Бывшие сотрудники отечественного видеохостинга Rutube в разговоре с изданием Forbes рассказали о проблемах в системе безопасности сервиса. По их словам, в ходе аудита удалось найти ряд критических уязвимостей в офисной инфраструктуре компании, не отделённой от сайта. Как указывают бывшие сотрудники, для взлома нужно было «хорошо понимать, как именно работает инфраструктура сервиса, поэтому у злоумышленников либо был инсайдер в компании, либо доступ к технической документации и данным аудита».
Аудит проводили в 2021 году. Кроме Group-IB в его проведении участвовали Positive Technologies, Digital Security и «Ростелеком». В ходе тестовых атак не удалось взломать сайт, но были найдены уязвимости в офисной инфраструктуре. Group-IB предупреждала, что атака на сайт возможна именно через эти уязвимости. Поэтому нужно было отделить офисную инфраструктуру от сайта и защищать отдельно, на что должно было уйти от трёх до шести месяцев. Однако в августе прошлого года у Rutube сменилось руководство, и работу по этому направлению приостановили. Один из источников Forbes указывает, что «уязвимости, выявленные в результате аудита, все же успели устранить до атаки».
Как указывают бывшие сотрудники, 9 мая специалисты хостинга зафиксировали атаку примерно между 3 и 4 часами утра МСК, но не смогли оперативно отреагировать, а через некоторое время «сервис попросту удалился». Хакеры проникли в систему, получили доступ к админке и модифицировали исходный код Rutube так, чтобы он удалял данные из файлохранилища сервиса. Хакерам не удалось удалить исходный код сервиса, но в результате инцидента Rutube всё равно потеряет часть контента, утверждают бывшие сотрудники.
По словам одного из источников Forbes, для такой атаки нужно было хорошо понимать работу инфраструктуры хостинга. У злоумышленников должен быть либо свой человек в компании, либо доступ к технической документации и данным аудита. Другой источник утверждает, что атака могла произойти при помощи инсайдера не только злонамеренно, но и случайно. Сотрудник мог использовать заражённую флешку или, например, открыть фишинговое письмо.
9 мая отечественный видеохостинг Rutube сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. На третий день сервис всё ещё недоступен, сменился дисклеймер на сайте. Кроме того, в Twitter появились, предположительно, слитые скриншоты взломанной админки Rutube. Сразу после взлома в СМИ появился слух об утере исходного кода сайта сервиса, из-за чего Rutube больше не подлежит восстановлению. В ответе на запрос информационной службы Хабра техслужба Rutube опровергла этот слух. При этом сервис признаёт, что столкнулся с самой сильной АРТ-атакой за всю историю своего существования. 11 мая работа сервиса была частично восстановлена.
Хабр
Последнее редактирование модератором: