Хакер утверждает, что ему удалось заполучить «очень важные» данные ИБ-компании Check Point. Представители компании называют это утверждение ложью и преувеличением.
В минувшие выходные злоумышленник под ником CoreInjection разместил на хакерском форуме BreachForums объявление о продаже «набора очень важных данных», якобы принадлежащих компании Check Point. За информацию хакер просит 5 биткоинов (около 435 000 долларов США).
https://xakep.ru/wp-content/uploads/...int-cybers.jpg
По словам злоумышленника, дамп содержит карты внутренней сети и архитектурные диаграммы, учетные данные пользователей (включая хешированные и открытые пароли), контактную информацию сотрудников и проприетарный исходный код.
На скриншотах, которые CoreInjection приложил к своему сообщению, демонстрируется, что он проник на портал Check Point Infinity для управления безопасностью и якобы предоставил себе возможность изменять настройки двухфакторной аутентификации для других пользователей.
https://xakep.ru/wp-content/uploads/...m-access-3.jpg
Представители Check Point отрицают какую-либо угрозу безопасности для клиентов и сотрудников компании, утверждая, что в настоящее время все затронутые организации «обновлены», а преступник пытается использовать старую информацию.
Компания опубликовала https://support.checkpoint.com/results/sk/sk183307, согласно которому, этот дамп связан со «старым и известным инцидентом, который затронул лишь несколько организаций и портал, где не было пользовательских систем, производственных сред и систем, содержащих важную архитектуру». Подчеркивается, что инцидент коснулся только трех организаций в декабре 2024 года. Однако не объясняется, почему об этом случае не сообщалось ранее.
«Инцидент произошел несколько месяцев назад и не соответствовал описанию из сообщения на даркнет-форуме. Тогда все организации были обновлены и получили соответствующую информацию, а это [сообщение] не более чем переработка старой информации. Мы считаем, что никакой угрозы для безопасности Check Point, ее клиентов или сотрудников не было», — заявили в компании.
Представители Check Point сообщают, что первопричиной взлома стало злоупотребление скомпрометированными учетными данными для аккаунта «с ограниченным доступом».
«Доступ был ограничен списком нескольких имен учетных записей с названиями продуктов, тремя учетными записями клиентов с именами контактов и списком email-адресов некоторых сотрудников Check Point. Как уже было сказано, системы клиентов, производственные среды и системы, содержащие чувствительную архитектуру, не пострадали.
Сообщение [CoreInjection] содержит ложные и преувеличенные заявления о том, чего никогда не происходило. Портал имеет различные внутренние меры защиты», — гласит заявление.
Еще до публикации официального заявления Check Point соучредитель и технический директор компании Hudson Rock Алон Гал (Alon Gal) https://www.linkedin.com/posts/alon-...72815616-CVkM/ по поводу обнародованных хакером данных. К примеру, на одном из скриншотов CoreInjection в панели администратора исследователь заметил более 120 000 учетных записей, 18 824 из которых были активны и принадлежали платным клиентам.
https://xakep.ru/wp-content/uploads/...3371922014.jpg
Гал отмечал, что скриншоты, приведенные преступником, показались ему «весьма убедительными». Более того, CoreInjection известен своими атаками на другие израильские организации, а в прошлом он не раз сливал украденные у жертв данные, которые потом оказывались подлинными.
Уже после публикации официального заявления Check Point Гал https://www.linkedin.com/feed/update...ctivity%3A7312, что оно все равно «оставляет много вопросов без ответа», хотя масштабы взлома, скорее всего, действительно были небольшими.
https://xakep.ru/2025/04/01/check-point-leak/