«Аэрофлот» взломали потому, что глава организации не менял пароль с 2022 года, при этом, компания работала на версиях Windows XP и 2003

Цитата (doommm @ 29.07.2025 - 01:07)

Всё они починят и думаю достаточно быстро. Сталкивался с разными крупными коммерческими компаниями. Как правило полный бекап всех баз раз в квартал (связанных так или иначе с работой систем или пользователями), инкрементальный бекап раз две недели. Бекапы всегда хранятся офлайн, так что уничтожить их можно только физически. Откатятся на месяц по информации, утрутся, сделают выводы и продолжат работать. В нашей стране за случайный слив данных их не накажут. Для западной компании такой слив бы грозил банкротством компании из-за десятков тысяч исков P,S. Не может в принципе такого быть что нет бекапов! Какая бы мощная система безопасности ни была - всегда есть человеческий фактор. Какого-нить SQL админа бросит жена, у него слетит кукуха и он дропнит базы, или всех юзеров этой базы, или отформатирует сервера где они крутятся. Везде есть кто-то у кого прав на это хватит. Я уже не говорю про возможный проеб разрабов, когда DELETE скрипт выполнил не 10 строк а 100 милионов ))

Может

Цитата (anclevalico @ 28.07.2025 - 20:37)

Про ХР, явный бред, чтобы просто поглумиться. А то, что цифровая безопасность в стране, в жопе, спасибо Пыпе и Шаадаеву. Ну, не Касперскую же назначать?

Не поверишь. Она везде в жопе.
Номальная, независимо от страны, она там где собрались идейные и хорошо оплачиваемые сотрудники.

ИМХО, нихуа это не хакеры.
Больше похоже на внутренние разборки.
Озвученные цифровые потери - как будто кто-то механически уничтожил серверы (кувалдой)

Сайт- почему-то продолжал работать и продавать билеты.

Слишком грубо и топорно для хакеров.

Если бы у меня были хакерские таланты и поставлена задача, можно сделать пакость куда более изящно и эффективно.
Например начать продажу бесплатных билетов. Или наоборот, аннулировать все билеты за несколько часов до вылета. Или продавать билеты на 1000 мест в самолете.

Цитата (yellowmew @ 28.07.2025 - 16:48)

Ну главу Аэрофлота зря приплели он вряд ли сам пользуется компом и имеет доступ к важным сервисам - он начальник, не исполнитель вот WinXP и 2003 - это да, куча уязвимостей известных, если и держать приходится - то только в полностью закрытом контуре А так - парольная политика, видимо, отсутствует, и безопасники по рукам не бьют за пароли на рабочем столе..

В смысле не пользуется, а прнхаб он на чем смотрит
Размещено через приложение ЯПлакалъ

эти дол*** хотят еще цифровой рубль вводить, да ну их нахер, только наличка ребята

Цитата (Мамедыч @ 28.07.2025 - 15:56)

Цитата (mrzorg @ 28.07.2025 - 16:45) Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко. Так стоп! Ты сказал что в ТерОборону ушел?

А по-твоему, как у нас выглядит терроборона? Я сижу целый день в бронежилете и каске и всматриваюсь закат, выискивая прущих на забор хамасят?

Объявили порядок повышения боевой готовности, народ продолжает заниматься своими делами, благо почти все члены ГБР работают внутри колхоза, как и я. Но по первому свистку готовы отразить угрозу, не сцы.

Ладно еще бог уберег самолеты не попадали и не врезались в друг друга... И да в таких случаях должны же быть наверное что нибудь резервное, не хакеры, так авария какая нибудь ...

Цитата (Domini51 @ 28.07.2025 - 16:57)

"Хакерская атака стала возможной потому, что некоторые сотрудникине соблюдали правила цифровой безопасности". Ubix, проверьте сообщение. Мне кажется, что в фразе соблюдали пропущена приставка "не".

Всё правильно, "некоторые соблюдали", остальные не соблюдали. Чем дуршлаг отличается от коврика?
Тем что в ковшеке все участки воду не пропускают, вот безопасность любой компании где не все сотрудники выполняют протокол безопасности это дуршлаг.
У "Аэрофлот" ещё и собственные аэропорты есть, "Шереметьево" и в Красноярске, вот там всё накрылось похоже. Где гарантии что злоумышленники к диспетчерской службе не пробились через "Аэрофлот"?

Цитата (Weneedproof @ 28.07.2025 - 22:57)

От человек. У вас всегда тут пох и хата с краю. А с кого они (Аэрофлот) возьмут деньги на покрытие убытков ... С тебя чудо. Не на садики школы дароги пойдут твои налоги (если ты платишь конечно) не на пенсии, а на востановоение обновление всей этой п***добратии. Когда ж вы начнете это понимать то. Ты плательщик, живи с этим.

Мдааа уж. Притянул так притянул. Тоесть до этой атаки Вы налоги не платили? Хватит их везде приплетать. Всё равно Вы никогда не узнаете куда они идут. Так чего переживаете так?
Размещено через приложение ЯПлакалъ

да просто уволили Одмина не заплатив нормальный " парашют". вот он и слил базу паролей в даркнет

Настольный компьютер главы Аэрофлота


Размещено через приложение ЯПлакалъ

Цитата (GreatKukuruz @ 28.07.2025 - 16:50)

А сам пароль был 12345?

QWEasd123

Цитата (sbiv @ 28.07.2025 - 18:58)

Цитата (sebperero @ 28.07.2025 - 18:17) не поверю, что в такой здоровой конторе админили школяры, которые не слышали про пароли и бекапы. Легко. Большинство админов в окологосушном энтерпрайзе именно такие и есть. Меняльшики картриджей которым рассказали про АД и научили накликивать в мастере виртуалки. Профессионально они не растут, потому что тупые и ленивые. И платят им копейки. А руководят име такие же, но просидевшие на одном месте лет по 20. Инфантильные пухлые престарелые мальчики. Из интересов танчики, тупые ролики в ютубе и пиво. Чтобы заставить думать и шевелиться нужно постоянно пинать и унижать.

"Не судите женщин за килограммы, да не судимы будете за сантиметры". Я как раз тот админ из госсектора. Я бы посмотрел, как ты, "ниибаццо крутой админ", работал бы с моим финансированием за мою зарплату с моими регламентами.
Не стоит свои личные обидки проецировать на всех. Ты ни дня не проработал в госсекторе, судя по содержанию поста

Насчет использования ХР и 2003. Это означает, что данные ОСи и, соответственно, железо, прекрасно справляются с поставленными задачами и сегодня. Неистовый дрочь на самоновейшии версии ПО очень редко подкреплен реальными потребностями.
Относительно быстродействия. Насколько более мощными стали компы даже, положим, за последние 10 лет? И что, прикладное ПО настолько же ускорилось в работе? Возьмем приснонезабвенный Google Chrome для примера.... В чем крутизна? И, кстати, не указан контур и применимость этой самой ХР: может, там какие-нибудь древние терминалы или эскалаторы под ней работали

Ну, если сейчас этих "рыцарей пароля" не найдут и не законопатят их пожизненно в самую сибирскую сибирию, то ...

Такая чушь. Типа они штатной защитой винды пользовались? Никаких не программных ни аппаратных средств защиты? Фуета!

А то что пароль не менял - то что? Его сбрутили? Да даже у меня - ламерюги последнего штатными средствами винды после пятой попытки неверного пароля учётка заблочится любая и я заставлю менять пароль.

А там такой объём персональных данных что их ещё и фэбосы должны и в хвост и в гриву сертифицировать.

Короче всё фуета.

Заголовок огонь! Конечно, вся безопасность аэрофлота держалась на пароле главы организации)) По факту конечно проеб у них конкретный в безопасности, за это они на большие бабки и проблемы надолго попали конечно.

Цитата (woy @ 28.07.2025 - 16:52)

Цитата (mrzorg @ 28.07.2025 - 15:45) Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно. И мы нихуя не Аэрофлот по размерам даже близко. вот обьясни мене мзорг, у аэрофлота сколько там самолётов? 170? а серверов хакнули 7000? вот зачем им на каждый самолёт по 40 серверов?

Во-первых, из этих семи тысяч 6800 могут быть виртуальными.
Во-вторых, простой самолёта регулируется только наличием отдохнувшего экипажа и необходимостью техобслуживания, в остальном он может летать практически безостановочно.

Цитата (Alien999 @ 28.07.2025 - 17:48)

Цитата (ELEA @ 28.07.2025 - 16:46) Печально, что в каждой 4й конторе так. Их спасает только то, что нахер никому не нужны.... :/ Истинно. У меня было. На заре появления шифровальщиков. Прогер 1с работал по удалёнке через терминал, а в том терминале заходил в терминал сервера 1с с учёткой админа. Ну и оставил всё включённое на ночь. Пароли были легчайшие, в ярлыках терминалов пароли сохранённые. Ночью злоумышленник залез и зашифровал все базы 1с. Прикол в том, что в папке с зашифрованными базами он оставил текстовый файл с названием типа «хотите вернуть данные, следуйте этой инструкции». Открываю файл, а он тоже зашифрован))). Так и не узнали куда деньги переводить. Отделались лёгким испугом - все базы регулярно бекапились (и в конце рабочего дня тоже) и никакой инфы не потеряли.

Повезло, у многих и бэкапы там же лежат или рядом, но с доступом по тем же учеткам...

И пароль был 123

Цитата (Olegolos @ 29.07.2025 - 07:45)

"Не судите женщин за килограммы, да не судимы будете за сантиметры". Я как раз тот админ из госсектора. Я бы посмотрел, как ты, "ниибаццо крутой админ", работал бы с моим финансированием за мою зарплату с моими регламентами. Не стоит свои личные обидки проецировать на всех. Ты ни дня не проработал в госсекторе, судя по содержанию поста

С твоим финансированием, за твою зарплату и с твоими регламентами я бы не работал, а пошёл туда где всё это в норме. А такие места имеются и в ассортименте.

Я не вижу ни одной валидной причины по которой к компетентному айтишнику сейчас имеет смысл быть в госсекторе на низовой должности не имеющей отношения к распилу.

Если ты там значит ты некомпетентен. И вообще админом не являешься. Массово габаритный макет админа.

Цитата (doommm @ 29.07.2025 - 01:07)

Всё они починят и думаю достаточно быстро. Сталкивался с разными крупными коммерческими компаниями. Как правило полный бекап всех баз раз в квартал (связанных так или иначе с работой систем или пользователями), инкрементальный бекап раз две недели. Бекапы всегда хранятся офлайн, так что уничтожить их можно только физически. Откатятся на месяц по информации, утрутся, сделают выводы и продолжат работать. В нашей стране за случайный слив данных их не накажут. Для западной компании такой слив бы грозил банкротством компании из-за десятков тысяч исков P,S. Не может в принципе такого быть что нет бекапов! Какая бы мощная система безопасности ни была - всегда есть человеческий фактор. Какого-нить SQL админа бросит жена, у него слетит кукуха и он дропнит базы, или всех юзеров этой базы, или отформатирует сервера где они крутятся. Везде есть кто-то у кого прав на это хватит. Я уже не говорю про возможный проеб разрабов, когда DELETE скрипт выполнил не 10 строк а 100 милионов ))

думаю что они и сидели там целый год чтобы все бэкапы за этот год оказались зашифрованы. то есть не помогло бы даже проводить учебную тревогу по восстановлению из бэкапа - он бы нормально расшифровался вирусом и восстановился. помогло бы проводить учения по восстановлению в абсолютно чистую, изолированную от рабочей сети, систему тогда бы выяснилось что бэкап невалидный. но чтобы это делалось надо инфобезопаснику платить ну никак не 120 тр
Это сообщение отредактировал ss1971 - 29 июл. 2025 г. в 10:08

Цитата (doommm @ 29.07.2025 - 01:40)

Брутфорс уже давно не работает, если политики настроены правильно. Максимум чего можно добиться это блокировки учётки какого-то пользователя, логин которого ты знаешь. 3-5 попыток и учётка залочена, дальше разбор полетов с админами: кто, как, откуда, зачем! Если правильно настроена двухфакторная авторизация, то и блокировки не будет, просто ничего не сможешь сделать.

Ну сейчас используются другие техники, типа password spray. Но зачем перебирать вообще?
Хакнули МСЭ (проскакивала информация, что checkpoint), получили VPN доступ внутрь сети (можно и с двухфактроной авторизацией себе создать токены), а дальше искали неспешно не привлекая внимание уязвимые системы, получали к ним доступ и ставили mimikatz или просто дампили процесс lsass, после того, как туда кто-нить с админским логином залогинится. Потом компрометация админских компов (которые вот обязательно нужно загонять в домен!), вытягивание паролей от сохранённых систем и установка кейлогеров и длительный процесс анализа, что куда и как.
Для двухфакторной авторизации допустим по rdp, обычно необходимо стороннее ПО, если склероз не изменяет. Может современные терминальные\rdp сервера уже умеют в двухфакторку?

Цитата (ss1971 @ 29.07.2025 - 09:58)

думаю что они и сидели там целый год чтобы все бэкапы за этот год оказались зашифрованы. то есть не помогло бы даже проводить учебную тревогу по восстановлению из бэкапа - он бы нормально расшифровался вирусом и восстановился. помогло бы проводить учения по восстановлению в абсолютно чистую, изолированную от рабочей сети, систему тогда бы выяснилось что бэкап невалидный. но чтобы это делалось надо инфобезопаснику платить ну никак не 120 тр

Абсолютно верно!Опять же многие компании жалеют денег на ленточную библиотеку под современные объёмы хранения. Ближайшие дни покажут, насколько хорошо была организована система и был ли дизастер план.

Цитата (Shuram @ 28.07.2025 - 21:27)

Кто-то пиздит. Ну не может быть, чтобы ген. директор Аэрофлота имел доступ на администрирование серверов. Зная его пароль можно почту читать, инфу готовую получать, ну, и все. Если только админ не лох. Уничтожено 7000 серверов. Ну физически их никак не повредили, максимум - стёрли все данные. Восстановить из копий - не проблема. Опять же, если админ делал копии правильно.

Если.