Управление бюджетной ответственности Великобритании (Office for Budget Responsibility, OBR) обвинило в утечке государственного бюджетного отчёта Economic and Fiscal Outlook (EFO) ошибки в конфигурации сайта на движке WordPress, сообщает The Register. В докладе отмечается, что WordPress может быть сложен в настройке, а при работе с ним легко допустить ошибки.

Фактически данные были раскрыты из-за непонимания работы плагина Download Monitor для WordPress и неверной настройки сервера, что вкупе позволило получить прямой доступ к файлу путём подбора URL. Плагин формирует простые и предсказуемые ссылки на файлы, что само по себе не является большой проблемой. Однако отсутствие на хостинге WP Engine блокировки прямого доступа к файлам стало второй ошибкой, приведшей к утечке. В результате документ до официальной публикации получили не только госслужащие, но и посторонние.

26 ноября, чуть позже 06:00 некие пользователи начали предпринимать десятки попыток найти отчёт по прямым URL с семи уникальных IP-адресов. Вскоре после загрузки отчёта в 11:30–11:35 по местному времени один из этих IP, наконец, подобрал нужный URL и скачал файл. Менее чем за час файл пытались получить с 32 различных IP-адресов. Удаление файла не помогло, поскольку он уже оказался в Internet Archive.

Источник изображения: Luke Stackpoole/unsplash.com

Канцлер Казначейства начал доклад по EFO в 12:34 того же дня, признав, что информация уже утекла в Сеть. Обычно сотрудники OBR сами поддерживают свой сайт, но примерно на три дня в году, в том числе во время публикации отчёта, из-за пиковых нагрузок к ресурсам допускаются сторонние разработчики. Примечательно, что нечто подобное уже случилось в марте 2025 года. Тогда один из IP-адресов получил доступ к документу приблизительно за полчаса до официальной публикации.

В результате расследования рекомендовано провести детальный цифровой аудит публикаций EFO за два последних года, а также пересмотреть решение от 2013 года, давшее право OBR вести собственный сайт вне доменной зоны .gov.uk. Британия известна довольно радикально настроениями в вопросе защиты данных. Так, в британском правительстве всерьёз обсуждали план физического уничтожения лондонского ЦОД, где хранились секретные сведения и который по недосмотру был продан китайской компании, до того, как хранившуюся там информацию можно будет защитить иным способом.

Как выяснилось благодаря утечке одного из внутренних документов Amazon, компания пыталась скрыть реальные масштабы потребления питьевой воды её дата-центрами. Более того, гиперскейлер наращивает вычислительные мощности несмотря на опасения общественности и экоактивистов относительно объёмов воды, используемых для охлаждения гигантской инфраструктуры компании, сообщает The Guardian.

Компания принимает меры по увеличению эффективности водопользования, но непрозрачность отчётности вызывает немало критики. Например, Microsoft и Google регулярно публикуют данные о потреблении воды, хотя на последнюю пять лет назад оказали давление в этом вопросе. С AWS дело обстоит иначе, и соответствующая информация замалчивается. Согласно попавшей в распоряжение The Guardian служебной записке, AWS решила учитывать только наименьший из возможных показателей использования воды, не принимающий во внимание все способы применения её в дата-центрах, чтобы минимизировать репутационные риски.

Как сообщается, в 2021 году компания в целом использовала 39,7 млн м3 воды — больше, чем 95 тыс. домохозяйств США. На вопрос журналистов об утечке в Amazon заявили, что документ «устарел» и «полностью искажает текущую стратегию Amazon по использованию воды». Более того, в компании заявили, что факт существования документа не гарантирует его точности или «окончательности», поскольку такие документы часто пересматриваются, но не стали уточнять, в какой именно части документ устарел.

Источник изображения: Ajay Kumar Jana/unsplash.com

В Amazon утверждают, что уже добились экономии воды благодаря повышения эффективности её использования, и кивают в сторону других компаний, которые тоже не учитывают «вторичное» водопотребление. По словам Amazon, что с 2021 года водопользование дата-центров AWS стало на 40 % эффективнее, а в 2024 году они использовали меньше питьевой воды для охлаждения по всему миру, чем в 2023 году. По имеющимся данным, записка была подготовлена за месяц до того, как в ноябре 2022 года облачное подразделение AWS инициировало кампанию Water Positive с обязательством к 2030 году восстанавливать больше питьевой воды, чем потреблять. Некоторые эксперты утверждают, что такой подход всё равно не позволяет называть компанию водно-положительной.

В записке обсуждается, стоит ли раскрывать сведения об использовании уровня Scope 2. Речь, в частности, о воде, применяемой при выработке энергии для питания ЦОД, мощность которых только за последние 12 мес. выросла на 3,8 ГВт. Авторы записки пришли к выводу, что полная прозрачность — «билет в один конец», поэтом рекомендуется оставить в секрете «неудобные» данные. Более того, высказывались опасения, что подобные рекомендации могут привести к обвинениям в сокрытии информации. В частности, прямо прогнозировалось появление заголовков вроде «Amazon скрывает своё потребление воды».

Источник изображения: Juno Jo/unsplash.com on Unsplash

В итоге компанией было принято решение использовать только показатель «первичного» потребления — более 29 млн м ³ ежегодно. К 2030 году планировалось уменьшить первичное потребление до 18,5 млн м³. Отмечалось, что ни потребители, ни СМИ не уделяют должного внимания воде, применяемой при производстве энергии для ЦОД. В будущем допускалось раскрытие полного потребления, но только если отсутствие такой информации будет вредить репутации или же если раскрытия потребует регулятор. При этом Amazon в целом потребляет гораздо больше воды, чем AWS. Сама AWS по-прежнему строит свои ЦОД в некоторых засушливых регионах мира, где нехватка воды ощущается особенно остро.

В Amazon подчёркивают, что компания разрабатывает отраслевые стандарты, призванные сократить объёмы потребления воды и помочь избежать проверок. Компания финансировала некоммерческие Nature Conservancy и World Resources Institute и консалтинговую LimnoTech для создания всемирно признанной методологии оценки выгоды от проектов восстановления воды. Компании утверждают, что Amazon не оказывала влияние на разработку методик. В самой Amazon утверждают, что полученные данные заверены третьей стороной и взяты из реальных счетов за коммунальные услуги.

Источник изображения: Tsai Derek/unsplash.com

Впрочем, самый главный страх для Amazon — раскрытие показателей потребления воды Scope 3. Это, например, расходы на орошение хлопковых плантаций для выпуска одежды и полей для выращивания продуктов Amazon Fresh. В целом вся цепочка поставок сельхозпродукции потребляет огромное количество воды. Авторы записки рекомендовали не публиковать данные о компании в целом и предупредили, что выборочное раскрытие сведений может привести к обвинениям в сокрытии информации и нежелании брать на себя ответственность за водопользование.

В августовском отчёте, посвящённом устойчивому развитию, AWS заявила, цель программы Water Positive выполнена на 53 %. Программа в основном опирается на проекты по пополнению запасов воды, некоторые развиваются совместно с некоммерческой Water.org. В записке такие меры называются «компенсациями». Также предлагается применять IT-технологии Amazon для помощи коммунальным службам в определении приоритетов ремонта труб для минимизации утечек. При этом там же отмечается, что из $109 млрд, выделенных на такие «компенсации», около половины в любом случае пришлось бы потратить на выполнение требований регуляторов и даже не упрощения доступа самой AWS к чистой воде.

Ещё в 2023 году сообщалось, что AWS всё активнее использует оборотную воду для охлаждения дата-центров. В июне 2025 года появилась информация о том, что AWS переведёт ещё 100 дата-центров на использование очищенных сточных вод для охлаждения, в дополнение к уже использующим эту технологию объектам. Кроме того, в том же месяце появилась информация, что AWS с нуля разработала и начала выпуск собственной СЖО для ИИ ЦОД.

Израильские власти заключили весьма специфические соглашения с облачными провайдерами AWS и Google Cloud — в них предусмотрена система негласных оповещений на случай, если к израильским данным получат правоохранительные органы других стран, сообщает The Guardian со ссылкой на утекшие правительственные документы, посвящённые облачному контракту Project Nimbus стоимостью $1,2 млрд, который был анонсирован в 2021 году. На запрос журналистов Google и Amazon (AWS) ответили категорическим отрицанием наличия подобных положений в договоре, а представители Тель-Авива заявили The Guardian, что подобные «инсинуации» не имеют под собой почвы.

Утверждается, что он предусматривал систему негласного и весьма изобретательного оповещения Израиля — предположительно, облачные провайдеры должны отправлять на ассоциированные с Тель-Авивом счета относительно небольшие суммы денег, от ₪1000 ($307) до ₪9999 ($3070), по которым можно определить, власти какой именно страны запрашивали информацию. Платежи должны быть сделаны в течение 24 часов после передачи запрошенной информации.

Первые цифры суммы перевода соответствуют телефонному коду страны, запросившей данные. Так, в случае запроса израильских данных американскими властями (код США +1) на специальный счёт отправляется ₪1000, Италии (код +39) — ₪3900 и т.п. Утверждается, что такая система позволяет соблюдать букву американского закона, но весьма гибко обходиться с его духом. Требование предположительно было выдвинуто израильской стороной, поскольку та опасается, что операторов могут принудить к выдаче данных в судебном порядке, причём Израиль даже не будет знать, кто и когда требовал эти данные.

Источник изображения: Joe Green / Unsplash

СМИ также утверждают, что Google и AWS документально признали право Израиля получать доступ к облачным технологиям, даже если он нарушает правила использования облачных сервисов. Если компании примут решение прекратить их предоставление, их ожидают штрафы и судебное преследование. Сообщается, что это было сделано на случай, если на компании окажут давление акционеры или общественность.

Прецеденты уже имеются. Так, внутри Microsoft есть группа активистов, которая призывает отключить Израилю доступ к Azure. Причём некоторых сотрудников даже арестовали за попытки захватить штаб-квартиру Microsoft, а часть активистов уволили. Аналогичным образом поступила и AWS. Тем не менее, в сентябре Microsoft по итогам внутреннего расследования отказалась предоставлять израильским военным доступ к некоторым сервисам Azure.

По словам двух бывших высокопоставленных сотрудников службы безопасности Великобритании, а также других информированных источников агентства Bloomberg, на протяжении более десяти лет китайские государственные структуры систематически взламывали секретные компьютерные системы правительства страны.

Источники утверждают, что Китай регулярно получал доступ к информации низкого и среднего уровня секретности в защищённых ИТ-сетях правительства Великобритании, включая информацию с грифом «служебная тайна» и «секретно». Вместе с тем доступа к совершенно секретной информации у Китая не было.

По словам одного из источников, одним из каналов утечек стал ЦОД в Лондоне, который использовался для хранения некоторой конфиденциальной правительственной информации. Он был продан организации, связанной с Китаем, в связи с чем в правительстве обсуждался план уничтожения ЦОД до того, как он сможет быть защищён иным способом.

Источник изображения: Marek Studzinski / Unsplash

Название ЦОД, о котором идёт речь, не разглашается. Также не уточняется, что подразумевалось под уничтожением, поскольку был и другой выход — попросту убрать свои серверы с объекта. Так, например, поступила CloudFlare после компрометации своих систем, полностью заменив оборудование в одном из ЦОД.

Комментируя сообщения прессы об утечках, представитель правительства Великобритании заявил, что «наиболее чувствительная» правительственная информация и системы, в которых она хранится, не были взломаны.

Однако в среду бывший глава администрации премьер-министра Великобритании в 2019–2022 гг. сообщил газете The Times, что Китай взломал засекреченную компьютерную систему британского правительства и получил доступ к секретной информации: «Огромные объёмы данных, классифицированных как совершенно секретные и крайне опасные для получения любой иностранной организацией, были скомпрометированы». Его слова подтвердил в интервью радио LBC бывший министр безопасности страны в 2022–2024 гг., отказавшись вдаваться в подробности.

Работы в дата-центре, предназначенным для обслуживания радиообсерватории Square Kilometre Array (SKA) на западе Австралии, практически завершены. В числе прочего установлены две клетки Фарадея, блокирующие радиоволны — это делается, чтобы ЦОД не повлияли на работу сверхчувствительных антенн гигантского радиотелескопа, сообщает The Register.

SKA представляет собой международный проект, предусматривающий строительство 131 072 антенн. Это крупнейший радиоинтерферометр в мире, потенциально позволяющий совершенно по-новому взглянуть на Вселенную. Работы начались в 2022 году. По имеющимся данным, уже установлено 12 100 антенн, работы по прокладке силовых кабелей и оптоволокна тоже в основном завершены.

Работы над дата-центром в Мерчисоне (Murchison, штат Виктория), отдалённой части SKA, тоже завершены. Мерчисон выбран потому, что там почти нет людей и, следовательно, современной техники, что позволяет соблюдать режим радиомолчания. В дата-центре размещены около 100 стоек с серверами на базе FPGA, которые отвечают за фильтрацию терабайт данных, ежедневно собираемых SKA. Ценная информация будет отправляться по 10-Тбайт/с ВОЛС суперкомпьютеру в городе Перт (Perth).

Источник изображения: SKA Observatory

Несмотря на то, что в Мерчисоне в целом мало электронных устройств, компьютеры генерируют немало радиопомех. Хотя в большинстве случаев в ЦОД и офисах это не проблема, в случае с SKA дело обстоит совсем иначе, поскольку тот настроен на поиск даже самых слабых сигналов. Именно поэтому ЦОД поместили сразу в две «клетки Фарадея». Экранированы даже входы в здание, а внутренняя дверь не откроется, пока не закрыта внешняя.

Строительство на объекте SKA, вероятно, продолжится до 2029 года. В 2026 году учёным предложат представить собственные предложения по использованию радиотелескопа, некоторые выберут для испытаний SKA в 2027 году — к тому времени SKA уже будет самым большим «физическим низкочастотным радиотелескопом на планете». Руководство SKA уверено, что даже тесты 2027 года уже дадут результаты, достойные включения в научные труды. Одно из препятствий — поиск дополнительных средств. У SKA пока есть лишь 80 % средств для завершения проекта.

Хотя обычно на блошиных рынках продают почти бесполезные предметы, иногда там можно встретить настоящие сокровища. Так, любитель электроники из Нидерландов приобрёл «пучок» старых HDD с гигабайтами конфиденциальных медицинских записей, сообщает The Register.

Роберт Полет (Robert Polet) купил пять жёстких дисков по €5 ($5.21) каждый на блошином рынке недалеко от одной из местных авиабаз. Как сообщает издание Omroep Brabant, Полет более 30 лет является IT-энтузиастом и активным фотографом (что и побудило его к покупке HDD), хотя работает водителем. На купленных дисках Полет обнаружил медицинские записи сограждан, включая номера социального страхования, даты рождения, домашние адреса, сведения о выписанных лекарствах, информацию о врачах и аптеках. Записи были сделаны в 2011–2019 гг. и в основном касались лиц из городов Утрехт (Utrecht), Хаутен (Houten) и Делфт (Delft). Поэтому Полет вернулся на рынок и купил оставшиеся десять HDD у того же продавца.

Источник изображения: William Warby / Unsplash

Полет ознакомился всего с двумя из пятнадцати HDD, но этого было достаточно, чтобы сделать вывод — утечка касается какой-то местной медицинской организации. Судя по всему, это обанкротившаяся Nortade ICT Solutions, которая разрабатывала ПО для сектора здравоохранения. Как отмечают эксперты, у разработчика ПО вообще нет прав хранить подобную информацию. Но даже если он попал под какое-то исключение из закона, то всё равно все данные должны быть зашифрованы, а накопители при выводе из эксплуатации должны быть утилизированы должным образом. Законы Нидерландов требуют, чтобы удаление медицинских данных с накопителей проводилось профессионалами (где-то это поставлено на поток), а сам процесс удаления должен быть сертифицирован.

Инциденты безопасности, связанные с некорректной утилизацией электронных отходов, случаются регулярно. Например, летом 2023 года сообщалось, что из дата-центра SAP украли SSD с конфиденциальными данными, причём это был уже пятый случай за два года, а один из накопителей появился на Ebay. Morgan Stanley когда-то сэкономил $100 тыс. на утилизации жёстких дисков, а в результате потерял $120 млн.

В среднем у каждого 19‑го сотрудника российских компаний данные корпоративной почты утекают в открытый доступ, сообщили аналитики платформы BI.ZONE Brand Protection. Главная причина заключается в использовании адресов корпоративной почты для регистрации на сторонних сайтах. В 2023 году BI.ZONE выявила утечки 75 тыс. email‑адресов российских компаний.

Всего в 2023 году, по данным BI.ZONE, в открытый доступ попали 420 баз данных с более 981 млн строк, содержащих паспортные данные граждан, адреса, телефонные номера, платёжную информацию, а также личные и корпоративные email‑адреса. В январе 2024‑го года в открытый доступ утекло 62 базы общим объёмом свыше 525 млн записей, а с начала февраля зафиксировано 29 утечек общим объёмом более 11 млн строк, 85 % которых содержали пароль или его хеш. В 2023 году пароли в открытом или хешированном виде встречались в 13 % случаев, в январе 2024 года — в 6 %.

Источник изображения: TheDigitalArtist/Pixabay

В BI.ZONE назвали опасным заблуждением считать, что если в утечке не присутствует пароль, то она не представляет угрозы. И без этого в базе могут быть паспортные данные, номера телефонов, адреса, коды домофонов и другая чувствительная информация. Опасны и утечки хешированных паролей, поскольку из них иногда можно восстановить исходные пароли.

Эксперты рекомендуют не использовать для регистрации на сторонних сайтах адрес корпоративной почты, так как их могут взломать. BI.ZONE рекомендует для минимизации рисков, связанных с утечками данных корпоративной почты использовать для разных ресурсов разные пароли, периодически менять их и применять менеджеры паролей, а также регулярно проверять наличие электронных адресов компании в базах утечек. BI.ZONE также предупредила об опасности стилеров, добывающих логины и пароли от корпоративных ресурсов. Стилеры в основном доставляются с помощью фишинговых писем.

«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.

В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жёстких дисков, возможно, не была стёрта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.

Фото: Pixabay/pastedo

Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролёра денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот «не осуществлял надлежащего надзора». Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в «игнорировании отраслевых стандартов» в отношении надлежащей утилизации ИТ-активов (ITAD).

Согласно документам, банк отказался от услуг IBM в пользу «неизвестного и неквалифицированного поставщика» для вывода из эксплуатации своего IT-оборудования в рамках «решений, ориентированных на получение прибыли», чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жёстких дисков, продала оборудование компании KruseCom.

Как поступила с ним KruseCom неизвестно — оборудование либо было продано ещё кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьёй.