20 мая около 19:00 в Телеграм-канале «Утечки информации» была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru.
По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя три часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.
В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании «Перспективный мониторинг» (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).
Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и т. п. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.
Также расследование установило, что сервисы сайта «ИнфоТеКС» (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт будет запущен в работу.
Все программное и аппаратное обеспечение сайта расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.
Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т. д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.
Мы настоятельно рекомендуем зарегистрированным пользователям сайта оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.