No Tag
Свежие записи
- Компания Accenture подтвердила нарушение безопасности после заявлений о краже исходного кода.
- Релиз Kali Linux 2026.2 (GNOME 50, KDE 6.6, вспомогательные скрипты, форматы APT и настройка загрузки виртуальных машин)
- Релиз Kali Linux 2026.1 (тема 2026 года, новые инструменты и режим BackTrack)
- Microsoft выпустила предупреждение о безопасной загрузке в 2026 году — что это значит для безопасности Windows.
- Microsoft спешно устраняет уязвимость нулевого дня в Office, которая активно используется злоумышленниками.
Одна из крупнейших в мире консалтинговых компаний в сфере технологий расследует инцидент в области безопасности после того, как злоумышленник заявил о краже десятков гигабайт внутренних данных разработки, предположительно принадлежащих компании Accenture.
Пользователь, использующий онлайн-псевдоним «888», разместил на известной киберпреступной площадке объявление о продаже примерно 35 ГБ конфиденциальной информации компании. Согласно объявлению, набор данных содержит закрытый исходный код, а также конфиденциальные данные аутентификации, включая учетные данные облачного сервиса, криптографические ключи и файлы конфигурации разработки.
Хотя компания Accenture признала факт инцидента и заявила, что источник утечки устранен, она также подчеркнула, что ее деятельность и предоставление услуг клиентам не пострадали. На момент написания статьи многие заявления хакера остаются неподтвержденными независимыми источниками, поэтому исследователи в области безопасности тщательно изучают имеющиеся доказательства, а организации отслеживают возможные более широкие последствия.
На подпольном рынке появились слухи.
Информация о предполагаемом взломе стала достоянием общественности после того, как злоумышленник разместил объявление о продаже набора данных на подпольном хакерском форуме, часто посещаемом киберпреступниками.
Продавец утверждает, что архив содержит приблизительно 35 ГБ внутренних материалов разработки, якобы полученных в июле 2026 года. Хотя к объявлениям на криминальных форумах всегда следует относиться с осторожностью, объявления, касающиеся крупных предприятий, часто привлекают немедленное внимание, поскольку могут предоставить злоумышленникам ценную информацию еще до того, как украденные данные будут опубликованы.
Киберпреступники обычно пытаются монетизировать украденную корпоративную информацию посредством частных продаж, переговоров о выкупе или эксклюзивных аукционов, нацеленных на конкурентов и других участников угроз. Репозитории исходного кода и учетные данные облачных сервисов остаются одними из самых ценных активов, поскольку они могут раскрыть, как корпоративные приложения работают внутри, и потенциально открыть пути доступа к средам разработки.
Что содержит предполагаемый набор данных?
Согласно заявлениям злоумышленника, украденная информация включает в себя несколько категорий особо конфиденциальных ресурсов для разработки, в том числе:
Если эта комбинация информации подлинная, она будет представлять собой значительно больше, чем обычная утечка исходного кода.
Современные корпоративные приложения зависят от множества секретных данных, используемых для аутентификации разработчиков, автоматизированных систем сборки, облачных сервисов, API, баз данных и конвейеров развертывания. Эти секреты часто хранятся отдельно от кода приложения, что делает их особенно ценными для злоумышленников, стремящихся получить долгосрочный доступ.
Раскрытые учетные данные представляют собой больший непосредственный операционный риск, чем утечка исходного кода, поскольку действительные токены аутентификации потенциально могут обеспечить прямой доступ к инфраструктуре без необходимости использования уязвимостей программного обеспечения.
Исходный код сам по себе не гарантирует немедленного компромисса.
При появлении сообщений о краже исходного кода важно различать потерю интеллектуальной собственности и активное нарушение инфраструктуры.
Наличие исходного кода приложения не гарантирует злоумышленникам автоматически доступ к производственным средам. Многие крупные поставщики программного обеспечения, включая Microsoft, Electronic Arts, Samsung, NVIDIA и другие, сталкивались с утечками исходного кода, при этом злоумышленники не обязательно получали неограниченный доступ к системам клиентов.
Однако исходный код предоставляет злоумышленникам возможность изучать программное обеспечение в автономном режиме и в удобном для них темпе.
Исследователи могут выявлять скрытые функции, логику аутентификации, жестко закодированные секреты, небезопасные реализации API, недокументированные административные интерфейсы или ранее не обнаруженные уязвимости. Преступные группы могут тратить значительное время на обратное проектирование крупных приложений, прежде чем пытаться осуществить целенаправленную эксплуатацию.
В сочетании с действительными учетными данными, облачными токенами или ключами шифрования общий риск существенно возрастает.
Использование облачных учетных данных может представлять больший риск.
Среди предположительно украденных активов особое внимание привлекли персональные токены доступа Azure и ключи доступа к хранилищу.
Персональные токены доступа Azure широко используются в средах Azure DevOps для аутентификации разработчиков, рабочих процессов автоматизации, систем непрерывной интеграции и конвейеров развертывания. В зависимости от назначенных им разрешений эти токены могут предоставлять доступ к репозиториям исходного кода, каналам пакетов, артефактам сборки, конвейерам релизов или ресурсам управления проектами.
Аналогичным образом, ключи Azure Storage могут обеспечивать широкий административный контроль над учетными записями облачного хранилища, если они остаются активными.
В настоящее время неизвестно, остаются ли эти учетные данные действительными. Большинство организаций немедленно обновляют раскрытые секреты после обнаружения инцидента, что значительно снижает их полезность для злоумышленников.
Тем не менее, учетные данные для облачных сервисов считаются ценными активами, поскольку организации все чаще полагаются на автоматизированные конвейеры разработки, которые связывают репозитории, среды тестирования, облачную инфраструктуру и производственные развертывания.
Исследователи в области безопасности сосредоточились на файлах среды разработки.
Исследователи, изучавшие образцы, предположительно опубликованные злоумышленником, выявили еще одну потенциально важную деталь.
Вместо публикации исходного кода сам образец, как сообщается, содержал структуру каталогов, описывающую части внутренней организации проекта. В этом списке каталогов было обнаружено множество ссылок на файлы с расширением “.env”.
Хотя это может показаться незначительным для тех, кто не занимается разработкой, файлы окружения часто содержат наиболее конфиденциальную информацию в программных проектах.
Разработчики обычно используют эти файлы для хранения:
В соответствии с передовыми отраслевыми практиками рекомендуется исключать эти файлы из общедоступных систем контроля версий с помощью таких механизмов, как “.gitignore”. В результате обнаружение многочисленных файлов окружения в предположительно украденных данных разработки может указывать на то, что информация получена с рабочей станции разработчика или из другой внутренней среды, а не непосредственно из общедоступного репозитория.
Данная интерпретация не была подтверждена компанией Accenture.
Могло ли произойти компрометирование конечного устройства разработчика?
Если предполагаемый набор данных действительно был получен с компьютера разработчика, то этот инцидент проиллюстрировал бы растущую тенденцию в кибератаках на предприятия.
Вместо того чтобы атаковать хорошо защищенные производственные серверы, многие злоумышленники теперь сосредотачиваются на разработчиках, поскольку их системы часто содержат привилегированные учетные данные, кэшированные токены аутентификации, локальные репозитории, тестовые среды, ключи SSH, сертификаты VPN и учетные данные для доступа к облаку.
Взлом одной привилегированной конечной точки разработчика иногда может предоставить злоумышленникам информацию о нескольких внутренних проектах.
В последние годы участились атаки на разработчиков программного обеспечения с использованием вредоносных пакетов, фишинговых кампаний, вредоносных программ для кражи информации, кражи учетных данных в браузерах и скомпрометированных инструментов разработки.
Поскольку разработчикам часто требуются повышенные права доступа для выполнения своей работы, их конечные точки стали все более привлекательными целями для атак.
Проблемы, связанные с цепочками поставок, продолжают расти.
Инциденты, связанные с исходным кодом и учетными данными разработчиков, привлекают значительное внимание из-за их потенциальных последствий для цепочки поставок.
Компании-разработчики программного обеспечения используют обширные экосистемы разработки, включающие облачные сервисы, автоматизированное тестирование, сторонние библиотеки, платформы развертывания и среды «инфраструктура как код».
Если злоумышленникам удастся скомпрометировать эти экосистемы, они могут попытаться сделать следующее:
В настоящее время нет никаких доказательств, подтверждающих, что какой-либо из этих сценариев имел место в данном случае.
Компания Accenture подтвердила инцидент.
После первоначальных сообщений компания Accenture подтвердила, что провела расследование по данному вопросу и заявила, что причина инцидента устранена.
Компания также подчеркнула, что это никак не повлияло на ее деятельность или качество обслуживания клиентов.
На момент публикации компания Accenture не раскрыла публично техническую природу инцидента, способы доступа к данным, были ли учетные данные активны на момент обнаружения, а также была ли затронута информация о клиентах.
Без дополнительных криминалистических данных оценить общий масштаб проблемы по-прежнему сложно.
Известное имя на подпольных форумах
Лицо, взявшее на себя ответственность, ранее фигурировало в ряде других громких случаев предполагаемых нарушений корпоративного законодательства в отношении транснациональных организаций.
Как и во многих случаях с заявлениями о владении товаром на подпольных рынках, к вопросу об авторстве следует подходить с осторожностью.
Злоумышленники часто преувеличивают масштабы украденных наборов данных, повторно используют ранее просочившиеся материалы, объединяют информацию из нескольких инцидентов или рекламируют данные, которыми они на самом деле не владеют. Покупатели на криминальных площадках часто проверяют образцы перед приобретением больших архивов.
Следовательно, организации и исследователи, как правило, ждут независимой проверки, прежде чем делать окончательные выводы о подлинности или полноте рекламируемых данных.
Уроки предпринимательства
Независимо от окончательных результатов криминалистической экспертизы, этот инцидент подтверждает ряд приоритетных задач в области безопасности для крупных организаций.
Секретные данные никогда не должны оставаться неприкосновенными навсегда. Регулярная смена учетных данных, контроль доступа с минимальными привилегиями, аппаратная аутентификация, управление привилегированным доступом и непрерывное сканирование секретных данных снижают последствия случайного раскрытия.
Организации также все чаще внедряют автоматизированные инструменты обнаружения секретной информации, способные выявлять скомпрометированные ключи API, учетные данные облачных сервисов, сертификаты и токены аутентификации до того, как код попадет в производственные репозитории.
Рабочие станции разработчиков также стали одним из главных приоритетов в области защиты. Платформы обнаружения и реагирования на угрозы на конечных устройствах, аутентификация, устойчивая к фишингу, сегментация привилегированных рабочих станций и непрерывный мониторинг помогают уменьшить возможности для злоумышленников, нацеленных на команды разработчиков программного обеспечения.
Расследование продолжается.
В настоящее время ряд важных вопросов остаются без ответа. Независимая проверка всего набора данных не была опубликована, и нет никаких общедоступных доказательств, подтверждающих дальнейшую действительность каких-либо предположительно раскрытых учетных данных.
Известно, что злоумышленник заявил о наличии у него конфиденциальных материалов разработчиков Accenture; исследователи выявили признаки, указывающие на то, что архив может содержать файлы конфигурации среды; компания Accenture подтвердила инцидент, заявив при этом, что бизнес-процессы остаются незатронутыми, а источник проблемы устранен.
Пока следователи продолжают изучать имеющиеся доказательства, этот инцидент служит еще одним напоминанием о том, что современные кибератаки все чаще нацелены на сам жизненный цикл разработки программного обеспечения. Исходный код, учетные данные облачных сервисов, конечные точки разработчиков и автоматизированные конвейеры развертывания стали одними из наиболее ценных целей в корпоративных средах, что делает надежное управление идентификацией, защиту секретной информации и непрерывный мониторинг важнейшими компонентами современной стратегии кибербезопасности.