KPN и беспечное отношение к кибербезопасности

Автор: Дмитрий Канн Чтение на 3 мин 0578

Не один десяток лет работаю в ИТ, много разгильдяйства повидал, но некоторые новости всё равно повергают меня в недоумение.

Монтёр крупнейшего телеком-провайдера KPN забыл свой ноутбук у клиента. И не просто забыл, а больше за ним и не обращался.

Но даже не это здесь самое интересное — настоящие сюрпризы поджидали исследователей издания Trouw, в распоряжении которых оказалось устройство, в его содержимом.

KPN Security

Тонкая ирония: у провайдера есть специальное бизнес-подразделение KPN Security, предоставляющее услуги по обеспечению кибербезопасности. Так вот оно предупреждает, что около четверти компаний периодически «теряют» какое-либо устройство, и поэтому рекомендует применять меры предосторожности.

Возвращаясь от возвышенной теории к приземлённой практике, Trouw заключает, что в плане кибербезопасности у KPN всё чрезвычайно весело.

Исследователи без труда получили доступ к интранету (внутренней сети компании) под названием TeamKPN — никаких токенов или других методов авторизации не потребовалось. А уж в интранете можно было разгуляться: нашлось множество конфиденциальных документов таких клиентов провайдера как правительство Нидерландов, AIVD (служба разведки), минобороны, Королевский дом и даже НАТО.

Потенциал утечки

Компания KPN является ключевым поставщиком телекоммуникационных услуг в стране. Она отвечает за многие жизненно важные коммуникации и объекты инфраструктуры в таких сферах как здравоохранение, экономика, энергетика, оборона. Можно предполагать, что соответствующая информация должна охраняться как зеница ока.

Тем не менее, в сети нашёлся, например, сводный список с данными 16 тысяч клиентов провайдера, включая имена и контактные данные соответствующих аккаунт-менеджеров. Одно только это сильно повышает риск применения социальной инженерии для получения доступа к конфиденциальным данным.

Помимо этого, у браузера ноутбука было включено сохранение паролей, благодаря чему можно было без проблем посетить любой ранее использованный сайт.

Также вызывает ряд вопросов тот факт, что доступ к интранету имеется у каждого из 13 000 сотрудников KPN, включая стажёров и сотрудников Huawei, партнёров компании.

«Надёжна и основательна»

Эпизод с ноутбуком завершился хэппи-ендом: Trouw вернуло его монтёру.

Поскольку тот использует его не каждый день, он обнаружил пропажу несколько дней спустя и не помнил, где его оставил — потому и не забрал. Но, как полагается, сообщил о пропаже (как будто это что-то изменило). Клиент же, обнаруживший забытый ноутбук, не смог его вернуть через клиентскую службу компании (!) и поэтому передал в редакцию Trouw.

В своём ответе, однако, KPN заявила, что политика безопасности в отношении использования устройств сотрудниками «надёжна и основательна». ¯\_(ツ)_/¯

Список обнаруженных проблем

  • Монтёр KPN оставил ноутбук у клиента, но не знает, когда и где, и не забрал его.
  • У ноутбука нет пароля на вход. На нём установлена устаревшая Windows 7, а пароль к ней, как выяснилось после просмотра системных логов, был удалён до происшествия.
  • Адреса, имена пользователей и пароли внутренних сайтов KPN сохранены в менеджере паролей Google Chrome. Более того, благодаря активной синхронизации паролей, даже при смене пароля в другом месте он будет автоматически обновлён в ноутбуке.
  • Спустя значительное время после пропажи пароль на интранет всё ещё работает.
  • При логине в интранет не используется защищённое соединение и не применяется двухфакторная аутентификация.
  • Тысячи сотрудников KPN имеют доступ к внутренней сети, включая временных сотрудников.
  • Контактные данные тысяч сотрудников легкодоступны.
  • В интранет можно загружать файлы. Например, инфицированные вирусом.

Аплодисменты, занавес. ■

Если вам понравился этот пост, не забудьте подписаться на обновления блога.

Варианты подписки

Комментарии

Что ещё почитать

Post image
Схипхол — один из трёх аэропортов мира, удовлетворяющий требованиям кибербезопасности
Post image
Vodafone завязывает с 3G
Post image
Новая сеть мобильной связи на Utrecht Centraal
Post image
Маастрихтский университет заплатил вымогателям около четверти миллиона евро
Post image
Русский след во взломе сети Маастрихтского университета
Post image
Если бог захочет наказать, то отнимет прежде 5G
Поделиться