Всем доброго дня коллеги.
Когда я вижу заголовки об очередных утечках, я не хватаюсь за голову. Я злюсь. И, пожалуй, мне есть с чем сравнить: я в кибербезопасности с середины нулевых. Я помню те времена, когда основной угрозой был червь Conficker, а для взлома корпоративной сети хакеру нужно было реально попотеть, подбирая эксплойты. Мы жили в эпоху «замков и рвов».
Сегодня всё иначе. Мы в индустрии кибербеза годами кричим об одном и том же, а бизнес продолжает относиться к ИБ как к досадной помехе, на которую можно забить до первого инцидента. Масштаб утечек перестал быть просто «большим». Он стал системным, индустриальным.Комбо-лист Exploit.In на 593 миллиона уникальных учётных записей и свежая bleed-утечка LinkedIn на 164,6 миллиона профилей — это не просто две строчки в хронике Data Breach. Это сырье для гигантской фабрики по переработке ваших денег, репутации и нервов. И именно поэтому сейчас рынок труда ИБ буквально кипит — компании наконец-то нанимают CISO и командуют: «Спасайте». Потому что цена бездействия перестала быть теоретической. Она стала осязаемой, и я покажу вам, как именно она работает изнутри.
Анатомия угрозы: что на самом деле лежит в этих базах?
Люди снаружи нашей профессии видят цифру «593 миллиона» — для них это просто слишком много, чтобы осознать. Но для меня, как для человека, который регулировал инциденты, за этими цифрами стоят очень конкретные, механические процессы. Чтобы понять масштаб катастрофы, нужно разобрать анатомию того, что утекло.
1. Exploit.In (593 млн записей): Эволюция Credential Stuffing
То, что хранится в этом комбо-листе — это не просто слитая база одного сервиса. Это «супер-коктейль». Злоумышленники собрали сотни прошлых утечек, почистили дубликаты и структурировали данные (в формате «email:рassword:ip
rigin»).Человеческая природа не меняется. Люди не умеют создавать разные пароли. Если ваш сотрудник использовал пароль от корпоративной почты для регистрации на каком-то сомнительном форуме в 2025 году, а того сломали — вот он, пароль, уже лежит в Exploit.In в чистом виде.
Как это используется? Раньше хакер брал базу и вручную пробовал зайти на сайт. Сейчас боты берут эти 593 миллиона пар и автоматически, с частотой тысяч запросов в секунду, прогоняют их по логинам Microsoft 365, Salesforce, AWS, банковским системам. Хакеры не взламывают нашу периферию — они просто «открывают дверь своим ключом». И у них это получается сплошь и рядом.
2. Утечка LinkedIn (164,6 млн записей): Смертельный удар по социальной инженерии
Если Exploit.In — это таран, то утечка LinkedIn — это скальпель. В случае с LinkedIn мы видим другой вектор. Это не классический взлом базы данных через уязвимость сервера, это массовый скрейпинг (парсинг) данных через недочеты в API.
В чем угроза? Здесь слили не хеши паролей, а контекст. Имена, должности, номера телефонов, email-адреса, места работы, история карьерного роста. Это золото.
Как это используется? Я всегда говорил своим командам: самый дорогой хакерский инструмент — это не нулевой день (0-day), это информация о том, кому писать. Злоумышленник теперь знает, кто у вас работает финдиректором, кто — рядовым аналитиком, кто ушел в декрет. Атака перестает быть шаблонной: «Уважаемый пользователь, ваш аккаунт заблокирован». Она становится hyper-персонализированной: «Иван, я вижу, ты недавно перешел в отдел закупок, скинуть тебе новый шаблон контракта от поставщика?». Это уже не спам. Это снайперская стрельба.
Голоса индустрии: что думают светила кибербеза
Когда ты столько лет в профессии, ты понимаешь, что ты не одинок в своей оценке. Одиночество ИБ-специалиста — это миф, в котором нас упорно держат бизнес-партнеры. На самом деле, все главные архитекторы этой цифровой эпохи видят одну и ту же картину. Вот, что говорят люди, которые формируют тренды:
Трой Хант (Troy Hunt), создатель Have I Been Pwned:
"Проблема уже не в том, что базы утекают. Проблема в том, что мы до сих пор используем пароли как основной барьер. Когда утекает 500 миллионов записей, это доказывает одну простую вещь: пароль больше не является секретом. Это просто имя пользователя в неудобном формате".
Брюс Шнайер (Bruce Schneier), криптограф и гуру безопасности:
"Безопасность — это не продукт, это процесс. Но когда мы говорим об утечках таких масштабов, мы говорим об экономике. Злоумышленники оптимизируют свои процессы атак лучше, чем корпорации оптимизируют защиту. Стоимость атаки стремится к нулю, а стоимость защиты продолжает расти".
Кевин Митник (Kevin Mitник) † (хакер №1, ставший консультантом):
"Вы можете потратить миллионы долларов на самые крутые файрволы и системы обнаружения вторжений. Но я всегда найду способ обойти их через человека. Дайте мне базу вашей компании, и я получу доступ к вашей сети быстрее, чем вы успеете выпить кофе".
Митник прав на все сто. Многомиллионные инфраструктуры рассыпались в пыль не из-за кривого патча от Microsoft, а потому что кто-то кликнул на красиво оформленное письмо. А база LinkedIn — это справочник для таких кликов.
Реальность и кровь (Примеры из жизни)
Абстрактные цифры и умные цитаты не пугают CFO (финансовых директоров). Пугает потеря денег и остановка процессов. Давайте спустимся из стратегического эфира в операционную грязь. Вот как эти утечки бьют по бизнесу прямо сейчас:
Классический Credential Stuffing (Zoom, 2020). Во время пандемии хакеры брали утекшие пароли из комбо-листов и массово логинились в Zoom. Результат: более 500 000 аккаунтов продано в даркнете, утечки корпоративных видеоконференций (включая закрытые борды директоров), колоссальный репутационный удар.
B2B-фишинг на стероидах (Твильт/Секторал, 2023-2024). Используя данные LinkedIn, хакеры рассылали CEO и финдиректорам письма с вложениями вроде «Отчет по конкуренту Q3.pdf.lnk». Кликали даже технарики, потому что письмо выглядело так, будто его отправил реальный человек из их профессионального круга. Результат — шифровальщики на серверах, остановка бизнеса на недели.
Скрытая угроза (Supply Chain). Ваш сотрудник использует свой рабочий email и тот же пароль (из утекшей базы) на стороннем сервисе, например, портале для корпоративной страховки. Хакер берет этот пароль, заходит в портал страховщика, видит внутренние документы вашей компании и использует их для шантажа или дальнейшей цепной атаки. Вы даже не узнаете, откуда пришел удар.
Почему цена бездействия стала невыносимой?
1. Прямые финансовые потери. По отчету IBM Cost of a Data Breach 2023, средняя стоимость инцидента достигла $4.45 миллиона. Для среднего бизнеса это смерть. Для крупного — увольнение топ-менеджмента.
2. Регуляторный молот. В Европе GDPR штрафует на суммы до 4% от годового оборота. В России 152-ФЗ и поправки к нему (особенно в сфере критической информационной инфраструктуры и требования ЦБ для финтеха) сделали неработающую ИБ прямым нарушением закона, вплоть до блокировки ресурса.
3. D&O Insurance (Страхование ответственности руководителей). Это любимая тема в бордах директоров. Страховщики больше не платят, если компания «просто не заморочилась» с базовой защитой (например, не включила MFA). Директора начинают понимать, что их личные активы, яхты и квартиры могут уйти на покрытие убытков компании, если суд докажет грубую небрежность в ИБ.
Бизнес нанимает специалистов не потому, что ИБ стала модной хайповой штукой. Он нанимает их, потому что бездействие обошлось бы дороже зарплат всего отдела безопасности вместе взятых. Мой телефон разрывается от звонков хэдхантеров не потому, что я гений, а потому, что страх руководства стал прагматичным.
Мой вердикт: Что делать прямо сейчас?
Если вы дочитали до этого места и у вас в животе еще не появилось легкое чувство тревоги — вы не понимаете, в какой сети работаете. Вот три шага, которые я, как человек с 19-летним стажем, прошу вас сделать не завтра, а еще вчера:
1. Убейте пароли там, где это возможно.
2. Включите Continuous Threat Exposure Management (CTEM). Настройте автоматический мониторинг даркнета: как только email вашего сотрудника всплывает в новой базе — немедленно, принудительно сбрасывайте ему пароль. Да, он будет материться на техподдержку. Да, это неудобно. Но это спасет вам миллионы.
3. Смените парадигму с "Периметра" на "Zero Trust". Перестаньте верить, что ваш корпоративный VPN — это безопасная крепость. Предполагайте, что хакер уже внутри сети с валидным паролем из Exploit.In. Что его остановит? Жесткая сегментация сети, ограничение привилегий (Least Privilege) и мониторинг аномального поведения (UEBA) — когда система видит, что Иван из бухгалтерии вдруг полез в базу разработчиков.
593 миллиона записей в Exploit.In и 164 миллиона профилей в LinkedIn — это черная дыра, которая засасывает в себя наивных руководителей. Рынок нанимает нас, CISO, не для того, чтобы мы строили идеальные нерушимые замки. В 2026 году такие замки не существуют. Рынок нанимает нас, чтобы мы организовали планомерную эвакуацию из горящего здания старой архитектуры безопасности и построили бункер нового типа.
Время красивых презентаций про «киберграмотность» закончилось. Welcome to the big leagues.
Последнее редактирование:
