______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Слив сотрудников Сбербанка

420 тысяч записей вида «SAMAccountName»,»DisplayName»,»CanonicalName» утекли у Сбербанка через powershell запрос Get-ADUser.

Я вам скажу Сбербанк ещё легко отделался.

Вот перечень всего того, что есть в активной директории. Вытащить можно, к примеру, ФИО, почту, должность и отдел, домашний/рабочий адрес и телефон, ФИО начальника, дату последнего входа в сеть (неточно), дату последней смены пароля и рабочую станцию (редко).

Всё это тем же самым единственным запросом Get-ADUser. Например, таким:

Get-ADUser -Filter * -SearchBase «DC=sigma,DC=sbrf,DC=ru» -Properties enabled,Name,Surname…… | export-csv login.csv -NoTypeInformation

Запрос должен отработать за пару минут и выдать инфу по всем текущим и уволенным сотрудникам Сбербанка, и это штатная операция. Именно так AD и работает, и ничего с этим не сделаешь. Активная Директория — публичное место.

Можно запретить доступ на чтение к пользовательским контейнерам — и вы что-нибудь сломаете. Можно выделить гостей в отдельный лес — сработает, но проблема с инсайдерами/троянами останется. Можно выключить PowerShell на рабочих местах, но это не так просто сделать, ничего не сломав. К тому же, пользователи могут и принести свой powershell или использовать доменную учётку на BYOD ноутбуке.

Кроме Get-ADUser, список пользователей можно получить еще и через адресную книгу Аутлука (Outlook Global Address List).

[Microsoft.Office.Interop.Outlook.Application] $outlook = New-Object -ComObject Outlook.Application
$entries = $outlook.Session.GetGlobalAddressList().AddressEntries
$content = @()

foreach($entry in $entries){
$content += New-Object PsObject -property @{
‘Name’ = $entry.Name
‘PrimarySmtpAddress’ = $entry.GetExchangeUser().PrimarySmtpAddress
‘JobTitle’= $entry.GetExchangeUser().JobTitle
‘MobileTelephoneNumber’= $entry.GetExchangeUser().MobileTelephoneNumber
}
}

#export to csv
$content | export-csv Outlook.csv -NoTypeInformation

То, что произошло — это, конечно, серьезный инцидент, который, однако, мог бы произойти в любой другой компании, использующей Активную Директорию. Это никакой не взлом. Даже сливом назвать это я не могу, так как с точки зрения разработчиков Майкрософт это всё открытая информация, просто не все про неё знают.

Любопытный момент тут — как такой «слив» воспринимать с точки зрения 152-ФЗ и GDPR? Если всё-таки считать это утечкой ПДн, то непонятно что можно сделать, чтобы её предупредить (даже обнаружение такой утечки техническими средствами — серьезный вызов).

Наверное, в будущем плохие парни начнут такую информацию монетизировать. Первое, что пришло мне в голову, это письма типа «Тебя зовут <Иванов Иван Иванович>, <инженер отдела ЗИ>. Если ты не отсыпешь мне биткоинов, я сообщу твоему начальнику <Петрову> что ты посещал порносайты в рабочее время».

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх