InfoWatch назвали фейком вброшенную базу с данными своих воображаемых «клиентов»

Развитие событий: «Теперь и мы побывали в шкуре атакуемого». В InfoWatch проанализировали «слив базы клиентов» и считают, что их заказал Search Inform (26 апреля)

Компания InfoWatch заявила, что у нее не происходило утечек данных клиентов, а информацию о якобы имевшем место похищении базы данных компании рассылают недоброжелатели и в InfoWatch уже понимют кто это делают. В компании говорят, что содержащиеся в письме данные — фейк.

InfoWatch зафиксировала информационную атаку, которая была осуществлена централизованно из анонимного источника путем размещения данных, порочащих деловую репутацию InfoWatch, в сети Интернет, рассылки персональных писем сотрудникам организаций, представителям СМИ и блогерам. […] специалистами ГК InfoWatch установлено, что данная информационная атака проводится с целью дискредитации компании, кроме того получены предварительные данные об источнике атаки. […] Компания InfoWatch подтверждает, что размещенные в ходе информационной атаки данные не соответствуют действительности, а сама «утечка» является итогом компиляции не принадлежащих компании данных.

Источник: Разъяснение ГК InfoWatch о распространении в сети Интернет ложных сведений о компании.


InfoWatch продаёт, в том числе, средства защиты от утечек информации (DLP, Data Leak Prevention). Ранее 13 августа региональный представитель «Уральского центра систем безопасности» Алексей Комаров и журналист «Коммерсанта» Мария Коломыченко рассказали в Facebook, что они получили письмо от неизвестного им адресата, где содержалась ссылка на некую базу, которую автор письма назвал базой клиентов ********.

Ох уж эти бывшие сотрудники… или конкуренты?

Наталья Касперская через своих представителей передала, что компании удалось выяснить, кто распространял информацию и намерена передать данные об авторах сообщений в полицию.

InfoWatch продолжает расследование данного инцидента, результаты которого лягут в основу всех необходимых процедурных действий в рамках действующего законодательства. Мы рассматриваем разные версии и предварительно уже есть информация об инициаторе атаки. Сейчас круг сузился до нескольких рабочих версий, но говорить о них публично до объявления результатов мы не станем. Тем более что с большой долей вероятности, мы знаем заказчика атаки. По итогам собственного расследования мы передадим информацию в правоохранительные органы для проведения дальнейших мероприятий, — сказала она.

Добавить 28 комментариев

  • Ответить
    Альтер Эго

    Вот только большинство ИБ экспертов не сомневаются в достоверности утечки, почитайте Лукацкого и других в фейсбуке. А инфовотч сами виноваты они очень грязно поступили со многими бывшими сотрудниками вот и получили ответочку ставящую под большое сомнение репутацию компании. Откровенно слабый основной продукт, решение выпустить на рынок бесперспективный «атак киллер» и огромное количество конкурентов привели к серьезным финансовым проблемам в компании. Касперская своими экстравагантными действиями как то пытается привлечь к себе внимание, однако среди професионалов ИБ рынка выглядит больше праздничным генералом, которого немного побаиваются, но в серьез никто не воспринимает. А некоторые журналисты даже в открытую говорят об ее умственных способностях :).

  • Ответить
    Игорь Ашманов Сам себе компания

    Слабенько, потому что я в тредик не зашёл.

    Похоже, атака от конкурента SearchInform, то есть Льва Матвеева.
    Вот и первый камент в тредике — явно от них или от таких же, как они.

    Они вообще стояли в низком старте, сразу после рассылки начали бешено и злорадно комментировать.

    При этом явно имеется внешняя фабрикация утечки — собственно утечки нет:

    а) рассылается общедоступная информация: название компании, какое-то контактное лицо, телефон; ничего интимного нет, всё из интернетов; координаты и контактное лицо часто устаревшие или неверные.

    б) рассылается вовсе не база клиентов. Столько клиентов нет ни у одной DLP-компании на рынке. И в этой «базе клиентов» куча тех, кто клиентом ИВ не является.

    в) Больше всего похоже на старую (года четыре) базу посетителей конференции Инфовотча — BISA Forum — которую рассылали всем спонсорам конференции.
    Журналисты, естественно, проверить не могут, что это за списки.

    Кстати, версия о сотруднике, о которой писал ИВ — не подтвердилась. Сотрудник, которого сначала подозревали, всё отрицает, хотя и ругался в личной переписке до того, а кроме того, он к CRM никогда не имел доступа.
    А какой смысл отрицать, если ты хотел что-то требовать?

    И вообще, обиженные сотрудники, у которых есть претензии к компании, после такой атаки теряют возможность продолжать обсуждать претензии. Это как с ядерной войной — повоевать всласть можно, выиграть или что-то получить - нельзя.

  • Ответить

    Все издания ссылаются на securenews (издание явно создано искусственно посещаемость по similarweb меньше 100 человек в день, из них меньше 20% прямых заходов). Никаких контактов на сайте нет, только Whois пишет что владелец домена Softver sekiuriti sistems UP, гугл говорит что это белорусский разработчик SecureTower, (В России это falcongaze SecureTower). При этом раскрутили они эту тему буквально за час после «утечки». Затем разослали ссылки на новость крупным новостным изданиям. Оперативность очень впечатляет было все сделано за пару часов, infowatch просто не смог быстро отреагировать и разобраться в ситуации.

  • Ответить

    простите, что влезаю. Но просто хотелось бы понять, в чем тут цимес? (сам я списка не читал).
    Некто на некоем ресурсе опубликовал отсебятину относительно списка клиентов некоей коммерческой фирмы. И? На что обижается фирма? Список не полон? Список избыточен и включает компании, не являющиеся клиентами? В чем «секрет фирмы»?
    Коммерческая тайна? Но, как я много лет наблюдал в практике (это общая практика), что сервисные компании нередко, наоборот, создаютт на своих сайтах раздел «наши клиенты». И клиенты (если они довольны сотрудничеством) как правило, не стыдятся и не возражают. (им лишний пиар). Конечно, корректность требует получения предварительного согласия компании-партнера на публикацию лого в таком разделе.
    В чем тут коммерческая тайна? Или оба (и заказчик и партнер) стыдятся сотрудничества? Както странновато.
    Так сяк к коммерческой тайне здесь могут быть, безусловно, отнесены детали контракта, сами договора, условия и т. д.и тп. Но этого вроде бы и нет в утечке.
    Конечно, некий юмор в утечке сведений из компании, занимающейся защитой от утечек, конечно, есть. Но не проще ли, в таком случае, просто объявить это список совершенно не секретным и опубликовать свой собственный? (тем более, он секретным не является совсем и проходит по массе незакрытых баз, т.к. просто является отражением неких платежей от коммерческой деятельности компании)?

  • Ответить
    Игорь Ашманов Сам себе компания

    Опубликовать свой собственный список клиентов?
    Фирме в области ИБ?
    А может, сначала задуматься, что скажут клиенты?

    И в области ИБ, и в области продвижения сайтов, и в области защиты и исправления репутации клиент НЕ разрешает упоминать о сотрудничестве.
    В области ИБ — особенно понятно, почему. Потому что это часть собственно информационной безопасности, а также и часть информационной опасности — знать, чем именно защищается клиент.

    А смысл этой атаки — именно показать, что сапожник без сапог, и решение по борьбе с утечками надо покупать у более других поставщиков.

  • Ответить

    Смысл в том что основной продукт infowatch как раз должен защищать от подобных утечек. И что данная атака была явно спланированной и хорошо огрнизованной. Разослать фейковый список и пока infowatch не разобрался откуда руки растут подключить всю центральную прессу для дескридитации компании. Кто то смог очень быстро и эффективно все организовать. И похоже infowatch так и не понял кто за этим стоит.

  • Ответить

    Все издания ссылаются на securenews (издание явно создано искусственно посещаемость по similarweb меньше 100 человек в день, из них меньше 20% прямых заходов).

    Да, вы совершенно правы, это именно Фальконгейз, как я говорил выше. Издание было использовано, как сливной бачок — для создания места, куда ссылаться.
    Это белорусская компания, отделившаяся от Льва Матвеева, от SearchInform.

    Сам Матвеев — чудовищный гибрид акулы и клея «Момент», более молодая реинкарнация Шахиджаняна. Чудовищно неприятный, клейкий, лживый, подвижный, суетливый, приставучий чувак.
    Я его знаю с конца 90-х. Он из Белоруссии, здесь появился, как он рассказывал мне, в результате преследования Лукашенкой за «правду». Появился сначала в конце 90-х с корпоративным «поисковиком по похожести», я его несколько раз тестировал, Лев даже домой ко мне заезжал показывать, я его потом отвозил на Белорусский вокзал. Все показы провалились, штука не работала в принципе.

    Поисковик так и не заработал, но он уловил фишку с борьбой с утечками, с середины 2000-х начал конкурировать с ИВ. Конкурирует самыми грязными методами. Да и продаёт — тоже своеобразно, там и «заинтересованность», и утечки данных тендеров и т. п.
    (При этом у него (якобы диссидента) какие-то связи с белорусским КГБ и нашим ФСБ, насколько я слышал).

    Например, он запускает к клиентам как бы продавцов, которые представляются сотрудниками Инфовотча и на встрече «по секрету и по чесноку» рассказывают, что продукт ИВ — дерьмо, вообще не работает. Есть несколько зафиксированных случаев: потенциальный клиент звонит в ИВ, недоумевая, говорит, что приходили вот от вас такие-то, ругали вас же - каковых сотрудников в ИВ нет.

    Это он — герой истории про то, что его не пускали долго в Реестр отечественного ПО, потому что у него несколько разных перепутанных заграничных компаний, интеллектуальная собственность принадлежит компании на Сейшелах с мёртвым директором, размещённой в лодочном сарае. На Украине же он представляет продукт, как национальный украинский продукт и так далее.

    Естественно, он эти свои косяки объяснял тем, что это Наталья его специально не пускает в Реестр.

    Вообще он непрерывно пытается очернить Инфовотч, а также Наталью лично. Доходит просто до прямых личных оскорблений в ФБ.
    У меня с ним после очередной порции личных наездов внезапно случился сеанс развиртуализации — как-то на «Стартап Вилладж» в Сколково он вдруг оказался передо мной в очереди за мороженым. Я взял его за грудки, он побледнел и заверещал, что я неправильно его понял, что он невероятно уважает Наталью, что он ничего такого не писал, что я могу перечитать его ФБ и т. п.
    Мне нужно было через пять минут вручать разработчикам чатботов премию со сцены за тест Тьюринга, я поколебался и бить его не стал.

    И Лёва какое-то время потом сидел своём ФБ тихо, лично Наталью не трогал. Потом снова не удержался, начал опять.

    Сейчас ясно, что это атака то ли от него, то ли от его бывших коллег, отделившихся в Фальконгейз.
    Уши торчат, в общем.

  • Ответить

    Кто то смог очень быстро и эффективно все организовать. И похоже infowatch так и не понял кто за этим стоит.

    Ну, сначала была версия, что инсайдер. Потом стало ясно, что база сфабрикована, к CRM не имеет отношения, что это внешняя атака с имитацией утечки.

    Скорее всего — Матвеев, это вроде довольно ясно уже.

  • Ответить
    Альтер Эго

    С учётом того что новость растиражировали все кто мог — cnews, lifenews, medusa и другие — информационная атака прошла на 5+.

  • Ответить

    мдя, премия им. Тьюринга… вон оно оказываеца как, конкурентная-то борьба!
    Кстати, Тьюринга траванули яблоком как гея, а вот версия конкурентной борьбы (или мести даже нацистов за энигму) даже както и не высказывалась. А задуматься стоило бы.
    Я то грешным делом, задавая риторический вопрос, полагал, что конечно это был просто такой тизер, наподобие как «шпиены сделали фото новой модели БМВ», этакая вся закалееная крапинкаме.
    Такая пиар-опреация выгодна: можно и о себе напомнить, и вбросить заведомо отредактированный список, и «опровоергать, опровергать, опровергать» (в стиле бессмертного Хвост виляет) и всех «подозреваемых» заодно лишний раз облить.
    Впрочем, я не в теме, может и лишняя такая конспирология)))
    Но, что касается всяких тайн и секретов — лишний раз доказывает: прошитая тетрадь, сдаваемая в железную комнату, фельдсвязь — и никаких проблем с мутной публикой, утечками, дамами, мужьями, белорусами….
    А то, прям как вчера, во всех новостях, по секрету: в 2025 (sic!) году в армию начнутся поставки гиперзвуковова оружия…

  • Ответить

    >Но, что касается всяких тайн и секретов — лишний раз доказывает: прошитая тетрадь, сдаваемая в железную комнату, фельдсвязь — и никаких проблем с мутной публикой, утечками, дамами, мужьями, белорусами…

    Золотые слова! И все серьезные тайны именно так и охраняются.

  • Ответить
    Игорь Ашманов Сам себе компания

    Здесь нет речи про хранение секретов.
    Речь по попытку сфабриковать как бы утечку и раскрутить её в прессе.
    Взяли старую базу по посетителям конференций и выдали за утечку.

    Что касается секретов, то база клиентов никак не может быть секретом в прошитой тетради, она должна быть доступна десяткам продавцов в реальном времени.
    Секреты и тайны неспроста имеют градацию от ДСП до сверхсекретных.

  • Ответить

    вот я и рассуждаю Cui prodest? Конкурентам какая выгода пиарить конкурента, да еще заведомо негодной (или некомпрометирующей) инфой?
    А самим себя — есть резон. Учитывая, что инфа вполне безобидная, легко опровергается. Да и даже болталась бы эта штука гдето в инете — кому она интересна, на что влияет? А так мы под эту сурдинку вон скока всего узнали (зачем-то?).
    Сам стиль несколько «женский» такой. Одевает, допустим, миниюбку дамочка и шпильки, потом жалуеца, что к ней начали приставать «хамы» и т. д. и т. п.

    Ну, на сегодня шехерезад-лимит дозволенных речей в 3 поста завершен, жаль, что на такую чепуху потратились. Впрочем, ничего и нету какбы из достойного обсуждения.

  • Ответить
    Игорь Ашманов Сам себе компания

    Да-да. Конечно же.
    А Лаборатория Касперского, как всем известно, сама пишет вирусы.
    А дворники Оленевода по ночам разбрасывают мусор, чтобы оправдывать бюджеты на уборку. Ну и плитку, естественно, расковыривают.

  • Ответить

    Игорь, подскажите, пожалуйста, вы ведь супруг Натальи Касперской?

    Но я отвлекся, сейчас не об этом — все вендоры и ряд журналистов подтвердили, что база актуальна (личные почта и телефоны безопасников и топ-менеджмента ряда крупнейших росс. организаций тоже наверное рассылалась участникам конференции BISA, да?). Кроме того в ней есть коммерческие предложения от ИВ и даже список сотрудников infowatch и attack killer — такую информацию тоже на конференциях раздают? что это за конференция такая?

    Вы вообще эту базу видели? И все еще утверждаете, что это компиляция? Может вам ссылочку на скачку прислать, чтобы вы убедились?

  • Ответить

    Игорь, вы видели эту базу? Откуда в ней личные емейлы и телефоны топ-менеджмента крупнейших российских фирм? А данные о сотрудниках инфовоч? А коммерческие предложения? Тоже на конференции раздавали? Что это за конференция, интересно, такая?

  • Ответить

    За что же вы так Шахиджаняна не любите? Я близко с ним не знаком, только книги читал, но мне кажется, что человек он очень добрый.

    Что же касается и SearchInform и Falcongaze, они скорее конкуренты нашему Kickidler, а не InfoWatch. Потому как их продукты на DLP не тянут, это в чистом виде контроль сотрудников. По функционалу они пересекаются разве что с Person Monitor, коим фактически является наш же конкурент Стахановец, только продаваемый по white label.
    Ну разве что какие-то личные мотивы…

  • Ответить
    Игорь Ашманов Сам себе компания

    а что же вы так Шахиджаняна не любите? Я близко с ним не знаком, только книги читал, но мне кажется, что человек он очень добрый.

    За то, что знаю его лично.
    Добротой там и не пахло (не знаю, жив ли он, но там ещё есть сынок, полная копия, дело-то живёт). А вот невероятной, чудовищной адгезией, так что никак не стряхнёшь с ноги, если уж наступил — пахло за километры коридоров.
    «Атас, прячемся, Шахиджанян».
    Мне он напоминал страшилку про рыбку-вампира кандиру в южноамериканских реках, которая влезает в уретру и растопыривает плавники, чтоб не вынуть, если по незнанию зайдешь в реку по пояс.

    Вы же его «книги» читали. Казалось, и там материала тоже достаточно.

  • Ответить

    они скорее конкуренты нашему Kickidler, а не InfoWatch. Потому как их продукты на DLP не тянут, это в чистом виде контроль сотрудников.

    Это верно — только Матвеев везде и всегда себя позиционирует именно как DLP, конкурента ИВ.
    Я тестированием его продукта не занимался, только слышал, что там нет онлайн-блокировки (на лету) плохого контента, только пост -анализ. Ну и слежение за сотрудниками. Но он называет это DLP.
    И всем клиентам это говорит — что у него самое крутое решение, что Трафик-Монитор или другие конкуренты и рядом не валялись.
    Шахиджанян же.

    Ну разве что какие-то личные мотивы…

    Есть люди, которые не отличают бизнес от личного, потому что деньги для них — самое личное, что может быть. И всякий, кто получил денег вместо них (даже если это им кажется) — именно личный враг.

    Если зайти в ФБ к Матвееву, там полно фотографий Натальи, чуть не каждый третий пост про неё, он самый горячий её поклонник. То она дура, ничего не понимающая в технологиях, то она использует своё положение, чтобы Льва не пускать в Реестр, то у неё утечка, давайте радоваться, то вот вам фотка, ненавидьте и т. п.

  • Ответить
    Игорь Ашманов Сам себе компания

    вендоры и ряд журналистов подтвердили, что база актуальна

    О, продвиженец появился.
    Вы выдали себя словом «вендор», любезнейший.
    Это довольно явственный маркер.

    Да ладно вам, здесь-то зачем тему двигать.

    личные почта и телефоны безопасников и топ-менеджмента ряда крупнейших росс. организаций тоже наверное рассылалась участникам конференции BISA, да?

    Там, насколько я знаю, данные а) доступные публично, б) в значительной части просто неверные — нет таких людей или телефонов. Либо устаревшие.

    А вы начните обзванивать «топ-менеджмент крупнейших компаний» и проверять, это важно.

    Кроме того в ней есть коммерческие предложения от ИВ

    Что?! Не может быть!!!
    Откуда!
    Это же совсекретно!

    Вы вообще эту базу видели?

    Нет, конечно. Ещё мне не хватало. У меня своих дел хватает — ну там, свободы в интернетах душить, лизать власти, заседать в комитетах и на ток-шоу, банить подписчиков Роема.

    Но я слышал из первых рук рассказ о расследовании СБ Инфовотча, гендиректора ИВ и других. Читал переписку с заподозренным сотрудником. Знаю, что это не данные ИВ.

    И все еще утверждаете, что это компиляция?

    Ну естественно. Вы вообще значение слова «компиляция» знаете?
    Если в базе «список сотрудников ИВ» плюс «некоторые КП» плюс как бы контакты потенциальных клиентов — то это именно компиляция.
    Потому что, что это за эклектичная такая «база» могла бы быть в ИВ? В каком департаменте, например?

    И похоже, компиляция внешняя, потому что с базой клиентов ИВ не бьётся, база ИВ меньше, и в ней другие данные.
    Вообще в структуре и составе этой базы легко проглядываются кривые руки Льва Матвеева, он кое-какер, всё делает кое-как.

    Спрошу в ИВ про «список сотрудников», это тоже легко проверить на фабрикацию.

    P. S. Я знаю, кстати, что один из уволенных сотрудников имел довольно тесные и неоднократные контакты с Матвеевым, который пытался его нанять; бывший сотрудник потом с нами встречался, пересказывал.
    Довольно забавно было слышать в передаче рассказы Матвеева про рынок и его место на нём, наивное враньё про чумовые обороты и космические корабли, бороздящие просторы Большого театра.
    Может быть, тут исток «утечки», её зародыш.

  • Ответить
    Игорь Ашманов Сам себе компания

    Про питерский банк, кстати, история интересная.
    Тут, конечно, утечка не у конкурента, а у клиента.

    Вообще-то мы их консультировали во время этой истории (причём не ИВ, а АиП). Как поступить, что делать с хакером, что в прессу сообщать и т. п.
    Я лично письмо с рекомендациями редактировал.
    И кончилось всё хорошо — хакер отскочил и исчез без последствий.

    А лёгкое злорадство пиарщиков ИВ про поводу этой истории и Дозор-Джета (вполне нормального доброкачественного конкурента) в этом блоге присутствует, это, конечно, неправильно, с моей точки зрения.
    Впрочем, всех, кто его вёл, по-моему, в ИВ уже нет, они уволены осенью.

  • Ответить

    Уважаемый Игорь Станиславович, согласно вики вы являетесь мужем Касперской — https://ru.wikipedia.org/wiki/%D0%90%D1%88%D0%BC%D0%B0%D0%BD%D0%BE%D0%B2,_%D0%98%D0%B3%D0%BE%D1%80%D1%8C_%D0%A1%D1%82%D0%B0%D0%BD%D0%B8%D1%81%D0%BB%D0%B0%D0%B2%D0%BE%D0%B2%D0%B8%D1%87
    Похвально, что вы защищаете супругу, но вам не кажется что даже если там пре-сейловская информация вперемешку с клиентами инфовоч, то допустить такую утечку для компании занимающейся ИБ это верх непрофессионализма и компрометирует как компанию занимающуюся информационной безопасностью в принципе
    Кроме того, интересно все-таки услышать про сотрудников инфовоч — где в открытом доступе можно найти такие данные, вы поинтересовались?

  • Ответить
    Альтер Эго

    Как быстро и ловко все спихнули на Фалконгейз.
    При всем уважении к г-ну Ашманову, это неподтвреждено. Это предположение и не больше.
    У меня спрашивали про людей из этой базы.
    И многие контакты были устаревшие. Люди которых я знаю лично и про которых, как мне сказали, в утекшему файле есть записи что они из компании «А» уже точно из этой компании ушли. Похоже все это из 2015 года. Сужу опять же по датам перехода людей в другие компании.
    Это точно не данные приглашенных на конференцию. Тех про кого у меня спрашивали явно не могли на вышеобозначенную конференцию пригласить. Потому что далеко территориально и потому что в тех организациях были на тот момент гораздо более подходящие кандидатуры для приглашения.
    Скорее просто отчет по контактам из CRM которую когда то давно кто-то сделал и которую теперь сделали объектом скандала.