Корпоративное расследование

Расследование инцидента с утечкой базы клиентов

Крупная fintech-компания обнаружила в открытом доступе (теневые форумы и Telegram-каналы) базу данных своих клиентов за последние 3 года. Объем утечки: 1,2 млн записей

ПРЕДМЕТ СПОРА

Технический директор настаивал на версии хакерской атаки, чтобы списать убытки на форс-мажор. Генеральный директор сомневался и инициировал независимую внесудебную компьютерно-техническую экспертизу для объективной оценки причин инцидента и подготовки к возможным искам к регуляторам и клиентам

ВОПРОСЫ ЭКСПЕРТУ

Основные вопросы, которые необходимо было определить в ходе экспертизы

Имело ли место несанкционированное проникновение в сеть компании извне? Если да, то каким способом (SQL-инъекция, подбор пароля, уязвимость ПО)?
Когда произошло копирование базы данных (точная дата и время по логам сервера)?
Можно ли установить IP-адреса, с которых производилось несанкционированное копирование? Принадлежат ли эти адреса внешним сетям или внутренней сети компании?
Присутствуют ли на серверах или рабочих станциях сотрудников следы работы вредоносных программ (стилеров, бэкдоров), которые могли автоматически собрать и отправить данные?

Обсудить вашу ситуацию

ВЫВОДЫ
- Признаков успешных SQL-инъекций или взлома публичного веб-сервера не обнаружено. Файрволы и IPS не фиксировали характерного для инъекций трафика в день инцидента.
- Установлено, что дамп базы данных был создан с IP-адреса центрального офиса, который принадлежит рабочей станции, закрепленной за сотрудником отдела техподдержки
РЕШЕНИЕ КЛИЕНТА

Заключение экспертизы приложено к уведомлению в Роскомнадзор. Это позволило компании доказать, что утечка произошла не из-за технической уязвимости (за что следует максимальный штраф до 3% от оборота), а в результате злого умысла сотрудника, что является смягчающим обстоятельством. Штраф составил 60 тыс. рублей вместо потенциальных 15 млн рублей.