Дайджест Start X № 425

По словам представителей GMX, инцидент стал результатом уязвимости в системе. Компания сообщила в соцсетях, что ранее её система прошла множество проверок от ведущих специалистов по безопасности, но несмотря на это, защита оказалась уязвимой. По данным специалистов, отслеживающих движение средств в блокчейне, было похищено около 43 млн долларов США пользовательских средств.

Практически сразу после кражи похищенные активы были отмыты. Злоумышленник конвертировал их в Ethereum и стейблкоины, привязанные к доллару США — USDC и DAI.

Фишинговое письмо было тщательно замаскировано под официальное сообщение X и якобы было связано с жалобами на один из постов Жовнера в соцсети. При этом домен, на который предлагалось перейти для урегулирования вопроса, был фишинговым (appealcase-x[.]com).

По словам разработчика Flipper, он не заподозрил ничего дурного, предположив, панель для апелляции жалоб просто работает на поддомене. И хотя парольный менеджер не «узнал» домен, он выбрал учетные данные вручную. После этого аккаунт в X перешел под контроль злоумышленников.

«Целый день мошенники публиковали криптоскам от моего имени. Они создали токен „флиппер“ через приложение Believe и какие-то сайты по продаже крипто-г**на. Мы пытались оперативно банить домены, которые они создают», — говорит Жовнер.

Разработчик резюмирует, что сам передал мошенникам все пароли и вторые факторы, и произошедшее — лишь его вина.

Злоумышленник под ником Rey утверждает, что взлом произошел еще 30 мая, и он более 12 часов выкачивал данные из сети компании, прежде чем ему перекрыли доступ. В настоящее время он уже опубликовал в открытом доступе архив объемом 2,6 ГБ, который содержит около пяти гигабайт данных и более 20 000 файлов после распаковки.

Известно что Rey — участник вымогательской хак-группы Hellcat, которая взяла на себя ответственность за другой взлом Telefónica в январе 2025 года, когда был скомпрометирован внутренний сервер разработки и обработки тикетов Jira.

Rey заявил журналистам, что ему удалось похитить из сети компании 385 311 файлов общим объемом 106,3 ГБ. В файлах якобы содержатся внутренние сообщения (включая тикеты и электронные письма), заказы на поставку, внутренние логи, записи клиентов и данные сотрудников.

Также хакер утверждает, что новый взлом опять произошел из-за неправильной настройки Jira и имел место уже после первой атаки.

Он поделился со СМИ образцами данных и деревом файлов, предположительно похищенными у Telefónica. Некоторые из файлов содержали инвойсы для бизнес-клиентов в разных странах, включая Венгрию, Германию, Испанию, Чили и Перу. Кроме того, в файлах были найдены адреса электронной почты сотрудников в Испании, Германии, Перу, Аргентине и Чили, а также счета, выставленные деловым партнерам в европейских странах.

Сообщается, что в утечке содержатся следующие сведения:

• полное имя;
• номер телефона;
• номер водительских прав;
• адрес;
• дата рождения;
• адрес электронной почты.

Поскольку инцидент связан с криптовалютой, пострадавшие не получат стандартные услуги по защите и мониторингу на случай кражи данных и личности. Вместо этого пользователям Bitcoin Depot рекомендовано сохранять бдительность и внимательно следить выписками по счетам и, при необходимости, заморозить их, если будет обнаружена подозрительная активность.

Проблема оказалась в том, что один из административных аккаунтов с именем 123456 имел точно такой же пароль — 123456. С его помощью исследователи получили доступ ко всей базе в 64 млн записей, содержащих имена, телефоны, почта и даже полные переписки с ботом.

Изменяя ID в адресной строке, можно было просматривать любые анкеты. Все данные были реальными и содержали информацию настоящих людей.