Утечка данных у системного интегратора: как НЕ надо работать с SIEM Хотите знать, как НЕ надо работать с данными? Сегодня у нас поучительная история об одном системном интеграторе (название опустим из этических соображений), который специализируется на: 1️⃣ Защите информации 2️⃣ Интеграции и оптимизации бизнес-процессов 3️⃣ Полном цикле техподдержки Дела у компании, видимо, настолько прекрасны, что сотрудники решили добавить щепотку экстрима в рутину кибербезопасности и настроили алерты из SIEM прямиком в Telegram 🫡. Что публиковалось? 🔸 IP-адреса + FQDN хостов 🔸 Имена учетных записей 🔸 Даты инцидентов + их описание 🔸 Ссылки на инциденты Что пошло не так? Вместо приватного чата оповещения прилетали в ПУБЛИЧНУЮ группу, которая и привлекла внимание BritLab. Что было дальше? 1️⃣ После обнаружения утечки в группу было отправлено предупреждение о том, что группа публичная и её содержимое может увидеть любой пользователь сети + рекомендации (см. скрин). 2️⃣Через минуту аккаунт, отправивший предупреждение, заблокировали. 3️⃣Ещё через минуту группу сделали приватной (или удалили). Вывод Берегите свои данные, особенно если работаете в сфере ИБ и отвечаете не только за себя, но и за клиентов! Клиенты доверяют вам данные, а не право на слив в публичные чаты. Если вы обнаружите подобные утечки, не забывайте сразу сообщать о них администраторам каналов. @ru_vm #BritLab #УтечкаДанных #InfoSec