Błąd pracownika i poważny wyciek danych niektórych klientów z VirusTotal. Porady dla firm

Krótko o VirusTotal

Z pewnością nie ma osoby w branży cybersecurity, która nie słyszałaby o popularnej, należącej do Google usłudze online VirusTotal i nie korzystała z niej. Ba, nawet sami używamy jej przy publikacji niektórych artykułów.

To narzędzie codziennej pracy wielu analityków bezpieczeństwa oraz firm. Używane jest do analizowania podejrzanych plików i adresów URL w celu wykrywania złośliwego oprogramowania oraz złośliwej zawartości za pomocą silników antywirusowych i skanerów witryn.

Wyciek danych VirusTotal ujawnił informacje, które można wykorzystać

Jak potwierdziło Google w rozmowie z niemieckim tygodnikiem Der Spiegel, pod koniec czerwca pracownik nieumyślnie udostępnił w VirusTotal plik zawierający nazwiska i adresy e‑mail klientów programu.

„Usunęliśmy listę z platformy w ciągu godziny od jej opublikowania i przyglądamy się naszym wewnętrznym procesom i kontrolom technicznym, aby usprawnić naszą działalność w przyszłości”– stwierdził VirusTotal.

Ostatecznie trafił też w ręce dziennikarzy Der Spiegel, którzy zweryfikowali autentyczność listy (mały plik o rozmiarze 313 KB).

„Pojawiają się nazwiska pracowników rządowych, a niektórych z nich można znaleźć również na LinkedIn” – zauważyli reporterzy tygodnika.

Lista zawiera nazwiska i firmowe adresy e-mail 5600 użytkowników, którzy zarejestrowali konto. Wśród nich są pracownicy m.in.:

• US Cyber Command (jednostki hakerskiej armii USA), Departamentu Sprawiedliwości USA, FBI i amerykańskiej agencji wywiadowczej NSA,
• oficjalnych organów z Holandii, Tajwanu i Wielkiej Brytanii,
• wielu niemieckich organizacji, w tym Policji Federalnej, Federalnego Urzędu Policji Kryminalnej, Służby Kontrwywiadu Wojskowego (MAD) i Federalnego Urzędu Statystyki Telekomunikacji,
• dużych niemieckich firm (Deutsche Bahn, Bundesbank, Allianz, BMW, Mercedes-Benz, Deutsche Telekom).

Warto podkreślić ­– wyciekły nazwy użytkowników i adresy e-mail, ale nie hasła.

Mimo to jest to wystarczająca ilość informacji, aby cyberprzestępcy mogli wyłudzić dane osób, które są oczywiście odpowiedzialne za bezpieczeństwo IT i złośliwe oprogramowanie w swojej organizacji.

O czym musimy wiedzieć, udostępniając pliki na VirusTotal?

Pierwszą rzeczą jest ryzyko związane z przesyłaniem plików na tę usługę.

Podczas gdy VirusTotal może być używany bezpłatnie przez każdego, kto chce sprawdzić określony plik lub adres URL za pośrednictwem internetowego interfejsu użytkownika, płatna wersja usługi jest dostępna tylko dla firm i organizacji sektora publicznego, umożliwiając im lepszy wgląd w przesłane próbki. Przesłane pliki są udostępniane również firmom zajmującym się bezpieczeństwem, profesjonalistom i badaczom (klientom lub partnerom VirusTotal).

Niektóre pliki przesłane przez użytkowników do VirusTotal mogą zawierać poufne dane, o czym pisaliśmy tutaj. Wśród nich możemy znaleźć chociażby dane uwierzytelniające w plikach używanych przez osoby kradnące informacje i keyloggery.

Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) już wcześniej ostrzegał organizacje przed praktyką automatycznego przesyłania plików do VirusTotal, aby wrażliwe dane organizacji nie dostały się w ręce osób trzecich (subskrybentów programu).

Podsumowanie

Wszyscy rozumiemy, że sporadycznie trzeba przesłać plik do VirusTotal, ale pod żadnym pozorem nie wolno automatyzować tej procedury, nawet jeśli VirusTotal udostępnia do tego API. Narzędzi publicznych powinniśmy używać tylko wtedy, gdy nie mamy akurat dostępu do innych metod sprawdzania.