрироваться на сети зарядок перед тем, как серьёзно вкладываться в разработку и производство новых электромобилей или, хотя бы, желать это параллельно. Возможно, им не придётся самостоятельно создавать сеть с нуля. Они могли бы скооперироваться с компаниями, имеющими свои сети, способные разместить у себя и станции для подзарядки. К примеру, у многих существующих компаний, связанных с ископаемым топливом, есть АЗС, которые в будущем всё равно останутся без дела их можно было бы переделать под электромобили.

Естественно, что сосредотачивать все усилия на сети стратегия не совсем безопасная. Создание сети с нуля задача нетривиальная. Непонятно, захотят ли потенциальные партнёры заключать эксклюзивные договора с единственным автопроизводителем. А каждому автопроизводителю хотелось бы заключить такой договор, чтобы опередить в соревновании остальных. Однако вложения в сеть определённо увеличат шансы на занятие доминирующей позиции на рынке электромобилей. Судя по текущей ситуации, концентрация исключительно на производстве машин такого преимущества обеспечить не в состоянии.

Заглядывая в будущее

Ясно, что Tesla изо всех сил продвигает свою стратегию высокотехнологической платформы. Пока что бизнес-модель её новой технологии автоматического вождения работает по классической схеме для этого нужно единожды оплатить обновление стоимостью в $10 000. Однако она планирует перейти на предоставление автоматических функций в качестве услуги с ежемесячной платой. Такая стратегия делает их автомобили платформой, при помощи которой можно поставлять клиентам услуги.

Преимущества такой бизнес-модели в том, что она позволяет Tesla собирать обучающие данные для алгоритмов машинного обучения, необходимых для создания автономных робомобилей. На следующем этапе автомобильной гонки это обеспечит ей критически важноеы преимущество. Что до гонки зарядных сетей, то, если другие компании серьёзно возьмутся за создание альтернатив, мы считаем, что Tesla откроет свою сеть для других марок, поскольку преимущества обладания закрытой системой в таком случае начнут уменьшаться. Мы уже начинаем видеть первые признаки того, что Tesla намекает на возможность открытия сети, приглашая присоединяться к ней нового партнёра.

Компании, мечтающие стать следующей Tesla, должны тщательно продумать причины такого серьёзного отставания. И дело не в том, что они не знают, как делать автомобили. Многие из существующих автопроизводителей занимаются этим больше ста лет. Вместо этого им надо сконцентрироваться на критически важной инфраструктуре, в данном случае зарядных сетях, позволяющих клиентам дать шанс новичку. А уже после этого они могут переключаться на следующее поле битвы управление данными о движении автомобилей, которые помогут создавать робомобили и постепенно перейти на модель машина как услуга вместо машина как продукт.