СДЭК не работает третий день. Сервис атаковали хакеры?
Логистическая компания СДЭК не работает уже третьи сутки — все пункты выдачи компании закрыты, а клиенты не могут получить и отправить посылки с 26 мая. В сервисе заявили, что причиной неполадок стал технический сбой. В свою очередь, хакеры из группы Head Mare взяли на себя ответственность за его организацию: они утверждают, что взломали системы СДЭК и зашифровали все данные, тем самым парализовав службу. Мы поговорили со специалистом по кибербезопасности Сергеем Вакулиным и выяснили, насколько реалистична версия со сбоем, какие уязвимости могли использовать взломщики и как именно компания пытается возобновить свою работу.
Что произошло со СДЭКом?
Сбой в работе сервисов СДЭКа произошел 26 мая. Уже третьи сутки сайт и мобильное приложение логистического оператора не подают признаков жизни, а прием и выдача посылок клиентам приостановлены. В компании эту ситуацию объяснили «техническим сбоем» и заявили, что ведут работу по устранению технических проблем.
Клиенты СДЭКа не могут получить свои заказы даже «в ручном формате». Из-за этого многим пользователям сервиса пришлось отменять запланированные мероприятия. Люди жалуются в соцсетях, что не смогли получить наряды на свадьбы и выпускные, а кто-то ждет, пока им отдадут хранящиеся в пунктах выдачи умирающие растения. Есть и такие, кто не смог получить необходимые медикаменты и лекарственные средства.
Ответственность за нарушение работы сервиса взяла на себя хакерская группа Head Mare, которую называют проукраинской. По их словам, для взлома использовался вирус-шифровальщик. Злоумышленники также опубликовали скриншоты проникновения в систему сервиса и позлорадствовали над компанией по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по вопросам кибербезопасности. Никаких требований к компании хакеры не опубликовали.
Информацию о том, что причиной технической неисправности сервисов СДЭК стал именно взлом, в компании не подтверждали, однако заявили, что проводят расследование. В СДЭКе отметили, что изучают несколько теорий относительно причин случившегося, однако «говорить что-либо до получения точной информации» там считают непрофессиональным. Тем не менее несколько собеседников «Ведомостей», близких к СДЭКу и одной из крупных компаний по информационной безопасности, подтвердили версию о том, что работу логистического оператора «положил» именно вирус-шифровальщик. Представители Bi.Zone от комментариев отказались.
Был ли взлом СДЭКа и кто это допустил?
Версия о взломе серверов СДЭКа — самая правдоподобная, заявил «Постньюс» специалист по кибербезопасности Сергей Вакулин. «Поскольку СДЭК “лежит” уже трое суток, то я более чем склоняюсь к этой версии. Хакеры превратили все файлы на сервере в мусор, сделав из них тыкву, скорее всего, зашифровав их. И расшифровать их в принципе невозможно, для этого необходимо иметь ключ», — сказал эксперт.
Также специалист не увидел оснований не верить в подлинность опубликованных хакерами скриншотов. «Поскольку СДЭК уже лежит трое суток, то более чем вероятно, что да, действительно эти скриншоты соответствуют действительности точно так же, как и соответствует действительности информация о хакерской атаке», — считает Вакулин.
Он привел в пример случаи с «падением» «ВКонтакте» и WhatsApp — тогда сервисы сбоили около 10 часов. «Действительно, тогда был технический сбой из-за обновлений. Когда пак обновлений ставят на сервер, то возможно изменение конфигурации, которая приводит к системным сбоям и т.д. И такую поломку, естественно, пытаются подчинить», — отметил Вакулин. По его словам, поскольку неисправность сохраняется уже третьи сутки, а сам СДЭК не признает факта взлома, есть все косвенные основания верить злоумышленникам из Head Mare.
Причин того, почему хакерам все же удалось взломать серверы СДЭКа, может быть масса, считает Вакулин. «Есть вероятность того, что это были недобросовестные сотрудники, которые могли слить какую-то конфиденциальную информацию ради собственной выгоды», — сказал эксперт. Он напомнил о случаях масштабных сливов данных из крупных российских IT-компаний в 2022 году. «Бывает, что сотрудник может сделать какие-то лазейки на какой-то определенный случай. Чтобы отомстить, из корысти и так далее», — подчеркнул специалист.
По словам Вакулина, в самой системе СДЭКа также могли присутствовать всяческие уязвимости, баги, погрешности, которыми и могли воспользоваться хакеры. Не стоит исключать и вероятность того, что в открытый доступ могли утечь файлы с данными авторизации для входа в базы данных. «На самом деле мы не можем говорить, утверждать, что какая-то система безопасна на 100%», — заявил эксперт по кибербезопасности.
Как идет восстановление сервисов СДЭКа?
По заявлению хакеров, последняя резервная копия данных СДЭКа была сделана полгода назад. «Касаемо бэкапа — это очень такая резонансная тема, особенно для СДЭКа. Если это действительно так и бэкап проводился, к примеру, каждые полгода, то, вероятнее всего, компания как раз потеряла все данные за полгода», — отметил эксперт.
По мнению Вакулина, столь длительный процесс восстановления работы компании может быть связан с тем, что восстановление базы данных происходит в «ручном формате». «Более чем склоняюсь, что, скорее всего, сейчас восстановление происходит в ручном формате. То есть каждую посылку сопровождает накладная, в которой указан отправитель, получатель, конечный адрес и т.д. И, возможно, сейчас СДЭК как раз пытается восстановить эти данные, используя ручной метод. Да, это займет очень много времени».
Вскоре после нашего разговора с экспертом в СДЭКе подтвердили его предположения о том, что восстановление систем идет в ручном режиме. В компании пообещали наладить наладить выдачу посылок в пунктах СДЭК уже в среду, 29 мая. «У нас есть запасной вариант, в котором мы восстанавливаем только выдачу отправлений... Мы подготовили формат, в котором наши ПВЗ могут обрабатывать выдачу посылок в ручном режиме, исключив при этом возможные ошибки», — заявил «Звезде» директор по коммуникациям компании Михаил Берггрен.
