История неизвестно простого корпоративного взлома

В современном мире, где величина человеческой ошибки в плане безопасности грозит компаниям огромных материальных потерь, методам несанкционированного доступа уделяется ничтожно малое внимание. Многие помнят, чем обернулся ^[1] SuperDae Microsoft, Сноуден NSA и т.н. «северокорейские хакеры» Sony. Притом каждый из них заявлял, что доступ к информации был получен довольно просто.

В данной статье я хочу рассказать об истории с взломом корпоративных серверов Gameloft, неизвестном широкой публике, произошедшем летом 2012-го. Для тех, кто не в курсе, Gameloft — одна из крупнейших компаний по разработке игр для смартфонов, основанная в 1999 году одним из братьев Гиймо, насчитывающая порядка 5 тысяч сотрудников, с ежегодным оборотом денежных средств в сотни миллионов евро.

Для доступа к маректинговым материалам компания содержала сервер extra.gameloft.org ^[2]. На сервере имелось как минимум пять директорий:

• директория с маркетинговыми материалами, доступными прессе /mkg_pub,
• директория с непосредственными конфиденциальными данными для сотрудников компании и партнеров /mkg_sub,
• директория с материалы по грядущим играм /preview_pub,
• директория с информацией о компании (логотипами, историей и т.п.) /comm_sub.
• К тому же в корне была еще одна папка, которую сотрудники использовали для хранения временных файлов для прессы /tmp_pub. В той хранились ассеты с проводившихся выставок. Пароль к ней гуглился довольно просто — он содержался в пресс-релизах компании.
  ! Но корневой листинг этой директории был недоступен для просмотра.

Фривольное достижение хакера заключалось в том, что он, уповая на удачу, загрузил из директории tmp_pub де-факто существующий файл индексации поиска .DS_Store. После небольшого редактирования перед ним предстал список всех синдексированных скрытых папок, по его словам, порядка 50. Прошерстив каждую из них, его внимание привлекла папка под названием SEB_G. Сокращение от Sebаstien Givry. По нелепому стечению обстоятельств это была папка главного директора по продажам EMEA-региона. На тот момент он ушел с работы, но толи регламент, толи его сугубая жажда документооборота оставила в наследие компании в этой папке весь архив его почты с 2005 по 2012 годы. 12 гигабайт незапароленных писем из Outlook. В самых безобидных письмах с арабскими партнерами велись беседы о недостаточной прикрытости Элики в мобильной версии Prince of Persia.

Несмотря на то, что все основные заботы работникам компании приходилось делать в VPN-сети, доступ в которую был закрыт пасскодами из SecurID, существовали сетевые ресурсы, которые были доступны непосредственно из интернета. Внимания стоила extra.gameloft.org/mkg_sub ^[3]. Пару логин-пароль для аутентификации взломщик отыскал в почте. В директории находились папки сотрудников компании (огромное множество) — полные материалов. Бизнес-планы, календари релизов неанонсированных игр, сырые и не очень билды. Помимо прочего, сотни документов, в которых описывались алгоритмы ведения маркетинговых каналов. В общей сложности, пара десятков террабайт данных, ассеты для принта, маркетинга, непосредственного использования в играх:

• Тонны корпоративных презентаций (чего только стоит про ^[4] нарративный дизайн)
• Маректинговые планы от компаний-партнеров, например Ubisoft. (история раскрутки Assassin's Creed в 100 слайдах)
• Билды для выставок и всеобщего тестинга. (утекший в сеть за недели до релиза My Little Pony для iOs)
• Трейлеры и видеоматериалы. (сменивший после утечки подзагаловок Asphalt 8 Infinity ^[5])
• Инструментарий и дев- и пресс-киты. (упоминания стоит безобидный java-фреймворк AuroraGT ^[6])
• Контакты прессы и сотрудников.

После часов поиска взломщику так же удалось отыскать:

• Пароль от PR-анала на Youtube (он же пароль для синка паролей/закладок из Chrome), на Google Drive-аккаунте которого румынские маркетологи компании бережно обновляли таблицу с паролями от всевозможных соцсетей в xls.
• Пароль от гипернета, hypernet.gameloft.com/navi ^[7].
• Аутентификационные данные для доступа партнеров к privftp01.gameloft.com.

Последовавшие после утечки ^[8] были оперативно раскрыты, вся информация удалена, а взломщик понёс наказание. По его словам из камеры временного содержания на Аландских островах, доступ к гугл-аккаунту компании продержался еще два года, аккурат до дотошного Heartbleed. Доступ же к гипернету имеется до сих пор, но кроме сотрудников по рекламе в латиномериканском регионе, никто там документы более не хранит.

Через пару месяцев после взлома компания уволила ^[9] 250 сотрудников.

Автор: rapnoize

Источник ^[10]