Инциденты и уязвимости
Capital One, Equifax, Log4Shell, Heartbleed, XZ — публичные утечки и уязвимости, разобранные по причинам, последствиям, первой реакции и мерам защиты — ради уроков, которые актуальны до сих пор.
Массовая утечка MOVEit (2023) — как zero-day SQL-инъекция достигла 2700+ организаций и как защититься
Входом стала zero-day SQL-инъекция (CVE-2023-34362) в выходящем в интернет MOVEit Transfer. Был установлен веб-шелл (LEMURLOOT), и данные массово украдены из базовой БД, затронув 2700+ организаций и ~93,3 млн человек. Большинство жертв задеты косвенно, потому что MOVEit использовал поставщик. В вашей среде: быстрый патчинг KEV, минимизация открытости, минимальные привилегии и сегментация web↔БД, инвентаризация поставщиков и минимизация данных.
Утечка Capital One (2019) — как один SSRF привёл к компрометации 100M+ записей и как защититься
Один SSRF достиг endpoint метаданных → переизбыточные временные учётные данные IAM → массовое копирование S3, утечка ~106 млн записей. Каждый шаг можно было остановить. В вашей среде: IMDSv2, минимальные привилегии IAM и список разрешённых адресов для исходящих запросов.
Утечка Codecov (2021) — когда «доверенный инструмент» в CI был взломан и утекли секреты
Доверенный инструмент CI (Bash Uploader на curl|bash) был изменён на стороне поставщика. Поскольку ваш собственный код не трогали, это оставалось незамеченным ~2 месяца, пока утекали секреты CI; поймала это проверка контрольной суммы. В вашем CI: проверяйте загружаемые артефакты, минимальные привилегии секретов, ротация, мониторинг исходящего трафика.
Утечка Equifax (2017) — как неустановленное исправление Apache Struts привело к утечке данных 147M человек
Причиной стал известный, уже исправленный CVE (CVSS 10.0), оставленный без установки в публичной системе. Истёкший сертификат мониторинга скрывал эксфильтрацию 76 дней. В вашей среде: инвентаризация активов, SLA на патчинг, машинный мониторинг и работоспособное обнаружение.
Heartbleed (CVE-2014-0160) — когда из фундамента шифрованного трафика утекала память
Чтение памяти за границей в OpenSSL могло раскрыть приватные ключи и сессии. Причина: сервер доверял заявленной длине и читал соседнюю память. Урок: действуйте так, будто утекло всё — перевыпускайте сертификаты, ротируйте все секреты — плюс вес фундаментального ПО и безопасности работы с памятью.
Log4Shell (CVE-2021-44228) — ночь, когда мир боялся бага, наличие которого не мог даже подтвердить
Баг CVSS 10.0 в Log4j. Настоящий страх — транзитивная зависимость: быть затронутым через библиотеку, об использовании которой вы не знали. Пассивный путь логирования стал вектором атаки. SBOM, машинный мониторинг, быстрый патчинг и отслеживание последующих CVE — вот уроки.
Бэкдор XZ Utils (CVE-2024-3094) — когда целью было само доверие
Доверенный мейнтейнер внедрил бэкдор в xz — атака на цепочку поставок. «Это работает медленно» одного инженера поймало это прямо перед стабильным релизом. Целью был не код, а люди и доверие. Минимизируйте зависимости, закрепляйте версии, собирайте воспроизводимо, преследуйте аномалии и поддерживайте мейнтейнеров.