Эксперты центра мониторинга внешних цифровых угроз Solar AURA (ГК «Солар») провели анализ утечек корпоративных учетных данных в десяти крупнейших российских компаниях по версии РБК-500. Исследование выявило, что в среднем на каждую организацию приходится более 600 уникальных скомпрометированных учетных записей, при этом более половины из них содержат пароли в открытом виде.

В то же время только 4% случаев демонстрируют признаки открытой компрометации внутренней инфраструктуры – основная часть утечек связана с использованием работниками рабочих email-адресов и паролей на сторонних интернет-ресурсах.
Объектом анализа стали 19 285 строк данных, связанных с корпоративными доменами выбранных компаний. Из них выделено 6 194 уникальных учетных записей, из которых 3 739 имели пароли в открытом доступе. В 270 случаях возникли обоснованные подозрения на потенциальное проникновение в корпоративный периметр, сообщает CNews.
По мнению специалистов, основным источником риска являются не столько целенаправленные атаки на ИТ-инфраструктуру, сколько цифровые привычки сотрудников. Регистрация на маркетплейсах, профессиональных форумах, обучающих курсах и сторонних онлайн-сервисах с использованием рабочей почты, особенно с тем же паролем, что и в организации, открывает злоумышленникам возможность доступа к корпоративным системам. В ходе исследования было выявлено 5 985 комбинаций логинов и паролей (как открытых, так и хешированных), многие из которых отличаются простотой и повторяемостью, что увеличивает вероятность успешных автоматизированных атак.
Даже при отсутствии доказательств фактического взлома такие данные создают предпосылки для компрометации: злоумышленники могут использовать их для фишинга, социальной инженерии, обращения в службу поддержки или попыток сброса паролей. Особенно уязвимы компании, не использующие многофакторную аутентификацию, не контролирующие аномальную активность и не блокирующие устаревшие учетные записи вовремя. В 458 эпизодах информация требовала дополнительной верификации – необходимо было вручную установить владельца хоста и проанализировать журналы событий.
Отдельную опасность представляют 12 612 строк с персональными данными сотрудников. Даже без паролей они значительно упрощают мошенникам подготовку адресных фишинговых атак, звонков в техподдержку и попыток восстановления доступа к аккаунтам.
Руководитель продукта по управлению доступом Solar inRights Ярослав Жиронкин отметил, что исследование выявляет системную проблему. По его словам, сотрудники используют рабочую почту на внешних сервисах, которые находятся вне контроля компании, поэтому критически важны киберграмотность сотрудников и возможность ИБ-команд быстро проверять обнаруженные утечки на валидность для корпоративного контура. Жиронкин добавил, что каждая выявленная учетная запись должна проходить проверку, после чего принимается решение – от принудительной смены пароля до блокировки или полного расследования, что помогает снизить вероятность превращения внешней утечки в серьезный инцидент.
Бизнес-партнер по инновационному развитию компании «Гарда» Лука Сафонов объяснил IT Speaker, почему сотрудники продолжают использовать рабочие email на сторонних ресурсах: «Сотрудники применяют корпоративный email и привычные пароли на внешних сервисах из-за удобства: адрес уже запомнён, а повторное использование пароля снижает когнитивную нагрузку. Риск воспринимается как абстрактный, особенно если ресурс необходим для работы».
Эксперт рекомендует компаниям внедрять менеджеры паролей, MFA и SSO, проверять пароли по базам компрометации и ограничивать регистрацию корпоративной почты на нерекомендованных ресурсах. Он также предупреждает, что использование одинаковых учетных данных на разных сервисах позволяет злоумышленникам осуществлять атаки методом перебора распространённых паролей (password spraying) и атаки через компрометацию ресурсов, которые часто посещают сотрудники (watering hole).
Говоря о технических методах реагирования, Сафонов отметил, что внешняя утечка сама по себе не является доказательством взлома инфраструктуры, и ИБ-команде необходимо сопоставить найденную пару с актуальностью записи, датой смены пароля и событиями входа. При этом на реальную компрометацию, по его словам, могут указывать успешные аутентификации из необычных стран, «невозможные перемещения», обход MFA или массовые запросы к данным. На основе этих признаков учетные записи распределяют по приоритету: немедленная блокировка, принудительная смена пароля или расследование.
С данным подходом согласна и советник генерального директора компании RooX Наталия Леднева, она обращает внимание, что сама по себе строка в дампе ещё не означает взлома инфраструктуры. По её словам, ключевое звено в проверке – сопоставление утекшего пароля с действующим в текущий момент, а если он не совпадает, такую запись можно исключить из обработки, сэкономив ресурсы команды. Совпадение же с текущим паролем плюс аномальные входы (новые геолокации, необычные устройства, активность вне графика) – это уже определённый повод для расследования, а не просто для смены пароля.
Менеджер продукта ALD Pro «Группы Астра» Анатолий Лысов назвал исследование коллег важным и прокомментировал его: «Исследование коллег из ГК “Солар” справедливо акцентирует внимание на недооценённом, но крайне важном аспекте корпоративной информационной безопасности – использование сотрудниками своих рабочих адресов электронной почты для регистрации во внешних сервисах».
Лысов убеждён, что административные запреты ничего не дадут – проконтролировать это на практике невозможно. Гораздо эффективнее, по его мнению, решать задачу техническими средствами, и ключевым инструментом здесь является внедрение двухфакторной аутентификации. Он сообщил IT Speaker, что в рамках дорожной карты развития службы каталога ALD Pro на 2026 год запланирована поддержка одноразовых паролей по алгоритмам TOTP/HOTP, что позволит заказчикам создать дополнительный уровень защиты даже в случаях, когда пароль уже известен злоумышленникам.
В числе рекомендаций экспертов «Солара» – регулярный мониторинг появления корпоративных данных в открытых и закрытых источниках с использованием специализированных решений класса Digital Risk Protection, повсеместное внедрение двухфакторной аутентификации и контроль за использованием одинаковых паролей на различных ресурсах. Ключевое условие – увязка обнаружения утечек с процессами управления доступом: если скомпрометированная пара «логин-пароль» всё ещё действует во внутренних системах, учетную запись необходимо быстро блокировать или переводить на принудительную замену пароля.
«Основное условие – результат мониторинга утечек должен быть не отчётом для человека, а событием для системы управления доступом. На практике это требует двух вещей. Первая – централизованная точка аутентификации: когда доступ ко всем корпоративным системам осуществляется через единую платформу, блокировка учетной записи в одном месте отключает доступ везде. Вторая – машинный интерфейс между мониторингом и управлением доступом: сигнал об утечке по API помечает учётную запись, дальше платформа по настроенной политике сама выполняет действия – отзывает активные сессии, требует смену пароля при следующем входе, запрашивает дополнительный фактор аутентификации, а привилегированные учетные записи временно блокирует до разбора инцидента. И отдельный проактивный контур, который снижает вероятность инцидента: проверка паролей по базам утечек в момент установки, восстановления или смены пароля – скомпрометированная комбинация не попадает в систему вообще», – добавила Леднева.
Напомним, согласно исследованию УЦСБ и ГК «Солар», более половины (50,5%) отечественных компаний подозревают или вовсе зафиксировали утечки персональных данных через ИИ-инструменты. Так, 42,4% сообщили о подозрениях без подтвержденных случаев, а 8,1% столкнулись с реальными инцидентами. 49,5% при этом вовсе не сталкивались с подобным.
Gartner: организации перейдут к небольшим командам разработки ПО


