СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.12.2025
#ИБ

Утечка 27 500 записей через взлом хранилища кода

В начале — середине декабря 2025 года в Университете Сиднея было обнаружено крупное нарушение безопасности: злоумышленники получили доступ к онлайн‑хранилищу кода и извлекли около 27 500 записей сотрудников и студентов. Инцидент выявил критическую уязвимость — утечка данных произошла не из основных производственных баз (студенческих или кадровых систем), а из менее защищённой платформы разработки типа GitLab или GitHub.

Как произошёл взлом

Доступ, по оценке расследующих, был получен через компрометацию учётных записей или ослабленные механизмы контроля доступа в облачном сервисе, где размещалось хранилище. Вероятные сценарии начального доступа включают:

  • использование общедоступных приложений или существующих облачных аккаунтов;
  • получение учётных данных через фишинговые кампании или атаки брутфорсом;
  • слабые или отсутствующие меры многофакторной аутентификации на платформах разработки.

Для обхода обнаружения злоумышленники могли применять приёмы, характерные для фреймворка MITRE ATT&CK, включая манипуляции журналами (логами) и скрытую эксфильтрацию данных через стандартные веб‑протоколы (в частности, HTTPS), что делало активность менее заметной для систем мониторинга.

Технические подробности

Сбор данных облегчался прямым доступом к серверу хранилища, что позволило извлечь конфиденциальную личную информацию (PII). При первичном анализе выявлены следующие характерные признаки инцидента (IOC):

  • необычный исходящий трафик из подсети разработки;
  • доступы из аккаунтов, имеющих привилегии к репозиторию, но не используемых в производственной среде;
  • следы возможной очистки или редактирования логов;
  • потенциальные утечки шаблонов с незашифрованными PII в непроизводственных средах.

Меры, принятые университетом

«Университет изменил свои правила обнаружения, чтобы гарантировать, что политики предотвращения потери данных (DLP) помечают эксфильтрацию определённых конфиденциальных шаблонов из непроизводственных сред».

Кроме этого, в рамках реагирования была повышена приверженность расследованию аномалий исходящего трафика и пересмотрены политики доступа в подсети разработки.

Рекомендации по снижению рисков

Чтобы уменьшить вероятность повторения подобных инцидентов, эксперты рекомендуют университетам и организациям, работающим с кодовыми репозиториями, принять следующие меры:

  • Внедрить строгий RBAC — контроль доступа на основе ролей, минимизация прав до уровня, необходимого для работы.
  • Обязательная MFA для всех учетных записей, имеющих доступ к репозиториям и CI/CD.
  • Провести всестороннее сканирование непроизводственных сред на предмет теневых данных и незашифрованных PII.
  • Отделение сетей разработки от производственных (network segmentation) и ограничение маршрутов между средами.
  • Регулярная ревизия учётных записей — удаление устаревших и чрезмерно привилегированных аккаунтов.
  • Настройка DLP‑политик, специально ориентированных на эксфильтрацию из непроизводственных репозиториев.
  • Мониторинг и корреляция логов с акцентом на необычный исходящий трафик и изменения в лог‑файлах.
  • Обучение персонала: повышение осведомлённости о фишинге и защите учётных записей.

Последствия для затронутых лиц

Утечка PII повышает риск кражи личных данных и целевых фишинговых атак. Пострадавшим рекомендуется проявлять повышенную осторожность:

  • подозрительные письма и сообщения с персональными данными — не открывать и не переходить по ссылкам;
  • активировать MFA, если ещё не включено, и сменить пароли на уникальные;
  • по возможности подключить мониторинг кредитной истории и уведомления о подозрительной активности.

Вывод

Инцидент в Университете Сиднея подчёркивает, что основные угрозы безопасности исходят не только от атак на центральные БД, но и от компрометации вспомогательных инструментов разработки. Ключ к снижению рисков — комплексный подход: управление доступом, MFA, сегментация сред, контроль DLP и регулярные аудиты непроизводственных систем. Без этих мер организации остаются уязвимыми для атак, которые используют менее защищённые, но критически важные компоненты инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: