Ночью 17 октября в самых разных русскоязычных Telegram-каналах стали появляться однотипные посты с подозрительными ссылками. В публикациях рассказывалось о взломе российской компании и уточнялось, что сливать персональные данные пользователей будут «везде, где можно и нельзя, даже в чужих каналах».
Преступник и жертва
Взломанной компанией оказался сервис онлайн-записи и автоматизации в сфере услуг DIKIDI, а непосредственным инициатором взлома — группировка хакеров, именуемая как NLB. Ее основной Telegram-канал со ссылками на слитые базы данных российских компаний прекратил существование в сентябре 2023 года.
К публикациям, которые распространяли хакеры 17 октября, прилагались ссылки на базу данных. В ней 99 999 строк с именами, номерами телефонов, адресами электронной почты, хешированными паролями, а также данными о дате регистрации и последнем посещении сервиса. Злоумышленники сообщили, что у них есть доступ к 40 млн таких записей.
NLB известна публикацией данных ряда российских банков, сервисов и различных фирм и, вероятно, связана с проукраинскими преступниками. В начале сентября хакеры взломали МТС Банк, а в начале августа — сервис электронных книг «Литрес». При этом МТС Банк не подтвердил утечку банковской тайны, а вот «Литрес» всё же опровергать утечку данных своих пользователей не стал, указав, что платёжная информация осталась в безопасности.
Сколько каналов пострадало и по чьей вине?
Первое сообщение от лица киберпреступников было опубликовано 17 октября в 01:32 по московскому времени, а последнее зафиксировано в 08:17. Всего пострадало 1880 российских Telegram-каналов с суммарной аудиторией в 19 900 000 пользователей. Суммарный охват, по данным TGStat, составил 650 000.
Администраторы Telegram-каналов начали винить в проблеме один из крупных сервисов отложенного постинга SmmBox, к которому киберпреступники якобы получили доступ. Предположительно, речь идёт об использовании токенов ботов для SmmBox.
В самом сервисе утром 17 октября выразили обеспокоенность ситуацией и дали такой совет: «Рекомендуем обновить токен бота, который у вас подключен. Лучшим решением будет полностью создать нового бота, подключить его в Телеграм каналах/группах и SmmBox, а от старого отказаться».
Через несколько часов представитель технической поддержки SmmBox опубликовал инструкцию по обновлению токена и подчеркнул, что взлома базы данных сервиса не было.