01/12/23
Московский городской суд вынес приговор по делу хакера, взломавшего IT-системы медицинской лаборатории «Гемотест». Согласно приговору, суд назначил взломщику наказание по ч.3 ст.272, ч.2 ст.273 УК РФ в виде 1,5 лет условно.
Хакер получил доступ к данным с помощью скомпрометированной учетной записи gms-admin@gemotest.ru и PHP-скриптов (1650553341626171fd617886.05693802.php, db-informations.php, php-informations.php), в том числе через веб-шелл p0wny-shell и форму загрузки видео на веб-сервисе лаборатории «Корпоративное ТВ» (corptv.gemotest.ru). С 21 апреля по 3 мая 2022 года хакер и неустановленные лица, используя эти скрипты, осуществили выгрузку данных из баз данных лаборатории.
В экспертном заключении №001/23 от 15 мая 2023 года было выявлено, что с 21 апреля по 3 мая 2022 года производились запросы к PHP-скрипту «db-informations.php». Запросы содержали информацию, включая имена пользователей и наименования баз данных и таблиц.
Из анализа запросов со статусом «200», обозначающим успешное их выполнение, эксперт выявил, что запросы от пользователя «итр-корптв» («itr-corptv») направлялись к базам данных «ОрдерсФромКЭШ» («OrdersFromCACHE») и «МИС» («MIS»). Согласно лог-файлам, данные из запросов отправлялись на IP-адрес 10.132.132.132, который, вероятно, является частью локальной сети, связывающей веб-сервер, размещенный на виртуальной машине, с глобальной сетью Интернет.
По данным Telegram-канала «Утечки информации», Алекперов Фуад Маариф оглы, признанный виновным в суде по этому делу, возможно участвовал в других известных случаях взлома и распространения персональных данных клиентов различных компаний.
3 мая 2022 года сервис DLBI сообщил об утечке базы данных клиентов «Гемотест», содержащей персональные данные и результаты анализов. Позже эксперты DLBI выяснили, что утечка произошла из-за уязвимости IT-системы лаборатории.
«Гемотест» начал расследование инцидента 4 мая, а Роскомнадзор обратился в прокуратуру. 18 мая лаборатория подтвердила взлом, уточнив, что утечка меньше, чем сообщалось в интернете. 25 июля Мировой суд Москвы оштрафовал «Гемотест» на 60 тыс. рублей за утечку 300 ГБ данных клиентов.
По мнению Роскомнадзора, инцидент произошёл из-за компрометации учётной записи сотрудника, что позволило хакерам выгрузить данные. На суде представители лаборатории признали факт хакерской атаки, но отрицали свою вину и просили прекратить дело.
