Хакеры застопорили Wildberries

В работе маркетплейса Wildberries второй день наблюдаются проблемы: около половины пользователей заявляют о сложностях с доступом в приложение и с отслеживанием заказов. В самой компании заверяют, что более 70% ошибок исправлены, заказы выдаются, персональные данные не пострадали. По мнению экспертов, маркетплейс стал жертвой атаки вируса-шифровальщика, в подготовке которой могли участвовать сотрудники Wildberries.

По данным сервиса Downdetector, за последние 24 часа 41% пользователей Wildberries зафиксировали проблемы с доступом в приложение, у 46% есть трудности с отслеживанием заказа, у 13% — с веб-сайтом. Служба информационной безопасности сервиса доставки СДЭК разослала 15 марта своим сотрудникам предупреждение (есть у «Ъ») о кибератаке на Wildberries с рекомендацией вывести средства, заблокировать и перевыпустить карту, привязанную к маркетплейсу. По состоянию на 17:00 15 марта корреспондент «Ъ» не смог войти в аккаунт на Wildberries.

Сейчас на маркетплейсе насчитывается примерно 1300 ошибок, то есть около 750 пользователей испытают сложности с доступом в приложение и с отслеживанием заказов, уточнили в Wildberries. Всего услугами маркетплейса пользуется 113 млн пользователей в месяц.

В самой компании Wildberries заявили, что речь идет о технических ошибках: «Наши IТ-специалисты продолжают работу по их устранению. На сегодняшний день уже более 70% ошибок исправлены, заказы выдаются покупателям». В компании подчеркнули, что, по данным Downdetector, количество ошибок в работе приложений и сайта Wildberries к 15 марта снизилось в четыре раза по сравнению с 14 марта. При этом персональная и финансовая информация пользователей не пострадала, настаивают в компании: «Данные банковских карт надежно защищены в соответствии со стандартом Payment Card Industry Data Security Standard (PCI DSS), который разработан ведущими международными игроками в сфере платежных систем».

Wildberries могла стать жертвой взлома и атаки вирусом-шифровальщиком со стороны хакерской группировки OldGremlin, сообщило издание Antilocker.

Один из собеседников «Ъ» на рынке кибербезопасности подтвердил, что Wildberries была взломана с вирусом-шифровальщиком, а точки входа скомпрометированы еще больше года назад.

«Wildberries взломали русские хакеры и уничтожили почти всю инфраструктуру, включая резервные копии. Данные зашифрованы»,— пишет автор Telegram-канала «Запуск завтра» Самат Галимов, который ранее работал техническим директором в «Медузе» (признана иноагентом), Pure, Bookmate и RAWG. По его мнению, взлом был совершен изнутри, поскольку компания относилась к защите довольно серьезно.

По словам одного из собеседников «Ъ», атака была целевой — злоумышленники добрались до резервных копий платформы, смогли вывести их из строя, после чего нанесли ущерб остальной инфраструктуре.

«Сейчас основная проблема в том, что потребуется много ресурсов для восстановления всех сервисов, и когда они вернутся к нормальной работе, неизвестно»,— заявил эксперт.

Точкой входа для подобной атаки могли быть фишинговые письма с вредосными вложениями или уязвимый сервис (например, необновленный Exchange или GitLab), полагает директор центра мониторинга кибербезопасности IZ:SOC «Информзащиты» Иван Мелехин. По косвенным признакам очевидно, что Wildberries не использовала услуги центров мониторинга кибербезопасности, которые позволяют выявить такие атаки на ранних этапах, отмечает эксперт, что «удивительно для компании такого масштаба». В Wilberries не стали отвечать на вопрос о центрах, сославшись на коммерческую тайну.

Если масштабы взлома подтвердятся, он может оказаться одним из крупнейших инцидентов за последнее время, отмечает Иван Мелехин: «Степень ущерба зависит от способности и скорости восстановления IТ-инфраструктуры и наличия резервных копий. Наш опыт показывает, что очень часто резервные копии удаляют еще до шифрования». Учитывая нынешний ажиотаж с покупками и невеликий выбор альтернативных маркетплейсов, вряд ли Wildberries ожидает отток пользователей, но их доверие к площадке, вероятно, снизится, считает Иван Мелехин.

Взлом компании подобного размера и с настолько разветвленной инфраструктурой можно считать крупным, говорит директор по специальным проектам Angara Security Александр Дворянский: «Такие организации нечасто подвергаются атакам, тем более успешным». По его мнению, если факт атаки подтвердится, под угрозой могут быть персональные данные пользователей сервиса, включая платежную информацию. Он рекомендует клиентам Wildberries в мобильном приложении снять отметку «оплачивать покупки онлайн без подтверждения по смс» с привязанной карты. При обязательном использовании второго фактора в виде смс, поясняет господин Дворянский, даже если данные окажутся у злоумышленников, украсть деньги не получится.