Украинка помогла хакерам "слить" данные миллионов россиян: эксперт раскрыл детали взлома

Хакер
Фото: Getty Images | Хакерская атака

Харьковчанка предоставила корпоративные учетные записи, благодаря которым специалисты из "Украинского Кибер Альянса" отыскали критическую уязвимость системы.

Жительница Харькова по имени Дарья устроилась на работу в российскую компанию и помогла хакерам завладеть данными миллионов россиян. Об этом сооснователь общественной организации "Украинский Кибер Альянс" (Ukrainian Cyber Alliance) Андрей Баранович сообщил на своей странице в Facebook.

24 февраля, когда началось полномасштабное российское вторжение в Украину, у Дарьи был назначен первый рабочий день в российской онлайн-школе по изучению английского языка Skyeng. Украинка не смогла работать, ведь на Харьков обрушились крылатые ракеты РФ, но она успела получить учетную запись в системе.

Девушка обратилась к хакерамм и передала доступ к своим аккаунтам. По словам Андрея Барановича, специалисты изучили систему Skyeng и быстро нашли хорошую небезопасную прямую ссылку на объект (Insecure direct object reference или IDOR) — это уязвимость управления доступом в цифровой безопасности. Она появляется, когда веб-сервис или интерфейс использует идентификатор для прямого доступа ко внутренней базе данных, но не проверяет аутентификацию.

Skyeng Fullscreen
Взлом Skyeng
Фото: Facebook

"10 миллионов записей дорогих россиян. Даже с юзерпиками. Видимо, мы там не первые, потому что в июне часть той же самой базы появилась на тематических форумах", — написал Андрей Баранович. — "Мы же в свою очередь, напоминаем о том, что мы базы не продаем, а только показываем. И Дарье спасибо огромное за то, что запустила нас внутрь. Если мародеры, военные преступники и оккупанты думают спрятаться, то у них не выйдет".

В комментариях эксперт разместил заявление от Skyeng в Telegram, компания отрицает утечку данных из своей системы и уверяет, что вся пользовательская информация надежно защищена. "Опубликованные новости — просто ложная и вводящая в заблуждения информация", — отмечается в посте.

Skyeng Fullscreen
Skyeng
Фото: Facebook

Ранее в "Сбербанке" заявили, что с начала войны в Украине хакеры украли данные 65 млн россиян. При помощи одних лишь DDoS-атак пользователям удалось нарушить работу веб-сервисов 87 крупных компаний из РФ.

"Тамошняя минцифра списывает все на инсайдеров. Вы же понимаете, это только в России настоящие суперхакеры, а в остальных странах скидди погулять вышли. Но иногда инсайдер может оказать неоценимую помощь", — прокомментировал Андрей Баранович.

В мае IT-армия Украины атаковала банки РФ и лишила россиян доступа к деньгам. Российские пользователи начали массово жаловаться в социальных сетях на сбои в работе сайтов и мобильных приложений, которые заметили в сервисах многих крупных и региональных компаний.