Утечка данных Disney: как бесплатный ИИ-инструмент стал причиной безопасности компании

В феврале минувшего года работник Disney по имени Мэтью ван Андел скачал на свой корпоративный ноутбук бесплатное программное обеспечение на основе искусственного интеллекта, предназначенное для генерации изображений по текстовым запросам. Однако этот ИИ на самом деле оказался вредоносной программой, что позволило хакеру, стоящему за ней, получить доступ ко всем данным ван Андела.

Злоумышленник сумел получить доступ к 1Password, который использовал сотрудник для хранения своих паролей, и в результате смог просматривать сообщения рабочих каналов Disney в Slack. Ван Андел узнал о взломе в середине июля, когда получил сообщение от незнакомца в Discord с ссылкой на переписку в Slack.

Он сразу же обратился в службу информационной безопасности компании, которая подтвердила, что его аккаунт в Slack был скомпрометирован. Тем не менее, специалисты не обнаружили ничего подозрительного на рабочем ноутбуке и порекомендовали проверить личные устройства.

Антивирусное ПО вскоре выявило вредоносный код, который позволял хакеру на протяжении пяти месяцев следить за действиями ван Андела и некоторых отделов Disney. Позже в июле хакер, известный как Nullbulge, опубликовал архив внутренних данных компании объемом более 1 ТБ, включая переписку сотрудников, программный код, изображения и информацию о неизданных проектах. В ходе этой атаки даже были затронуты аккаунты детей ван Андела в Roblox.

Хотя многие учетные записи были защищены двухфакторной аутентификацией, вторым уровнем защиты для ван Андела служил 1Password. Лишь позже он осознал, что его учетная запись в 1Password не имела 2FA.

В августе ван Андел был уволен после завершения проверки его ноутбука, при этом причиной увольнения назвали якобы просмотр порно, что сам он отрицает. Disney также прекратила страхование сотрудника, что принесло ему убытки в размере около $200 тыс. в виде бонусов. В декабре адвокат ван Андела направил бывшему работодателю требование о выплате компенсации в восьмизначной сумме за потерю зарплаты и моральные страдания.

Осенью прошлого года Disney заявила о планах прекратить использование Slack. СМИ сообщали, что компания начала переход на новые «оптимизированные инструменты для совместной работы на уровне предприятия».