PR machine

База контактов

Хроника реагирования на утечку РТК в турбо-режиме

В истории с утечкой Ростелекома есть несколько любопытных моментов, начиная от скорости развития событий, а также реагирования PR-специалистов и заканчивая несостыковками, которые, надеюсь, прояснятся.

Кейс любопытен вот чем, следите за таймингом:

➡️ 12:31 — хакерская группа Silent Crow заявила о получении доступа к данным «Ростелекома», опубликовав пост в тг. Они якобы качнули базы сайтов company.rt.ru и zakupki.rostelecom.ru и получили доступ к 154 000 уникальных адресов электронной почты и 101 000 уникальных номеров телефонов. 

➡️ В 12:36 — то есть спустя 5 (!) минут, об этом пишет канал Утечки информации. Турбо-режим детектед.

➡️В 13:44 — об атаке выходит публикация в ТАСС, на которую ссылаются большинство источников. То есть на нее ушло чуть больше часа. Респект пиарщикам за скорость.

При этом даже раньше по отметке на сайте — в 13:39 — вышла попавшаяся мне на глаза публикация в РГ. Та, что писала о неких «интернет-ресурсах» Ростелекома, которые потенциально были скомпрометированы, не называя их.

Около 15:00 обе публикации похоже были исправлены. Скринила только РГ. В обоих шла рекомендация пользователям сбросить пароли и включить двухфакторку. Только в случае РГ ее озвучил депутат Госдумы Антон Немкин, который и раскрыл атакованные ресурсы в исправленной публикации.
А у ТАСС эти же действия рекомендовал сделать сам Ростелеком. Оба называют аутентификацию идентификацией 😛

Наиболее резонирующим заголовком отличились Ведомости — «Как выкрали данные пользователей Ростелекома», пишут там. В лиде утверждается: "Злоумышленники получили доступ к базам данных клиентов государственного телекомоператора Ростелеком". Жирно, что и говорить.

Но дальше в этой же заметке читаем, что это данные не физических лиц, а частично сотрудников упомянутых контор и представителей юридических лиц, то есть это корпоративные контакты.

➡️15:30 — Ведомости на этот раз запрашивают РКН, уведомлял ли вас Ростелеком на предмет утечки? В ведомстве ответили: нет. Зачем подливать и в без того кризисную ситуацию непонятно, ведь по закону у оператора персданных есть 24 часа для того, чтоб уведомить регулятора.

➡️16:22 — Минцфиры пишет в своем тг о том, что персональные данные граждан и, в частности, Госуслуги, не пострадали. И утверждает, что атака на подрядчика произошла сегодня (то есть вчера, 21 января)

И это не бьется с тем, что заявлял сам Ростелеком, когда говорил во всех источниках, что киберинциденты у подрядчика он «фиксировал ранее». Атак было несколько получается?

Что по итогу: у пиарщика в случае киберинцидента иногда есть около часа, чтоб осмысленно выйти со стейтментом. Вчерашний жаркий денек тому подтверждение: вышли оперативно. Именно поэтому не устану повторять: готовьтесь заранее.

Утекшие телефоны и емейлы сотрудников и юрлиц, которые, видимо, занимаются закупками, это плохо, но это — всё же не данные паспортов или креды от госуслуг. А вот есть ли в базах более “чувствительная” информация — неизвестно. С таймлайном атаки или атак хочется разобраться поточнее, равно как и с самим вектором.
Сменить пароли в любом случае стоит: кредит на них не взять, но использование их в схемах с социальной инженерией никто не отменял.
И да, это в духе времени винить подрядчика, но на фоне недавних инцидентов, не надо быть экспертом, чтоб сделать вывод: любой силен настолько, насколько сильно его самое слабое звено.

#антикризис

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/tr/PR_machine_Nika.com/354

1.1K viewsedited  Jan 22 at 09:04

База контактов

Хроника реагирования на утечку РТК в турбо-режиме

В истории с утечкой Ростелекома есть несколько любопытных моментов, начиная от скорости развития событий, а также реагирования PR-специалистов и заканчивая несостыковками, которые, надеюсь, прояснятся.

Кейс любопытен вот чем, следите за таймингом:

➡️ 12:31 — хакерская группа Silent Crow заявила о получении доступа к данным «Ростелекома», опубликовав пост в тг. Они якобы качнули базы сайтов company.rt.ru и zakupki.rostelecom.ru и получили доступ к 154 000 уникальных адресов электронной почты и 101 000 уникальных номеров телефонов. 

➡️ В 12:36 — то есть спустя 5 (!) минут, об этом пишет канал Утечки информации. Турбо-режим детектед.

➡️В 13:44 — об атаке выходит публикация в ТАСС, на которую ссылаются большинство источников. То есть на нее ушло чуть больше часа. Респект пиарщикам за скорость.

При этом даже раньше по отметке на сайте — в 13:39 — вышла попавшаяся мне на глаза публикация в РГ. Та, что писала о неких «интернет-ресурсах» Ростелекома, которые потенциально были скомпрометированы, не называя их.

Около 15:00 обе публикации похоже были исправлены. Скринила только РГ. В обоих шла рекомендация пользователям сбросить пароли и включить двухфакторку. Только в случае РГ ее озвучил депутат Госдумы Антон Немкин, который и раскрыл атакованные ресурсы в исправленной публикации.
А у ТАСС эти же действия рекомендовал сделать сам Ростелеком. Оба называют аутентификацию идентификацией 😛

Наиболее резонирующим заголовком отличились Ведомости — «Как выкрали данные пользователей Ростелекома», пишут там. В лиде утверждается: "Злоумышленники получили доступ к базам данных клиентов государственного телекомоператора Ростелеком". Жирно, что и говорить.

Но дальше в этой же заметке читаем, что это данные не физических лиц, а частично сотрудников упомянутых контор и представителей юридических лиц, то есть это корпоративные контакты.

➡️15:30 — Ведомости на этот раз запрашивают РКН, уведомлял ли вас Ростелеком на предмет утечки? В ведомстве ответили: нет. Зачем подливать и в без того кризисную ситуацию непонятно, ведь по закону у оператора персданных есть 24 часа для того, чтоб уведомить регулятора.

➡️16:22 — Минцфиры пишет в своем тг о том, что персональные данные граждан и, в частности, Госуслуги, не пострадали. И утверждает, что атака на подрядчика произошла сегодня (то есть вчера, 21 января)

И это не бьется с тем, что заявлял сам Ростелеком, когда говорил во всех источниках, что киберинциденты у подрядчика он «фиксировал ранее». Атак было несколько получается?

Что по итогу: у пиарщика в случае киберинцидента иногда есть около часа, чтоб осмысленно выйти со стейтментом. Вчерашний жаркий денек тому подтверждение: вышли оперативно. Именно поэтому не устану повторять: готовьтесь заранее.

Утекшие телефоны и емейлы сотрудников и юрлиц, которые, видимо, занимаются закупками, это плохо, но это — всё же не данные паспортов или креды от госуслуг. А вот есть ли в базах более “чувствительная” информация — неизвестно. С таймлайном атаки или атак хочется разобраться поточнее, равно как и с самим вектором.
Сменить пароли в любом случае стоит: кредит на них не взять, но использование их в схемах с социальной инженерией никто не отменял.
И да, это в духе времени винить подрядчика, но на фоне недавних инцидентов, не надо быть экспертом, чтоб сделать вывод: любой силен настолько, насколько сильно его самое слабое звено.

#антикризис