Интернет-OSINT самих себя. Или какие критические данные можно извлечь из сети о любом онлайн-проекте. Эксперимент

Мы попросили экспертов компании GigaCloud провести разведку OSINT: какие данные о нашем сайте dev.ua можно найти в интернете и насколько они критичны.

Вот что получилось

1. Паукам удалось накроулить, что мы удалили такие субдомены в 2022 году:

• team.dev.ua
• only.dev.ua
• mef-dev.dev.ua
• huawei-cybersport.dev.ua
• Favbet-job.dev.ua

Здесь можно увидеть некоторые спецпроекты, которые мы пытались разработать, но некоторые из них по каким-то причинам так и не вышли. Есть ли среди них компроматы? Вроде бы нет. Но могло произойти и такое, что мы готовили секретный проект, о котором все вдруг узнали.

2. Также удалось найти автора нашего публичного договора — Бондарович Инна. Это могло бы дать возможность злоумышленникам подобрать логины/пароли к учетным записям системы. А хуже всего, что могло бы случиться — злоумышленник мог бы попытаться завербовать инсайдера.

3. Дальнейший анализ айтишников дал понять, что на том же айпишнике, что и наши ресурсы, существует российский сайт bum-tv.ru.

Причина в том, что у CloudFlare, у которого мы заказываем услуги, на одном IP, может быть множество сайтов. И таким образом, если, например, государство заблокирует доступ к bum-tv.ru, то теоретически лечь может и наш сайт.

И это еще не все — удалось найти IP-адрес нашей админ-панели. Теоретически, хакеры могут атаковать не сам ресурс, а админ-панель, чтобы сделать невозможным дальнейшую работу медиа.

4. Также удалось собрать названия почтовых адресов наших сотрудников (правда, не всех). Вместе с айпишном нашей почты — это может стать инструментом в руках хакера, который будет пытаться войти в систему и сделать там все, что он считает нужным: слежка, удаление данных, заражение вирусами и прочее.

Эксперты GigaCloud утверждают, что такая уязвимость может помочь злоумышленникам подобрать пароли к найденным аккаунтам. Другая тактика — пароли можно украсть, используя социальную инженерию, потому что теперь с сотрудниками редакции можно связаться и попытаться выманить критически важные данные.

5. Родственные с нами сайты, о которых бы мы, возможно, не хотели, чтобы узнали другие:

Паукам удалось найти несколько наших проектов, которые либо заморожены (bbbl.dev), либо работают косвенно от нас: klatz-klatz.com.

В нашей ситуации здесь опять-таки нет никаких рисков, потому что это публичные, не серые интернет-проекты. Но представим себе ситуацию, когда у интернет-предпринимателя есть как белый, так и серый бизнес одновременно. Очень быстро можно узнать, что он пытался скрыть.

6. Все наши официальные страницы в социальных сетях

Здесь опять-таки нет ничего опасного для нас, как для СМИ. Но удалось найти и упоминавшие нас страницы. Здесь могут появляться нюансы.

В нашем случае на аккаунтах, которые нас упомянули, нет хейт-кампаний. Но можно предположить, что таким образом злоумышленники могут, например, найти страницы об интернет-бизнесменах, созданных для того, чтобы портить ему репутацию, его нежелательные фотки и другой компромат.

Как объясняют эксперты GigaCloud, соцсети дают еще дополнительную информацию о пользователях и событиях. К примеру, в редакции состоялся корпоратив. Об этом был пост в соцсетях.

Следующий шаг злоумышленников — письмо со ссылкой «Фото из корпоратива». Там обязательно будет фишинговая ссылка.

Вывод: Большинство данных о dev.ua, которые есть в свободном доступе в интернете, не представляют угрозы для нашего бизнеса.

Но есть и моменты, которые действительно могут создать проблему: например, российский сайт, у которого такой же IP-адрес как у нас, или же данные о почтовых адресах (находка для хакера).

На самом деле такой простой OSINT сейчас проводится по тысячам украинских сайтов. И провожают его те, кто действительно хочет найти уязвимости и воспользоваться ими. Ведь Украина находится в стадии войны с рф. Для этого враг использует любые механизмы, чтобы нанести нам максимальный вред.

Топ-4 совета для уменьшения риска во время OSINT-разведки

Итак, что нужно сделать, чтобы злоумышленники во время разведки могли завладеть как можно меньшим массивом данных о вашем бизнесе. Здесь эксперты GigaCloud советуют сделать следующее:

1. Уменьшить распространение персонифицированных корпоративных аккаунтов. На веб-сайтах, к примеру, указывается почта info@PPPP, а не vasyapupkin@PPPPP. Это также касается публикации корпоративных аккаунтов на Facebook, джоб-сайтах (обычно рекрутеры оставляют персонифицированные данные и личную почту).
2. Если вы пользуетесь гиперскейлерами безопасности типа CloudFlare, то после переезда на них лучше изменить реальный IP-адрес ресурса, это позволит закрыть его от злоумышленников. И злоумышленники не смогут атаковать по IP.
3. Когда вы публикуете информацию на Facebook, сайтах в любых открытых источниках, проверьте, точно ли эта информация не вредит безопасности компании. Ведь из корпоративных фотографий и любых данных можно сделать выводы о дальнейшем OSINT.
4. Любая PR- и маркетинговая информация может дать еду для OSINT, даже если вы этого не желаете. Учите этому сотрудников. Они обязательно должны разумно публиковать свои фото и данные

Что же важно знать

OSINT-разведка — это лишь один из инструментов киберпреступников. Кроме него хакеры используют вредоносное программное обеспечение, воруют пароли, перехватывают трафик, запускают фишинговые и DDoS-атаки. Цель — получить доступ к IT-системам, остановить работу важных узлов IT-инфраструктуры, прервать сделки и бизнес-операции, украсть данные и вызвать простой бизнес.

Хакерские атаки на украинский бизнес и государственные организации стали очень распространенным явлением во время войны. Вспомните хотя бы последнюю атаку на ИТ-инфраструктуру «Киевстар». Она почти на неделю парализовала компанию, а также ее партнеров.

Те компании, которые не имеют в своем штате специалистов по кибербезопасности, должны позаботиться о том, чтобы они у них появились как можно скорее. А также должны позаботиться о безопасности своих IT-систем.

Тем компаниям, для которых IT — не профильное направление, лучше воспользоваться услугами облачных операторов и перенести свои критически важные данные и сервисы в облако.

К примеру, GigaCloud предлагает высокий уровень кибербезопасности, включая брандмауэры и программное обеспечение для мониторинга угроз. Информационная безопасность в облаке подтверждена международными сертификатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP и КСЗИ.

Кроме того, GigaCloud предлагает облачный сервис DRaaS (Disaster Recovery as a Service) для аварийного возобновления работы IT-инфраструктуры на резервной площадке, размещённой на мощностях облачного оператора. То есть инфраструктура клиента работает в облаке или на собственном оборудовании и через определенный промежуток времени копируется в облако GigaCloud.

Но если основная площадка клиента становится частично или полностью недоступна, то в работу включается резервная инфраструктура. Таким образом, даже после самой мощной хакерской атаки бизнес сможет продолжить работать без простой и репутационных потерь.