Сотрудник ушёл, а доступ остался. Как забытая учётка открыла хакерам путь к водоснабжению целого города
NewsMakerОбычная халатность кадровиков едва не спровоцировала масштабную коммунальную катастрофу.
Обычная кадровая оплошность в одном американском городке превратилась в серьёзную угрозу для критической инфраструктуры. Учётную запись сотрудника, давно покинувшего работу, никто не отключил, а злоумышленники получили через неё доступ к системам, которые отвечали за водоснабжение всего города.
О случае рассказала Николь Беквит, старший директор по проектированию и операциям безопасности в Cribl. Ранее она работала консультантом и расследовала взлом городской сети. По её словам, атакующие сначала спокойно изучали доступные ресурсы муниципалитета и экспериментировали с малозначимыми устройствами, включая проекторы в переговорных комнатах.
Позже злоумышленники нашли доступ к настройкам водоканала. В системе управления они отключили ряд элементов, что могло создать риск для подачи воды. Расследование показало, что все действия шли через аккаунт сотрудника, который ранее работал в отделе аудита.
Проблема заключалась в том, что Грег уволился много лет назад, но его учётная запись продолжала работать. Более того, аккаунт сохранил слишком широкие права, включая доступ администратора домена, функции оператора SCADA и возможности службы поддержки. Столь избыточные разрешения у учётки, которой даже никто не пользовался, представляли прямую угрозу для всей городской сети.
Сам Грег, по данным расследования, к атаке отношения не имел. Николь Беквит считает, что он мог использовать рабочую почту для регистрации на сторонних сервисах, а пароль повторялся на разных площадках. После утечек данных злоумышленники заметили адрес в зоне .gov и попробовали войти с найденными учётными данными.
Инцидент показал, насколько опасны забытые аккаунты с высокими правами. Городским IT-службам нужно было отключить доступ сразу после увольнения сотрудника, а затем регулярно проверять, кто сохраняет права в рабочих системах. Отдельную роль сыграла и слабая гигиена паролей, потому что рабочие учётные данные не должны пересекаться с покупками, соцсетями и другими внешними сервисами .
По словам Беквит, проверки доступа хотя бы раз в квартал могли бы предотвратить подобный сценарий. На практике многие организации считают, что после ухода сотрудника все права уже закрыты, но именно такой пробел часто становится входной точкой для атак.
Обычная кадровая оплошность в одном американском городке превратилась в серьёзную угрозу для критической инфраструктуры. Учётную запись сотрудника, давно покинувшего работу, никто не отключил, а злоумышленники получили через неё доступ к системам, которые отвечали за водоснабжение всего города.
О случае рассказала Николь Беквит, старший директор по проектированию и операциям безопасности в Cribl. Ранее она работала консультантом и расследовала взлом городской сети. По её словам, атакующие сначала спокойно изучали доступные ресурсы муниципалитета и экспериментировали с малозначимыми устройствами, включая проекторы в переговорных комнатах.
Позже злоумышленники нашли доступ к настройкам водоканала. В системе управления они отключили ряд элементов, что могло создать риск для подачи воды. Расследование показало, что все действия шли через аккаунт сотрудника, который ранее работал в отделе аудита.
Проблема заключалась в том, что Грег уволился много лет назад, но его учётная запись продолжала работать. Более того, аккаунт сохранил слишком широкие права, включая доступ администратора домена, функции оператора SCADA и возможности службы поддержки. Столь избыточные разрешения у учётки, которой даже никто не пользовался, представляли прямую угрозу для всей городской сети.
Сам Грег, по данным расследования, к атаке отношения не имел. Николь Беквит считает, что он мог использовать рабочую почту для регистрации на сторонних сервисах, а пароль повторялся на разных площадках. После утечек данных злоумышленники заметили адрес в зоне .gov и попробовали войти с найденными учётными данными.
Инцидент показал, насколько опасны забытые аккаунты с высокими правами. Городским IT-службам нужно было отключить доступ сразу после увольнения сотрудника, а затем регулярно проверять, кто сохраняет права в рабочих системах. Отдельную роль сыграла и слабая гигиена паролей, потому что рабочие учётные данные не должны пересекаться с покупками, соцсетями и другими внешними сервисами .
По словам Беквит, проверки доступа хотя бы раз в квартал могли бы предотвратить подобный сценарий. На практике многие организации считают, что после ухода сотрудника все права уже закрыты, но именно такой пробел часто становится входной точкой для атак.