Хакеры в аренду

Почему шеринговые сервисы хотят, чтобы их ИТ-системы взламывали

Четверть крупных российских компаний не имеют средств на проверку ИТ-инфраструктуры через симуляцию атак «белыми хакерами». Каждая пятая из опрошенных компаний боится нарушить бизнес-процессы из-за тестовых кибератак. Тем временем сервисы транспортного шеринга начинают активно проводить пентесты на выявления уязвимостей.

Как хакер «отжал» самокат у кикшеринга

Не так давно этичный хакер Илья с ником @moscow_intelligent решил взломать крупного оператора аренды самокатов. Он зареверсил приватный API кикшеринга. Для перехвата пакетов данных, которыми обмениваются клиент с сервером, использовал сниффер, анализирующий трафик. Это помогло ему влезть в передачу данных посредством Man In The Middle атаки (вклинивание между вэб-сайтов оператора и пользователем). Вместо приватного ключа, которого у него не было, он использовал подмену сертификатов в Android. Используя в телефоне root права, хакер запустил HTTP toolkit, подключился к телефону и установил свой сертификат как доверенный. 

«Белый хакер» написал скрипт на основе модуля mitmproxy для Python, который позволяет ловить запросы и изменять их на ходу. Взломщик смог подменить координаты локации самоката, чтобы можно было взять в аренду из любого места. Затем подменил обычный тариф на самый дешёвый. Изготовленный хакерский софт Илья залил на телефон и запустил через Termux (эмулятор терминала под Android). В итоге он смог забронировать электросамокат в пять раз дешевле его реального тарифа за счет подмены самого тарифа.

Накатавшись вдоволь, Илья написал в службу поддержки, изложив суть проблемы — чтобы устранить уязвимость, надо прописать проверку доступности переданного пользователем тарифа для того электросамоката, который он берет. Если нет, отказать ему в аренде. Через 10 минут этичному хакеру позвонил генеральный директор кикшеринга и спросил, какое bug bounty (вознаграждение) он хочет. Парень взял бонусами на несколько лет пользования электросамокатами.

Этот пример лишь подтверждает тот факт, что хакеры с каждым годом проявляют все больше интереса к шеринговым сервисам, которые растут в геометрической прогрессии. Сегодня бизнес «каких-то там самокатиков» имеет выручку от 3 до 12 млрд рублей в год. Общее число пользователей арендными электросамокатами по разным экспертным оценкам на конец 2024 года достигло порядка 30 млн человек, что составляет 20% от всего населения России. Помимо возможности бесплатно покататься на кикшеринге/каршеринге, хакеров привлекают базы данных клиентов, которые можно потом продать на черном интернет-рынке.

В ноябре 2022 года хакеры нашли слабое место у кикшеринга Whoosh и похитили базу данных на 7,2 млн клиентов. Telegram-канал Data1eaks сообщил, что взломанную базу данных продавали на популярном хакерском форуме за 4,2 тыс. долларов. Помимо имени, номера телефона и адреса электронной почты, в дампе были частичные номера банковских карт, а также дата последней аутентификации и GPS-координаты пользователя.

«Ломай меня полностью»

Хакеры начали ломать базы шеринговых компаний с 2020 года, но весной 2023 года эксперты зафиксировали рост предложений серых аккаунтов в даркнете на 40%. Тогда стоимость аккаунта, позволяющего покататься под чужим именем, варьировалась от 1 тыс. до 6 тыс. рублей. Операторы поняли, что защищать ИТ-периметр, нужно максимально эффективно. И тогда они обратились к «белым хакерам».

В июле 2024 года «Ситидрайв» сообщил о запуске публичной программы проверки уровня кибербезопасности своих ресурсов. Любой, кто найдет уязвимость, получал до 100 тыс. рублей. Куратором выступила компания по информбезопасности BI.ZONE, которая призвала независимых экспертов проверить мобильные приложения, сайты и инфраструктуру «Ситидрайва». Максимальная выплата за критическую уязвимость составила 100 тыс. рублей.

Руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин отметил растущий интерес компаний к подобным багбаунти-программам.

«Это связано с тем, что при запуске программы организация привлекает многих исследователей с уникальным экспертным опытом, которые применяют различные подходы и инструменты», — пояснил он.

«Яндекс», куда входят кикшеринг и каршеринг «Яндекс.Драйв», в 2025 году увеличил для «белых хакеров» призовой фонд до 100 млн рублей в связи с ростом числа желающих (в 2024 году их стало больше на 40% относительно 2023 года) и выявляемых уязвимостей.

В прошлом году помимо стандартных блоков багбаунтинга, программа также включала четыре конкурса, каждый из которых был посвящен конкретным сервисам и направлениям: «Мобильные приложения», «Доставка», «Диалоги», «Едадил». Компания оперативно устраняла все критические уязвимости, найденные «белыми хакерами». Самый успешный участник прислал 28 отчетов об уникальных ошибках и заработал почти 6 млн рублей.

«Атаки» без остановки

Несмотря на инвестиции в ИБ, многие компании все еще недостаточно защищены. Они вынуждены закупать новые средства защиты, которые генерируют много событий безопасности, из-за чего трудно определять приоритетные инциденты, рассказал директор по продуктам для симуляции атак Positive Technologies Ярослав Бабин. 

«Инфраструктура компаний постоянно растет и усложняется. Меняется количество активов, увеличивается количество средств защиты — это требует постоянной проверки параметров и общего состояния средств защиты информации (СЗИ), источников событий и процессов информбезопасности (ИБ)», — пояснил эксперт.

Например, федеральные каршеринговые операторы на конце 2024 года имели численность персонала 1-3 тыс. человек. Это связано не только с географическим ростом, но и с развитием направлений. Так «Ситидрайв» в 2025 году будет заниматься развитием собственной экосистемы «Больше, чем каршеринг», куда входят сервисы оператора — B2B (корпоративный прокат), B2C-прокат, автотрейд и другие направления.

«ИТ-инфраструктура компаний постоянно усложняется: открываются территориально распределенные офисы, создаются новые сегменты рабочих станций и демилитаризованные зоны, строятся масштабные центры обработки данных и другое», — рассказала менеджер по продуктовому маркетингу Positive Technologies Елена Полякова. Среди участников исследования 44% вносят изменения в инфраструктуру раз в месяц и чаще, 35% — раз в квартал. Это провоцирует появление новых брешей, уточнила эксперт.

«Чтобы пентест давал реальное представление о киберустойчивости компании, интервалы между проверками должны быть как можно меньше. Ответить на этот вызов могут продукты класса breach attack simulation, обеспечивающие непрерывное тестирование безопасности в автоматическом режиме», — говорит Елена Полякова.

Как показали опросы Positive Technologies среди компаний от 1 тыс. сотрудников, на постоянные пентесты у 25% нет бюджета. Своими силами выявлять уязвимости через атаки решили 22%, а 21% видят в системных пентестах риски для бизнес-процессов. Чаще всего (39%) услуги ручного пентеста у профильных ИТ-компаний бизнес заказывает раз в квартал. Непрерывный пентест идет только у 11% компаний. Среди методов проверки защищенности компаний лидирует аудит безопасности. Затем идут сканеры уязвимости и киберучения.

С учетом рисков безопасности опрошенные компании выстраивают эшелонированную защиту, используя в среднем 20–30 решений для ИБ; только 20% применяют меньше 10 средств защиты, отмечают в Positive Technologies.

Несмотря на многоуровневую защиту, 55% организаций в течение последнего года подверглись кибератакам. При этом 8 из 10 атакованных организаций признались в полученном серьезном ущербе в результате действий злоумышленников: 48% отметили простои, 34% — утечки данных, 26% — удары по репутации, 24% — финансовые потери.

Эксперты считают, что наличие средств защиты не может гарантировать стопроцентную защиту от кибератак. Согласно исследованию Positive Technologies от 2022 года, в 96% случаев в рамках оказания услуг по тестированию на проникновение хакерам удается полностью завладеть инфраструктурой компании. Чтобы этого не допустить, необходимо строить свою защиту на основе результатов пентестов, масштабировать которые можно с помощью специальных продуктов для автоматического тестирования на проникновение, считает Ярослав Бабин. Это позволяет приоритизировать критичные реальные бреши, которые могут использовать злоумышленники в своих атаках.

Даже те компании, которые хотят регулярно проверять свою киберустойчивость, сталкиваются с дефицитом квалифицированных команд на рынке для проведения качественного пентеста. А внутри компаний недостаточно ресурсов для выстраивания процесса регулярного тестирования. При этом, по оценке Positive Technologies, потенциальный рынок продуктов для автоматической оценки защищенности составляет от 6 до 8,5 млрд рублей.

Для решения этих проблем компания выпустила автоматизированный продукт для ручного пентеста — PT Dephaze. Он позволяет дополнить ручной пентест. «Например, расширяет и углубляет различные векторы атак. Проверяет эффективность защитных механизмов, показывает ошибки в настройке систем и сервисов, обнаруживает действительно опасные и эксплуатируемые уязвимости. А также масштабирует ручной пентест, расширяя область тестирования», — сообщил Ярослав Бабин.

Павел Паршков

Фото: Frame Stock Footage / Shutterstock / Fotodom, Positive Technologies.