Утечка из аквариума

Безопасность Интернета вещей пока не успевает за изобретательностью компаний-производителей. Среди подключенных устройств встречаются модели, о возможностях которых мы знаем далеко не все. История уже показывала, как IoT-угрозы настигают пользователей в самых неожиданных обстоятельствах. Сегодня в нашей повестке еще один кейс с вроде бы безобидным героем.

Некоторое время назад в лобби одного американского казино появился «умный» аквариум. Высокотехнологичная новинка сама контролировала график кормления рыбок, следила за уровнем соли и температурой. Термостат умел выходить в Интернет, чтобы предупреждать владельца о перегреве или чрезмерном охлаждении воды.

Устройство было скрыто за отдельным VPN, очевидно для того, чтобы спрятать его от злоумышленников. Как выяснилось, этих мер было недостаточно — через предательский термостат оказалось возможно дотянуться до других узлов локальной сети.

Выяснилось, что аквариум отправил куда-то в Норвегию 10 ГБ данных. ИБ-сотрудники стали разбираться, что за информация попала в руки неизвестным взломщикам. Оказалось, что украли базу крупных игроков. В открытых источниках не уточняется, какие именно в ней содержалась сведения, однако вне зависимости от того, были ли там просто имена и фамилии или же контактные данные и номера кредитных карт, репутационный ущерб трудно переоценить. Название казино в новости не попало, но предприниматели обязаны были сообщить об инциденте жертвам утечки.

Компаниям, которые не хотят рисковать своими клиентами, как случилось с неназванным казино, советуем помнить эти правила:

• Защищать только конечные устройства — недостаточно. Злоумышленники могут использовать любое устройство как плацдарм для атаки. Так что защитные решения должны стоять также и на серверах и шлюзах. В идеале, они должны отсекать общение с внешним миром по непонятным протоколам и через неизвестные порты.
• Безжалостно отключайте интернет-доступ любому оборудованию, которому он не нужен для выполнения основных задач.
• Поскольку возможности установить защитные решения на IoT-устройства нет, эти девайсы следует тщательно конфигурировать.
• Возьмите за правило периодически проводить тесты на проникновение. Эти проверки помогут вовремя найти пробелы безопасности — включая неочевидные бреши, способные стать причиной серьезных проблем.