«Солар»: сотрудники крупнейших компаний используют корпоративные учетки на внешних ресурсах

Эксперты центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», ведущего провайдера комплексной кибербезопасности в России, проанализировали утечки корпоративных учетных данных в крупнейших российских компаниях, найденные в открытых и теневых источниках. В среднем на одну крупную организацию в России приходится более 600 утекших уникальных корпоративных учетных записей, из которых больше половины — с паролем в открытом виде. При этом только в 4% случаев имеются признаки прямой компрометации инфраструктур организаций. В основной же массе речь идет об использовании сотрудниками корпоративных email и паролей на внешних интернет-ресурсах.
Исследование проводилось среди крупнейших по выручке компаний из разных отраслей согласно рейтингу РБК500 за 2025 г. Всего в выборку попало 10 организаций: аналитики изучили 19 285 строк, связанных с их корпоративными доменами и учетными данными. В выборке было выявлено 6 194 уникальных корпоративных учетных записей, из них 3 739 сопровождались паролями в открытом виде. Подозрения на прямую компрометацию корпоративной инфраструктуры зафиксированы в 270 случаях.
Исследование показало, что киберриски в компаниях связаны не только с прямыми взломами внутренних систем. Не меньшую опасность представляют повседневные цифровые привычки сотрудников, которые используют корпоративный email для регистрации на внешних интернет-ресурсах (маркетплейсах, форумах, обучающих платформах, SaaS-инструментах и др.). Если на внешнем сервисе сотрудник использует тот же пароль, что и в корпоративном контуре, такая утечка может дать злоумышленникам точку входа в инфраструктуру организации.
Суммарно в отчетах выявлено 5 985 строк, где корпоративные логины встречались вместе с паролями (открытыми и в виде хэш-сумм). Как отмечают эксперты, в части утечек встречаются короткие, цифровые и повторяющиеся пароли, что повышает вероятность успешной автоматизированной проверки пар логин-пароль на других ресурсах. И, хотя формально все эти факты не являются доказательством успешного входа в корпоративные системы, они создают риски повторного использования паролей, таргетированного фишинга, атак на службу ИТ-поддержки организации и попыток восстановления доступа к аккаунтам через корпоративный email. Особенно опасны такие сценарии при отсутствии многофакторной аутентификации, слабом контроле аномальных входов и несвоевременной блокировке неактуальных учетных записей.
В 458 случаях данные выглядели критично, но требовали дополнительной проверки: ручной валидации владельца хоста, принадлежности учетной записи и анализа журналов входа. Это показывает, что работа с утекшими учетными данными не может ограничиваться автоматическим поиском совпадений. ИБ-командам важно быстро отделять реальные признаки компрометации от внешних утечек и определять, какие учетные записи нужно срочно блокировать, для каких достаточно принудительной смены пароля, а где требуется дополнительное расследование.
Отдельный риск связан с персональными данными сотрудников. В исследовании Solar AURA зафиксировано 12 612 строк с ПДн-компонентой. Даже если в таких утечках нет пароля в открытом виде, они повышают эффективность социальной инженерии: злоумышленники могут использовать данные о сотруднике для подготовки фишинговых писем, звонков в поддержку, подбора ответов для восстановления доступа или атак на личные аккаунты, связанные с рабочей почтой.
«Результаты исследования показывают важную вещь: сотрудники используют рабочую почту, а в некоторых случаях и пароли, на внешних сервисах, которые находятся вне контроля компании. В связи с этим важную роль играет повышение киберграмотности сотрудников, чтобы они осознавали риски и не использовали корпоративные учётные данные на сторонних ресурсах в личных целях. А для ИБ-команд важно не просто найти такие данные в открытых или теневых источниках, а быстро понять, насколько они валидны для входа в корпоративный контур. Именно поэтому управление доступом должно быть связано с процессами мониторинга утечек: найденная скомпрометированная учетная запись должна оперативно пройти проверку. После этого важно определить, какие действия необходимо выполнить: где-то достаточно принудительно сменить пароль, где-то нужно заблокировать учетную запись, а в отдельных случаях — запустить полноценное расследование. Такой подход позволяет снизить вероятность того, что использование рабочей почты на внешнем сервисе перерастет в полноценный инцидент для компании» — прокомментировал Ярослав Жиронкин, руководитель продукта по управлению доступом Solar inRights ГК «Солар».
Эксперты «Солара» рекомендуют компаниям регулярно проверять появление корпоративных учетных данных в открытых и теневых источниках, в том числе с помощью сервисов класса Digital Risk Protection, внедрять многофакторную аутентификацию для критичных систем и контролировать повторное использование паролей. При этом обнаружение утечки должно быть связано с процессами управления доступом: если скомпрометированная связка «логин-пароль» остается актуальной во внутренних системах, учетную запись рекомендуется оперативно заблокировать, перевести на принудительную смену пароля или отправить на дополнительную проверку.



