Основные статьи:
2025: Утечка данных: в слитом файле 0,5 млн записей
18 февраля 2025 года стало известно о том, что в распоряжении киберпреступников оказались персональные данные сотрудников РЖД. Похищенная база выложена в свободный доступ в интернете.
Как сообщает Telegram-канал «Утечки информации», слитый файл имеет тип JSON — это текстовый формат обмена данными, основанный на JavaScript. Источник, выложивший базу, утверждает, что данные получены из сервисного портала работников ОАО «РЖД».
В общей сложности в файле содержатся более 572,7 тыс. записей. Это фамилии и имена, занимаемые сотрудниками РЖД должности, адреса электронной почты (в том числе на доменах nrr.rzd, dzv.org.rzd, orw.rzd и на других внутренних доменах), номера рабочих телефонов. Информация датирована 13 января 2025 года.
В РЖД по состоянию на 19 февраля 2025 года ситуацию никак не комментируют. Украденные персональные данные могут использоваться для организации персонализированных фишинговых атак и других мошеннических схем. Зная имена сотрудников РЖД, их телефонные номера и почтовые адреса, киберпреступники могут усыпить бдительность жертв. А это значительно повышает шансы на успех мошеннической кампании, нацеленной, например, на получение конфиденциальной корпоративной информации.[1]
2023
Сотрудникам РЖД запретили пользоваться iPhone
РЖД запретили сотрудникам использовать iPhone на работе. Об этом стало известно 9 августа 2023 года.
 | Да, действительно, использовать iPhone в служебных целях запрещено, - сказал ТАСС источник в транспортной отрасли, отвечая на соответствующий вопрос агентства. |  |
Государственные органы и компании начали запрещать iPhone на работе после того, как ФСБ сообщила о раскрытии разведывательной акции США с использованием вируса на мобильных устройствах Apple. По данным ФСБ, заражению подверглись несколько тысяч смартфонов американского производителя. Помимо российских пользователей спецслужба также обнаружила вирус на гаджетах зарубежных абонентов, использующих SIM-карты, зарегистрированные на диппредставительства и посольства в России. Речь идет о заражении устройств сотрудников дипведомств стран НАТО и постсоветского пространства, а также Израиля, Сирии и КНР.
После этого заключения от использования iPhone в служебных целях решил отказаться целый ряд российских министерств, ведомств и госкомпаний, в частности, Минтранс, Минпромторг, «Ростех», «Росавиация».
Пресс-секретарь президента России Дмитрий Песков сообщил, что сотрудники администрации президента также не могут пользоваться мобильными устройствами Apple в рабочих целях. По его словам, все знают, что «эти гаджеты абсолютно прозрачные», и потому их пользование в служебной коммуникации запрещено.
Глава комитета Госдумы по информационной политике Александр Хинштейн в начале августа 2023 года пообещал, что россиянам не запретят пользоваться iPhone. Депутат отметил, что пока вопрос о запрете использования техники Apple не стоит. При этом он тогда напомнил о проводимой Роскомнадзором проверке защищённости продукции Apple, назвав ее необходимой и актуальной мерой.[2]
Стали известны детали кибератаки на РЖД, из-за которой не работали сайт и мобильное приложение
В июле 2023 года стали известны детали кибератаки на РЖД, из-за которой не работали сайт и мобильное приложение компании. По словам источника «Ведомостей» в компании-разработчике решений по информбезопасности, скорее всего, речь идет о DDoS-атаке. С собеседником газеты согласился эксперт инжинирингового центра SafeNet «Национальной технологической инициативы» Игорь Бедеров.
По его словам, DDoS-атаки имеют разные векторы и делятся на уровни от 1 до 7 (L1-L7), начиная от простых атак через отказоустойчивость и заканчивая атаками, воздействующими непосредственно на серверное оборудование или ПО, которое управляет внешним сайтом, системой или сервером.
Как пояснил изданию источник в компании на рынке кибербезопасности, атака происходит именно на уровне L7, то есть злоумышленники атакуют не хостинг-провайдера, а конкретный сайт и конкретное приложение.
По данным издания, защитой ресурсов РЖД занимается компания «РТК-Солар». Последняя не стала комментировать эту информацию по запросу «Ведомостей».
Представитель Positive Technologies сообщил газете, что компания оказывает РЖД необходимую консультационную и технологическую поддержку в соответствии с ее обращениями. Представитель РЖД при этом уточнил, что компания не привлекала Positive Technologies по данной ситуации. Он дополнительно сказал «Ведомостям», что в компании построена комплексная эшелонированная система защиты от подобных атак и «РТК-Солар» не единственная компания, защищающая РЖД. Источники атаки, по его словам, были рассредоточены по всему миру.
| | Атака в очередной раз оказалась успешной, потому что, как это обычно бывает с крупными корпорациями, РЖД готовилась к «прошлой войне», – сказал «Ведомостям» источник в компании-разработчике ИБ-решений. – Методы, которые помогали снизить симптоматику в феврале 2022 года, например блокировка трафика из-за рубежа по GeoIP, сейчас совершенно неэффективны.[3] | |
Сайт и приложение три дня не работают из-за хакерской атаки
3 июля 2023 года в работе официального сайта и мобильного приложения РЖД начали происходить сбои. В компании подтвердили наличие проблем, сообщив, что компьютерная инфраструктура подверглась хакерской атаке.
Как отмечает CNews, сайт крупнейшего российского оператора железнодорожных перевозок вышел из строя. Сначала при попытке его посещения выдавались различные коды ошибок. Пользователи могли заказывать билеты на поезда, но в личном кабинете они после покупки не отображались. По состоянию на 5 июля 2023-го сайт РЖД полностью перестал открываться. Кроме того, неработоспособным оказалось фирменное приложение.
| | Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу. Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме. Приносим свои извинения за доставленные неудобства, — говорится в официальном уведомлении железнодорожного перевозчика. | |
CNews отмечает, что на инцидент отреагировала Северо-Западная пригородная пассажирская компания (СЗППК) — совместное предприятие, организованное властями Санкт-Петербурга и «Российскими железными дорогами». В СЗППК заявили, что сбои могут быть связаны с проблемами у «Ростелекома», но сам телекоммуникационный оператор ситуацию никак не комментирует. О сроках восстановления работоспособности сайта и мобильного приложения РЖД сведений также нет.
| | Сбои наблюдаются не только на нашем сайте. Сейчас мы разбираемся и постараемся стабилизировать работу ресурса в ближайшее время, — сообщили представители СЗППК. | |
По данным CNews, россиянам и гостям страны, которые не могут купить билеты на станциях и вокзалах, приходится делать это на сторонних ресурсах. Однако в данном случае пассажиры сталкиваются с переплатой в виде наценки за услуги посредников.[4]
РЖД зафиксировали рост кибератак на свою инфраструктуру на 36% в 2023 году. Кто и как атаковал компанию
В 2023 году было зафиксировано 4,8 млн атак на инфраструктуру РЖД, что на 36,3% больше, чем в 2022 году. Об этом 8 февраля на «Инфофорум-2024» сообщил директор РЖД, начальник департамента управления информационной безопасностью Юрий Ногинов. Из них 4,12 млн атак были внешними (рост на 65,5% гг), а 689 тыс. – внутренними (сокращение на 33,6% гг).
Подавляющее большинство внешних атак пришлось на рассылку писем, содержащих мошеннические сообщения, навязчивую рекламу или ссылки на вредоносные ресурсы – таких было 3,5 млн инцидентов. А основными внутренними инцидентами были попытки заражения вирусами – их было зафиксировано 618 тыс.
Если говорить об атаках на периметр инфраструктуры РЖД, то таковых было 596 тыс., из которых 203 тыс. – DDoS-атаки, 140 тыс. – сканирование на наличие уязвимостей и 72 тыс. – попытки внедрения команд в запросы к базам данных (SQL-инъекций). Впрочем, периметр РЖД атаковали достаточно разнообразно – почти 110 тыс. атак не подходило под общую классификацию.
По данным Юрия Ногинова, инфраструктура РЖД ранее была заявлена террористической кибергруппировкой «IT Армия Украины» как приоритетная цель для атак. Ее заявленная цель – наступательные действия на военную и гражданскую инфраструктуру РФ, при этом сама она представляет распределенную структуру, в которую входят добровольцы и любители – их традиционно принято называть «хактивистами».
Организационное ядро кибергруппировки назначает цели для атак, публикуя их IP-адреса, и распространяет инструменты для совершения деструктивных действий. Хотя численность группировки указана в 300 тыс. человек, но это подписчики официального канала, за публикациями в котором следят достаточно много российских ИБ-специалистов. Они мониторят деятельность группировки, чтобы оперативно реагировать на угрозы с ее стороны. Соорганизатором кибергруппировки выступает министр цифровой трансформации Украины Михаил Федоров.
Заявленные методы атак данной кибергруппировки нацелены на IP-адреса и медийный эффект, однако основные методы деятельности, скорее, мошеннические, чем хакерские – обманывать или шантажировать граждан России на причинение вреда железнодорожной инфраструктуре России.
В частности, Юрий Ногинов отметил, что зафиксировано 200 поджогов релейных шкафов, управляющих железнодорожной инфраструктурой. Наиболее характерным случаем является недавний инцидент в Подольске, когда инспектор подразделения транспортной безопасности РЖД Роман Болдырев за 3 тыс. руб. поджог релейный шкаф, что привело к задержке двух подмосковных электричек на 20 минут. Дело расследуется – фигуранту грозит срок до 20 лет лишения свободы.
Хотя количество внешних атак на инфраструктуру РЖД увеличивается, однако вредоносная активность внутри инфраструктуры сокращается, что говорит о неэффективности атак на периметр, поскольку внутрь хакеры проникают все реже. Этого удалось добиться за счет реализации мер защиты и создания инфраструктуры безопасности, которая позволяет максимально быстро обнаружить вредоносное ПО, локализовать его и не дает распространиться внутри корпоративной инфраструктуры, отметил Юрий Ногинов.
Число кибератак на ИТ-инфраструктуру РЖД за 2 года выросло в 20 раз
Число кибератак на ИТ-инфраструктуру РЖД в январе-ноябре 2023 года превысило 600 тыс., что в 20 раз больше, чем в 2021 году. Такие цифры на круглом столе по безопасности объектов критической информационной инфраструктуры (КИИ) на транспорте, организованном комитетом Совета Федерации (СФ) по конституционному законодательству и госстроительству, привел директор департамента цифрового развития Минтранса Дмитрий Скачков.
По его словам, в январе-ноябре 2023 года было зафиксировано более 30 «крупных инцидентов» в ходе целенаправленных атак на объекты транспортной отрасли. Рост количества попыток атак «применим не только к РЖД», уточнил Скачков. Основные цели злоумышленников, по словам чиновника, это получение доступа к информации, заражение вирусами и DDoS-атаки.
Что касается главных проблем в организациях транспорта, то в 60% случаев ими становятся устаревшие пароли. Представитель Минтранса также отметил «слепое доверие сторонним организациям», через которые в том числе совершаются атаки.
| | РЖД это одно из крупнейших предприятий в РФ, и оно имеет очень обширную географию, а также большую номенклатуру устройств в своей сети. Начиная от разного рода систем управления движением подвижного состава, камерами и заканчивая системой заказа билетов. Поэтому неудивительно, что инфраструктура РЖД стала объектом для действий хакеров. Чем больше сервисов и устройств, тем проще атаковать, так как площадь атаки сильно возрастает, - отметил главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников, комментируя данные Минтранса о растущих кибератаках на «Российские железные дороги».[5] | |
2019: Данные 700 тыс. сотрудников РЖД оказались в открытом доступе
27 августа 2019 года стало известно о том, что персональные данные 703 тыс. сотрудников РЖД оказались в открытом доступе в интернете. Об утечки сообщил в техноблоге Habr.com специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян.
В интернет утекли такие данные, как ФИО, дата рождения, СНИЛС, адрес и номер телефона. Кроме того, в открытый доступ попали должности и фотографии сотрудников.
По словам Оганесяна, откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности.
В комментариях к сообщению пользователи высказали несколько предположений. Например, некоторые считают, что могли бы быть потеряны данные, которые использовались при регистрации на неком кадровом портале, запущенном полгода назад. Родственники сотрудников отмечают, что в РЖД проводились курсы по информационной безопасности. При этом логины и пароли для тестирования были предоставлены службой безопасности компании.
Как сообщил Ашот Оганесян, получившие доступ к чужим данным злоумышленники? поблагодарили РЖД за «предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».
Представитель РЖД сообщил РБК, что компания начала проверку по поводу публикации в открытых источниках персональных данных сотрудников компании.
| | Готовятся материалы для передачи в правоохранительные органы, — добавил он. | |
В РЖД также заявили, что утечка не коснулась персональных данных клиентов, поскольку система продажи билетов имеет защиту персональных данных высокой степени надежности.
К концу июня 2019 года численность персонала РЖД составляла около 730 тыс. человек. Таким образом, утечка затронула 96% сотрудников железнодорожного оператора.
Для сотрудников компании РЖД создали сервисный пoртал. Доступ в личный кабинет рабoтники компании также могут получить с компьютера, планшета и смартфoна.
Примечания
- ↑ Утечки информации
- ↑ Источник узнал о запрете на использование iPhone в служебных целях в РЖД
- ↑ За DDoS-атакой на РЖД стоят проукраинские злоумышленники
- ↑ Россиян оставили без билетов на поезд. Сайт РЖД сбоит третьи сутки подряд
- ↑ Количество атак на инфраструктуру РЖД выросло в 20 раз по сравнению с 2021 годом
