5

Gigant IT próbował zamieść poważny wyciek pod dywan. To się nigdy nie powinno zdarzyć

Softserve padło ofiarą bardzo rozległego ataku ransomware i malware, w skutek którego olbrzymia część kodu źródłowego programów dla klientów wyciekła do sieci, a same aplikacje mogły zostać zainfekowane złośliwym kodem. Firma po czymś takim postanowiła... nie komentować publicznie całej sprawy, mimo, że do grona jej klientów należą największe światowe korporacje, z których oprogramowania korzystamy na co dzień.

Jeżeli dziś korzystasz z aplikacji banku, programu do streamingu muzyki, czy też jakiegokolwiek innego oprogramowania, jest bardzo małe prawdopodobieństwo, że firma, która sygnuje je swoim logiem, zrobiła je w całości samodzielnie. Najczęściej bowiem stworzenie jakiegoś fragmentu, bądź nawet kluczowych elementów kodu zleca się podwykonawcom, czyli firmom zajmującym się outsourcingiem usług IT. W branży bardzo dużo mówi się o tym, że w takich sytuacjach kluczową wartością jest zaufanie do partnera biznesowego. Z jednej strony, zaufanie co do jakości świadczonych usług, a z drugiej – co do jego systemu zabezpieczeń i procedur na wypadek ataku hakerskiego. Wydawać by się mogło, że w momencie, w którym liczby ataków i kwoty pieniędzy jakie zarabiają na nich hakerzy, dosłownie przebijają sufit, nie ma możliwości, by duża firma po ataku próbowała się zachowywać „jakby nic się nie stało”. A jednak.

Softserve próbowało zamieść poważny problem pod dywan

Większość z was zapewne nie kojarzy firmy Softserve. Jest to międzynarodowa korporacja rodem z Ukrainy, która zajmuje się właśnie outsourcingiem usług IT. Firma zatrudnia ponad 8 tysięcy osób i posiada 50 biur w 11 krajach. W tym u nas – we Wrocławiu. Do ich klientów należą m.in. Panasonic, Deutche Bank, Nordea, Logitech, IBM czy Cisco. I to właśnie dane tych podmiotów wraz z personalnymi danymi pracowników wykradli hakerzy, kiedy włamali się do systemów Softserve 1 września. Dlaczego więc informacja trafia do nas dopiero teraz? Ano dlatego, że firma nie poinformowała, że do ataku w ogóle doszło. O tym, że atak miał miejsce dowiedzieliśmy się, ponieważ jeden z pracowników podzielił się następującą wiadomością z aplikacji Telegram:

Dzisiaj o 1 w nocy SoftServe padł ofiarą cyberataku. Atakujący uzyskali dostęp do infrastruktury firmy i zdołali uruchomić szyfrujące oprogramowanie ransomware oraz zainfekować system wirusami malware. Niektóre z naszych usług zostały wyłączone, aby powstrzymać rozprzestrzenianie się ataków, dlatego  niestety w nadchodzących godzinach Twoja praca będzie utrudniona. Zablokowaliśmy również tunele do sieci naszych klientów, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania do ich infrastruktury.

To zmusiło SoftServe do wydania oświadczenia. Zbagatelizowali oni jednak problem, mówiąc że awarie dotknęły tylko serwerów pocztowych i środowisk testowych oraz że są tylko chwilowe. Innymi słowy – „nic się nie stało, proszę się rozejść”. Co więcej – jakiekolwiek oficjalne oświadczenie firmy pojawiło się tylko w lokalnych mediach i… tylko po ukraińsku. Nie mamy pewności, czy do dziś o ataku wiedzą klienci bądź pracownicy Softserve spoza Ukrainy.

Wszystko posypało się jak domek z kart gdy dane zaczęły wyciekać

Niestety, oświadczenie Softserve nie do końca zgadzało się z prawdą. Jakiś czas potem, na przez komunikator Telegram anonimowy użytkownik zaczął udostępniać linki z całymi projektami wykradzionymi z Softserve. Jak się okazało – wyciekł cały kod źródłowy dla wielu projektów, w tym, jak widać na zdjęciu, przynajmniej jednego polskiego klienta – Toyoty.

Skontaktowała się z nami osoba, która kiedyś pracowała w Softserve i która, widząc co się dzieje, postanowiła rzucić więcej światła na tę sprawę. Patrząc po tym, jakie dane zostały już upublicznione, jest bardzo możliwe, że hakerzy nie tylko wykradli pełne projekty wraz z kodem źródłowym, ale też – wstrzyknęli złośliwy kod do programów i aplikacji opracowywanych w SoftServe. Nie jest to oczywiście pewne, aby to potwierdzić potrzebny jest pełen audyt kodu, szczególnie aplikacji bankowych. Jeżeli tak się stało, zagrożeni są wszyscy klienci podmiotów korzystających z usług SoftServe. Co więcej – znajomość kodu źródłowego to wiedza, która pozwala projektować niezwykle bolesne ataki hakerskie na te podmioty w przyszłości. Z trzeciej strony – okazało się, że firma trzymała chociażby skany paszportów pracowników w formie nieszyfrowanej. Część z nich również wyciekła do sieci w następstwie ataku, co może mieć poważne konsekwencje dla poszkodowanych. Nie wiadomo też, czy firma o całym zajściu poinformowała UODO i odpowiedniki w krajach, z których pochodzą dane pracowników, co niezwłocznie powinna zrobić.

Czy wiesz kto robi ci oprogramowanie?

Pomimo tego, że od ataku minęły trzy tygodnie, próżno szukać oficjalnego oświadczenia firmy o tym, co dokładnie wykradziono, czy kod projektów został zainfekowany i jakie działania zostały podjęte by zapewnić bezpieczeństwo klientom oraz finalnym użytkownikom tworzonych aplikacji. Przypominam, że Softserve tworzy oprogramowanie chociażby dla Deutche Banku czy banku Nordea, któremu swoje fundusze powierzyły miliony osób i duża część z nich może nie zdawać sobie sprawy, że w skutek ataku na ich podwykonawcę, ich bezpieczeństwo może być zagrożone. Jeżeli w wyniku ataku w kod został wstrzyknięty backdoor, za chwilę możemy być świadkiem bardzo zuchwałych kradzieży z jego wykorzystaniem. Z jednej strony motywy firmy są oczywiste – ratowanie swojej reputacji i liczenie, że afera „nie wypłynie”. Ale teraz, kiedy wszystko już wiadomo, milczenie firmy jest po prostu nie do wytłumaczenia.

Nie wiadomo, jak dalej potoczą się losy Softserve, ponieważ po czymś takim nie wiem, który duży klient zdecyduje się na współprace z podmiotem, który w razie tak poważnego w skutkach włamania milczy. Nie wiadomo też, co mamy zrobić my, jako klienci firm, które kiedyś z SoftServe współpracowały bądź dalej współpracują (np. Logitech).

Wychodzi na to, że dziś niezależnie od renomy i reputacji danej instytucji, której powierzamy dane (bank, portal, usługa) nasze bezpieczeństwo może leżeć w rękach podwykonawców, którzy tworzą kod. Czy w erze, gdy wszystko jest outsourcingowane z uwagi na koszty powinniśmy śledzić, która firma gdzie kupuje oprogramowanie i na tej podstawie oceniać, czy możemy jej zaufać? Czy sprawdzanie takich powiązań każdej firmy jest w ogóle w zasięgu zwykłego śmiertelnika? Czy osoby i organizacje korzystające za oprogramowania zachodnich koncernów, które zlecają prace nad swoim oprogramowaniem na wschodzie Europy lub w innych atrakcyjnych cenowo rejonach świata, zdają sobie sprawę, że ich bezpieczeństwo może zależeć od napięć i stanu geopolityki w tych rejonach?