Специалисты Центра кибербезопасности компании F6 опубликовали новый блог, в котором подняли проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы». В данной заметке обсуждаются серьезные риски, с которыми сталкиваются организации, использующие онлайн-песочницы для проверки загружаемых на анализ файлов.
Онлайн-песочницы, такие как VirusTotal, JoeSandbox и Any.Run, помогают пользователям оценивать угрозы загружаемых файлов, писем и ссылок. Однако у этих сервисов есть и обратная сторона. Отчеты о проверках становятся доступными для всех, включая злоумышленников. Это позволяет им отслеживать загрузку своих инструментов и корректировать свои методы, если атака была обнаружена.
Кроме того, загружаемые файлы могут содержать персональные данные или служебную информацию, что создает возможности для злоумышленников и конкурентов. Загруженные в публичные песочницы файлы часто содержат конфиденциальные данные, такие как конфигурации, IP-адреса и имена пользователей, что увеличивает репутационные риски организаций.
В исследовании эксперты F6 проанализировали данные, полученные из онлайн-песочницы Any.Run, которая позволяет видеть не только публичные отчеты, но и скачивать файлы после регистрации. В процессе анализа были выделены три основных типа файлов, представляющих интерес для злоумышленников. Это файлы с персональными данными физических лиц, коммерческой тайной и документы об инцидентах в области информационной безопасности.
Среди основных выводов исследования указывается, что объем утекшей информации трудно установить точно, однако можно с уверенность сказать, что утечка персональных данных занимает лидирующую позицию. В 2024-2025 годах ожидается, что объем персональных данных, оказавшихся в публичном доступе, может увеличить количество уникальных записей до нескольких тысяч.
На фоне этого в России меняется законодательство в области обработки данных. С 30 мая 2025 года вступит в силу Федеральный закон от 30.11.2024 № 420-ФЗ, усиливающий ответственность за утечки персональных данных. Компании, сотрудники которых загружают файлы с персональными данными в публичные песочницы, рискуют столкнуться с серьезными штрафами и уголовными наказаниями.
В рекомендациях экспертов F6 подчеркивается необходимость повышения осведомленности сотрудников о цифровой гигиене и безопасности. Среди рекомендаций — использование песочниц только доверенных вендоров, ввод запрета на загрузку конфиденциальных файлов в публичные песочницы и применение решений класса DLP для предотвращения утечек. Также предлагается использовать хеши файлов вместо их прямой загрузки в проверочные системы, чтобы минимизировать риски утечки.
Таким образом, эксперты F6 предупреждают о необходимости соблюдения повышенных мер предосторожности при работе с публичными песочницами и призывают к изменению подходов к обработке и защите персональных данных.