Страницы

Слив сотрудников Сбербанка

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser.

Я вам скажу Сбербанк ещё легко отделался.



Вот перечень всего того, что есть в активной директории. Вытащить можно, к примеру, ФИО, почту, должность и отдел, домашний/рабочий адрес и телефон, ФИО начальника, дату последнего входа в сеть (неточно), дату последней смены пароля и рабочую станцию (редко).

Всё это тем же самым единственным запросом Get-ADUser. Например, таким:

Get-ADUser -Filter * -SearchBase "DC=sigma,DC=sbrf,DC=ru" -Properties enabled,Name,Surname...... | export-csv login.csv -NoTypeInformation

Запрос должен отработать за пару минут и выдать инфу по всем текущим и уволенным сотрудникам Сбербанка, и это штатная операция. Именно так AD и работает, и ничего с этим не сделаешь. Активная Директория - публичное место.

Можно запретить доступ на чтение к пользовательским контейнерам - и вы что-нибудь сломаете. Можно выделить гостей в отдельный лес - сработает, но проблема с инсайдерами/троянами останется. Можно выключить PowerShell на рабочих местах, но это не так просто сделать, ничего не сломав. К тому же, пользователи могут и принести свой powershell или использовать доменную учётку на BYOD ноутбуке.

Кроме Get-ADUser, список пользователей можно получить еще и через адресную книгу Аутлука (Outlook Global Address List).

[Microsoft.Office.Interop.Outlook.Application] $outlook = New-Object -ComObject Outlook.Application
$entries = $outlook.Session.GetGlobalAddressList().AddressEntries
$content = @()

foreach($entry in $entries){
   $content += New-Object PsObject -property @{
    'Name' = $entry.Name
    'PrimarySmtpAddress' = $entry.GetExchangeUser().PrimarySmtpAddress
    'JobTitle'= $entry.GetExchangeUser().JobTitle
    'MobileTelephoneNumber'= $entry.GetExchangeUser().MobileTelephoneNumber
      }
}

#export to csv
$content | export-csv Outlook.csv -NoTypeInformation

То, что произошло - это, конечно, серьезный инцидент, который, однако, мог бы произойти в любой другой компании, использующей Активную Директорию. Это никакой не взлом. Даже сливом назвать это я не могу, так как с точки зрения разработчиков Майкрософт это всё открытая информация, просто не все про неё знают.

Любопытный момент тут - как такой "слив" воспринимать с точки зрения 152-ФЗ и GDPR? Если всё-таки считать это утечкой ПДн, то непонятно что можно сделать, чтобы её предупредить (даже обнаружение такой утечки техническими средствами - серьезный вызов).

Наверное, в будущем плохие парни начнут такую информацию монетизировать. Первое, что пришло мне в голову, это письма типа "Тебя зовут <Иванов Иван Иванович>, <инженер отдела ЗИ>. Если ты не отсыпешь мне биткоинов, я сообщу твоему начальнику <Петрову> что ты посещал порносайты в рабочее время".

Комментариев нет:

Отправить комментарий