Утечка данных облачной платформы

В результате хакерской атаки произошла утечка данных платформы SendGrid. Зафиксирована утечка данных сотен тысяч пользователей. Хакер выставил украденную информацию на продаже в дарквебе. Эксперты отмечают, что эта утечка данных особенно богата на скомпрометированные детали.

Хакер под псевдонимом Satanic взял на себя ответственность за взлом SendGrid, облачной платформы для доставки электронной почты. Эта платформа, поддерживаемая американской компанией Twilio, позволяет масштабировать задачи e-mail-маркетинга.

Согласно сообщению, опубликованному в четверг, 3 апреля, на популярной хакерской площадке Breach Forums, Satanic предлагает купить похищенный им набор данных SendGrid за 2000 долларов США. В доказательство подлинности данных злоумышленник поделился образцом.

Satanic утверждает, что база данных содержит полную информацию более чем о 848 тыс. организаций, которые используют SendGrid.

Проанализировав образец данных, исследовательская группа Hackread.com выяснила, что он содержит следующую информацию: электронные адреса клиентов, номера телефонов, физические адреса, названия стран и городов, адреса профилей в соцсетях и ID в сети LinkedIn. Кроме того, раскрыты такие данные, как доменные имена, доход компании, количество сотрудников, эффективность SEO, сведения о поставщиках хостинга, а также рейтинги в таких сервисах, как Cloudflare и Tranco. Также в базе представлена информация о технологических стеках компаний, включая платформы управления контентом (CMS), платежные решения и инструменты CRM.

Среди компаний, которые относятся к числу пользователей SendGrid, в образце утекших данных названы Bank of America и BBC. Судя по всему, украденные хакером данные хорошо структурированы и носят весьма подробный характер. Каждая запись включает десятки полей метаданных, что выходит за рамки понятия просто контактной информации. В частности, база содержит показатели веб-аналитики, внутренние адреса электронной почты (включая адреса высокопоставленных сотрудников), номера телефонов, данные геолокации и даже сведения о бэкэнд-технологиях и соответствии требованиям доступности. Если эти данные подлинные, то такое нарушение может быть большим, чем традиционная утечка информации, констатируют исследователи.

Это не первый случай, когда действия хакера Satanic приводят к крупной утечке данных. В сентябре 2024 г. этот киберпреступник стоял за инцидентом в компании Tracelo, когда в Сеть утекли данные 1,4 млн пользователей сервиса отслеживания геолокации смартфонов.  В октябре того же года Satanic выставил на продажу персональные данные порядка 350 млн клиентов розничной сети Hot Topic. Помимо громких взломов, Satanic также известен в подпольных сообществах распространением инфостилеров через Telegram.

Это также не первый случай, когда Twilio, материнская компания SendGrid, страдает от утечки данных. Летом 2024 года хакерская группировка ShinyHunters слила в сеть архив данных, содержащий 33 млн телефонных номеров, принадлежащих пользователям Twilio Authy, приложения для двухфакторной аутентификации. В сентябре того же года было скомпрометировано 12 тыс. записей вызовов через сторонний инструмент, используемый клиентом Twilio. Хотя ни один из этих инцидентов не стал следствием прямого взлома инфраструктуры Twilio, они вызвали вопросы о безопасности данных в этой компании.

В заявлении для Hackread.com представитель Twilio подчеркнул, что компания не нашла никаких доказательств, указывающих на то, что Twilio или Twilio SendGrid были взломаны. После изучения представленной выборки компания пришла к выводу, что эта информация не была получена из SendGrid.

Исследователи попытались связаться с Satanic через Telegram и Signal, но не получили от него ответа. В то же время хакер поделился на Breach Forums дополнительной выборкой данных, содержащей 10 000 строк. При этом Satanic продолжает утверждать, что представленные им данные являются подлинными и что платформа SendGrid подверглась взлому. 

«Я отправил им большой образец для повторной проверки. Как бы то ни было, я не ищу подтверждения от кого-либо, поскольку данные являются подлинными. Не в моих интересах делиться источником данных и тем, как они были взломаны», — заявил хакер.

В воскресенье, 6 апреля, Satanic удалил свой пост о продаже данных SendGrid на BreachForums. Теперь злоумышленник пытается продать доступ «SendGrid SMTP & API», не объясняя свои первоначальные заявления о взломе Twilio и SendGrid. Также он продолжает игнорировать запросы исследователей в мессенджерах.

Источник: Hackread