Безопасность на грани: как увольнение сотрудника Disney привело к кибератаке на систему меню
Никогда не забывайте отключать аккаунты бывших работников.
Бывший сотрудник компании Disney осуществил серию кибератак на систему меню ресторанов, расположенных в тематическом парке Walt Disney World.
Согласно материалам дела, обвиняемый Майкл Шойер взломал ПО для создания меню, разработанное сторонней компанией специально для Disney, и изменил данные о пищевых аллергенах. Шойер указал, что блюда, содержащие арахис, безопасны для людей с аллергией. Кроме того, Шойер добавил нецензурные выражения в меню и сменил шрифты на символы Wingdings, что сделало меню нечитаемым.
Бывший сотрудник воспользовался своими старыми учетными данными для доступа к системе меню вскоре после увольнения. Впоследствии он несколько раз нарушал работу системы, используя логины и пароли, к которым по-прежнему имел доступ. В результате действий функционал ПО для создания меню оказался нарушен на несколько недель.
Ситуация с заменой шрифтов стала первым признаком взлома. Сотрудники заметили, что все шрифты в системе были заменены на символы Wingdings. Имена шрифтов оставались прежними, но вместо привычных букв отображались символы, что сделало систему создания меню неработоспособной. Изменения затронули всю базу данных меню, и компании пришлось отключить программу, чтобы восстановить предыдущие версии через резервные копии. Во время восстановления системы сотрудникам пришлось перейти на ручной процесс создания меню, что серьезно замедлило работу.
После инцидента компания сбросила пароли для доступа к программе создания меню. Тем не менее, Шойер якобы получил доступ к серверам компании, которые использовались для печати меню, и загрузил файлы, визуально идентичные настоящим меню Disney, но с измененной информацией о составе блюд и ценами. В некоторых случаях он добавлял пометки, что блюда безопасны для людей с определенными видами аллергий, хотя на самом деле ингредиенты могли представлять смертельную угрозу. В материалах дела также указано, что измененные меню были обнаружены до того, как попали в рестораны парка.
Согласно материалам дела, Шойер также заблокировал доступ как минимум 14 сотрудникам Disney к их учетным записям, пытаясь войти в онлайн-систему Disney 7934 раза с помощью скрипта. Кроме того, он хранил папку с личной информацией о домах, телефонных номерах и родственниках четырех сотрудников и явился ночью к дому одного из них.
Компания Disney официально не названа в материалах дела, однако её можно идентифицировать по описаниям «медийная и развлекательная компания, работающая в округе Средняя Флорида» и данным о доступе к wdpr.service-now[.]com — корпоративному порталу Walt Disney Company.
Адвокат обвиняемого подтвердил, что в парке никто не пострадал из-за действий его подзащитного, так как измененные меню были выявлены и ликвидированы до распространения. От дальнейших комментариев по делу адвокат отказался.