KPN и беспечное отношение к кибербезопасности

Автор: Дмитрий Канн Чтение на 3 мин

Не один десяток лет работаю в ИТ, много разгильдяйства повидал, но некоторые новости всё равно повергают меня в недоумение.

Монтёр крупнейшего телеком-провайдера KPN забыл свой ноутбук у клиента. И не просто забыл, а больше за ним и не обращался.

Но даже не это здесь самое интересное — настоящие сюрпризы поджидали исследователей издания Trouw, в распоряжении которых оказалось устройство, в его содержимом.

KPN Security

Тонкая ирония: у провайдера есть специальное бизнес-подразделение KPN Security, предоставляющее услуги по обеспечению кибербезопасности. Так вот оно предупреждает, что около четверти компаний периодически «теряют» какое-либо устройство, и поэтому рекомендует применять меры предосторожности.

Возвращаясь от возвышенной теории к приземлённой практике, Trouw заключает, что в плане кибербезопасности у KPN всё чрезвычайно весело.

Исследователи без труда получили доступ к интранету (внутренней сети компании) под названием TeamKPN — никаких токенов или других методов авторизации не потребовалось. А уж в интранете можно было разгуляться: нашлось множество конфиденциальных документов таких клиентов провайдера как правительство Нидерландов, AIVD (служба разведки), минобороны, Королевский дом и даже НАТО.

Потенциал утечки

Компания KPN является ключевым поставщиком телекоммуникационных услуг в стране. Она отвечает за многие жизненно важные коммуникации и объекты инфраструктуры в таких сферах как здравоохранение, экономика, энергетика, оборона. Можно предполагать, что соответствующая информация должна охраняться как зеница ока.

Тем не менее, в сети нашёлся, например, сводный список с данными 16 тысяч клиентов провайдера, включая имена и контактные данные соответствующих аккаунт-менеджеров. Одно только это сильно повышает риск применения социальной инженерии для получения доступа к конфиденциальным данным.

Помимо этого, у браузера ноутбука было включено сохранение паролей, благодаря чему можно было без проблем посетить любой ранее использованный сайт.

Также вызывает ряд вопросов тот факт, что доступ к интранету имеется у каждого из 13 000 сотрудников KPN, включая стажёров и сотрудников Huawei, партнёров компании.

«Надёжна и основательна»

Эпизод с ноутбуком завершился хэппи-ендом: Trouw вернуло его монтёру.

Поскольку тот использует его не каждый день, он обнаружил пропажу несколько дней спустя и не помнил, где его оставил — потому и не забрал. Но, как полагается, сообщил о пропаже (как будто это что-то изменило). Клиент же, обнаруживший забытый ноутбук, не смог его вернуть через клиентскую службу компании (!) и поэтому передал в редакцию Trouw.

В своём ответе, однако, KPN заявила, что политика безопасности в отношении использования устройств сотрудниками «надёжна и основательна». ¯\_(ツ)_/¯

Список обнаруженных проблем

  • Монтёр KPN оставил ноутбук у клиента, но не знает, когда и где, и не забрал его.
  • У ноутбука нет пароля на вход. На нём установлена устаревшая Windows 7, а пароль к ней, как выяснилось после просмотра системных логов, был удалён до происшествия.
  • Адреса, имена пользователей и пароли внутренних сайтов KPN сохранены в менеджере паролей Google Chrome. Более того, благодаря активной синхронизации паролей, даже при смене пароля в другом месте он будет автоматически обновлён в ноутбуке.
  • Спустя значительное время после пропажи пароль на интранет всё ещё работает.
  • При логине в интранет не используется защищённое соединение и не применяется двухфакторная аутентификация.
  • Тысячи сотрудников KPN имеют доступ к внутренней сети, включая временных сотрудников.
  • Контактные данные тысяч сотрудников легкодоступны.
  • В интранет можно загружать файлы. Например, инфицированные вирусом.

Аплодисменты, занавес. ■

Подписаться на обновления блога:

Комментарии

Поделиться: