Массовая спам-рассылка по каналам в Telegram. Что произошло?

Ночью 17 октября в различных русскоязычных Telegram-каналах стали появляться однотипные публикации с подозрительными ссылками.

В тексте постов акцентировалось внимание на взломе российской компании. Публикации содержали уточнение о сливе персональных данных пользователей «везде, где можно и нельзя, даже в чужих каналах, ведь для нас не существует правил».

Что за публикации такие?

Посты однотипного характера касались сервиса онлайн-записи и автоматизации в сфере услуг DIKIDI. Инициатором взлома в таких публикациях была обозначена некая группировка хакеров под названием NLB.

Группировку NLB связывают с проукраинскими преступниками. Они известны тем, что публиковали данные ряда российских банков, сервисов и различных фирм.

Последние известные новости, связанные с деятельностью NLB, — взломы МТС Банка в начале сентября и сервиса электронных книг «Литрес» в начале августа.

МТС Банк не подтвердил утечку банковской тайны, а вот «Литрес» всё же подтвердил утечку данных своих пользователей, подчеркнув, что платёжная информация осталась в безопасности.

Основной Telegram-канал указанных проукраинских преступников, где размещались ссылки на архивы с базами данных российских компаний, перестал существовать в сентябре 2023 года, убедились в «Коде Дурова».

К публикациям, распространяющимся в ряде Telegram-каналов, прилагались ссылки на базу данных — в ней 99 999 строк.

Они содержат имена, номера телефонов, адреса электронной почты, хешированные пароли, а также данные о дате регистрации и последнем посещении сервиса. Утверждается, что у хакеров есть доступ к 40 млн таких записей.

Сколько каналов пострадало и кого в этом винят?

Первое однотипное сообщение от лица именитых кибервоинов было опубликовано 17 октября в 01:32 по московскому времени. Последнее зафиксировано в 08:17.

• Всего пострадало 1880 российских Telegram-каналов.
• Суммарная аудитория пострадавших каналов — 19 900 000 пользователей.
• Суммарный охват — 650 000, следует из данных TGStat, предоставленных «Коду Дурову».

Администраторы Telegram-каналов стали упрекать в проблеме один из крупных сервисов отложенного постинга SmmBox, так как киберпреступники, вероятно, получили доступ к сервису. Предположительно, речь идёт об использовании токенов ботов для SmmBox.

В самом сервисе утром 17 октября выразили обеспокоенность ситуацией, заявили, что уже разбираются в ней и порекомендовали своим клиентам обновить токен бота или создать нового бота:

Рекомендуем обновить токен бота, который у вас подключен. Лучшим решением будет полностью создать нового бота, подключить его в Телеграм каналах/группах и SmmBox, а от старого отказаться.

Через несколько часов в своём обращении представитель технической поддержки SmmBox опубликовал инструкцию по обновлению токена и подчеркнул, что взлома базы данных сервиса не было:

Все ваши данные, аккаунты, токены соцсетей не попали в руки злоумышленников, взлома нашей базы данных не было. Мы приняли ряд мер по усилению безопасности, ввели внутренние ограничения для того, чтобы максимально предотвратить подобные ситуации в дальнейшем.