Ночью 17 октября в различных русскоязычных Telegram-каналах стали появляться однотипные публикации с подозрительными ссылками.
В тексте постов акцентировалось внимание на взломе российской компании. Публикации содержали уточнение о сливе персональных данных пользователей «везде, где можно и нельзя, даже в чужих каналах, ведь для нас не существует правил».
Что за публикации такие?
Посты однотипного характера касались сервиса онлайн-записи и автоматизации в сфере услуг DIKIDI. Инициатором взлома в таких публикациях была обозначена некая группировка хакеров под названием NLB.
Группировку NLB связывают с проукраинскими преступниками. Они известны тем, что публиковали данные ряда российских банков, сервисов и различных фирм.
Последние известные новости, связанные с деятельностью NLB, — взломы МТС Банка в начале сентября и сервиса электронных книг «Литрес» в начале августа.
МТС Банк не подтвердил утечку банковской тайны, а вот «Литрес» всё же подтвердил утечку данных своих пользователей, подчеркнув, что платёжная информация осталась в безопасности.
Основной Telegram-канал указанных проукраинских преступников, где размещались ссылки на архивы с базами данных российских компаний, перестал существовать в сентябре 2023 года, убедились в «Коде Дурова».
К публикациям, распространяющимся в ряде Telegram-каналов, прилагались ссылки на базу данных — в ней 99 999 строк.
Они содержат имена, номера телефонов, адреса электронной почты, хешированные пароли, а также данные о дате регистрации и последнем посещении сервиса. Утверждается, что у хакеров есть доступ к 40 млн таких записей.
Сколько каналов пострадало и кого в этом винят?
Первое однотипное сообщение от лица именитых кибервоинов было опубликовано 17 октября в 01:32 по московскому времени. Последнее зафиксировано в 08:17.
- Всего пострадало 1880 российских Telegram-каналов.
- Суммарная аудитория пострадавших каналов — 19 900 000 пользователей.
- Суммарный охват — 650 000, следует из данных TGStat, предоставленных «Коду Дурову».
Администраторы Telegram-каналов стали упрекать в проблеме один из крупных сервисов отложенного постинга SmmBox, так как киберпреступники, вероятно, получили доступ к сервису. Предположительно, речь идёт об использовании токенов ботов для SmmBox.
В самом сервисе утром 17 октября выразили обеспокоенность ситуацией, заявили, что уже разбираются в ней и порекомендовали своим клиентам обновить токен бота или создать нового бота:
Рекомендуем обновить токен бота, который у вас подключен. Лучшим решением будет полностью создать нового бота, подключить его в Телеграм каналах/группах и SmmBox, а от старого отказаться.
Через несколько часов в своём обращении представитель технической поддержки SmmBox опубликовал инструкцию по обновлению токена и подчеркнул, что взлома базы данных сервиса не было:
Все ваши данные, аккаунты, токены соцсетей не попали в руки злоумышленников, взлома нашей базы данных не было. Мы приняли ряд мер по усилению безопасности, ввели внутренние ограничения для того, чтобы максимально предотвратить подобные ситуации в дальнейшем.
Читать первым в Telegram-канале «Код Дурова»
