Глобальный провайдер платежных решений Checkout.com, обслуживающий eBay, Uber Eats, IKEA, Samsung и других крупных мерчантов, сообщил об инциденте информационной безопасности. По данным компании, киберпреступники из группы ShinyHunters получили доступ к данным и потребовали выкуп, но руководство Checkout.com официально заявило об отказе от оплаты.
Что известно об инциденте и масштабе утечки
В ходе расследования установлено, что злоумышленники проникли в устаревшую стороннюю облачную систему хранения файлов, использовавшуюся Checkout.com ранее, до 2020 года. Хранилище не было корректно выведено из эксплуатации и продолжало содержать конфиденциальные материалы.
Среди похищенных данных — сведения о мерчантах (торговых партнерах), внутренние операционные документы и материалы для онбординга клиентов. По оценке компании, инцидент затрагивает менее 25% текущей клиентской базы, при этом могут быть затронуты и бывшие клиенты. В официальных сообщениях не указывалось на компрометацию платежных реквизитов или данных банковских карт.
Кто стоит за атакой: ShinyHunters (Scattered Lapsus$ Hunters)
ShinyHunters — международная группировка, в последнее время фигурирующая как Scattered Lapsus$ Hunters, объединяющая участников Scattered Spider, LAPSUS$ и ShinyHunters. Группа специализируется на компрометации корпоративных сред через фишинг, злоупотребление OAuth и социальную инженерию, с последующим шантажом и требованием выкупа. Ранее исследователи связывали ее с эксплуатацией уязвимости нулевого дня в Oracle E‑Business Suite (CVE‑2025‑61884), а также с атаками на платформы Salesforce и Drift, затронувшими десятки организаций.
Позиция Checkout.com: отказ от выкупа и инвестиции в безопасность
Компания подчеркнула, что не намерена платить ShinyHunters. Вместо этого объявлено о направлении суммы, сопоставимой с требованием выкупа, на благотворительность — в Университет Карнеги–Меллон и Оксфордский центр кибербезопасности — для поддержки исследований киберпреступности. Представители также сообщили о масштабной модернизации защитных механизмов и процессах, чтобы предотвратить повторение подобных инцидентов: «Мы инвестируем дополнительные ресурсы в усиление безопасности и защиту наших клиентов».
Экспертный разбор: почему «забытые» облака становятся точкой входа
Инцидент иллюстрирует системный риск legacy‑активов и незавершенной де‑комиссии. Устаревшие хранилища часто сохраняют доступные учетные данные, архивы и конфиденциальные документы, но выпадают из инвентаризации и мониторинга. По данным отраслевых отчетов (включая Verizon DBIR 2024 и ENISA), значительная доля нарушений связана либо с человеческим фактором, либо с ошибками конфигурации и управлением активами в облаке. Практика показывает, что «забытые» S3‑бакеты, устаревшие аккаунты и неотозванные ключи доступа регулярно становятся источником утечек.
Ключевые меры снижения риска: полный реестр активов (включая облачные учетные записи и сторонние сервисы), формализованные процедуры вывода из эксплуатации, минимизация сроков хранения данных, регулярная ротация ключей и OAuth‑токенов, принцип наименьших привилегий, непрерывный мониторинг (SIEM/SOAR) и контроль утечек (DLP). В сочетании с тестированием резервных каналов доступа и проверками конфигураций (CSPM) эти практики существенно снижают воздействие подобных атак.
Последствия для клиентов и цепочки поставок
Похищенные онбординговые и операционные документы могут повысить эффективность фишинга и атак на цепочку поставок: злоумышленники могут маскироваться под известного провайдера, имитировать процессы верификации или командные письма. Рекомендации для партнеров Checkout.com включают усиление проверки исходящих/входящих запросов, пересмотр исключений в почтовых политиках, ротацию токенов интеграций, мониторинг аномалий API и повторное обучение сотрудников распознаванию BEC‑сценариев (деловой e‑mail‑компрометации).
Случай Checkout.com подчеркивает: киберустойчивость финтех‑организаций зависит не только от передовой защиты «боевых» систем, но и от дисциплины в управлении жизненным циклом данных и облачных сервисов. Регулярный аудит legacy‑активов, строгая де‑комиссия и контроль поставщиков должны стать обязательной нормой. Компаниям стоит провести внеплановую проверку архивных хранилищ, настроек доступа и OAuth‑интеграций, а также актуализировать планы реагирования на инциденты — это позволит быстрее локализовать последствия и снизить риски для клиентов и партнеров.
