Рансомварна група Akira додала Apache OpenOffice до свого «листа витоків», заявивши про нібито викрадення 23 ГБ даних із персональною інформацією та фінансовими файлами. Apache Software Foundation (ASF) підтвердила початок перевірки, але наголошує: таких наборів даних у проєкту не існує, а жодних вимог викупу від зловмисників не надходило.
Akira і «витік даних»: що саме стверджують вимагателі
30 жовтня 2025 року на майданчику Akira в даркнеті з’явився запис про «злам» Apache OpenOffice. За заявою операторів, у їхньому розпорядженні опинилися адреси, телефони, дати народження, копії документів, номери соціального страхування, банківські реквізити, а також фінансові звіти та внутрішні матеріали щодо проблем застосунку. Група пригрозила публікацією, якщо вимоги не буде виконано.
Позиція ASF і особливості open source-моделі
ASF повідомила, що вивчає інцидент, водночас підкреслила: OpenOffice — волонтерський проєкт без штатних працівників, зарплатних відомостей і пов’язаних баз персональних даних. Розробка ведеться публічно: баг-репорти, фіч-запити та технічні обговорення загальнодоступні з початку, тож «витік внутрішніх документів» у класичному розумінні малоймовірний.
Крім того, ASF вказує, що не отримувала листів із вимогою викупу. Це нетипово для моделі «double extortion», коли спершу відбувається контакт із жертвою, а вже потім — публічний тиск через анонс на «слив-сайті».
Хто такі Akira: тактики, техніки та процедури (TTPs)
Akira відома з 2023 року як угруповання, що працює за схемою double extortion: перед шифруванням викрадається чутлива інформація, після чого жертві погрожують публікацією. За спільними бюлетенями профільних регуляторів (зокрема CISA та FBI), типові вектори доступу включають компрометацію VPN без MFA, підбір облікових даних і «легальне» адмін-зловживання в мережі. Для ексфільтрації часто застосовують хмарні сховища та утиліти на кшталт Rclone.
Одним із прийомів Akira є так званий «бренд-лістинг» — додавання організацій до списку витоків без верифікації компрометації. Мета — підвищити репутаційний тиск і стимулювати контакт, навіть якщо фактичного доступу не було.
Оцінка ризику: можливі сценарії для Apache OpenOffice
1) Помилка або цілеспрямована дезінформація
З огляду на публічну та децентралізовану природу OpenOffice декларовані масиви персональних і платіжних даних виглядають непослідовно. Ймовірний сценарій тиску без реальної компрометації.
2) Непряма компрометація через суміжні контури
Навіть за відсутності централізованих HR/фінансових баз ризики можуть виникати у зв’язках: підрядники, сторонні сервіси (пошта, CI/CD, хмара), особисті пристрої контриб’юторів. У такому разі витік був би периферійним, а не з інфраструктури ASF.
3) Обмежений доступ до непублічних артефактів
Теоретично окремі мейнтейнери можуть мати приватні чернетки, резервні копії або токени доступу. Однак це слабо узгоджується з обсягом PII «штатних співробітників» та «картковими даними», яких, за словами ASF, у проєкті немає.
Практичні рекомендації з кібербезпеки для open source-проєктів і фондів
Мінімізація даних: зберігайте лише те, що критично для роботи спільноти; не збирайте PII «за замовчуванням». Це зменшує площу атаки й ризик витоків.
Обов’язкова MFA: захист пошти, VPN, репозиторіїв і адмін-панелей; пріоритет апаратним ключам FIDO2. Модель «пароль+смс» замінюйте на фішингостійкі методи.
Сегментація і найменші привілеї: ізолюйте CI/CD, артефакт-сховища та доступи до ключових сервісів; регулярно переглядайте ролі та токени.
Захист ланцюга постачання: підпис релізів (PGP/Sigstore), відтворювані збірки, контроль цілісності залежностей, ізоляція білд-пайплайнів і регулярні перевірки SBOM.
Захист пошти та навчання: SPF, DKIM, DMARC для доменів, постійні тренінги з фішингу для контриб’юторів і мейнтейнерів.
Моніторинг і реагування: відстежуйте «слив-сайти» на згадки бренда, налаштуйте сповіщення, підтримуйте план реагування на інциденти та готовність до ротації секретів.
Наразі підтверджених доказів зламу не оприлюднено, а наведені групою твердження суперечать публічній моделі OpenOffice. Водночас подібні заяви — привід для перевірки гігієни безпеки: впровадьте повсюдну MFA, мінімізуйте дані, посильте контроль доступу та захист ланцюга постачання. Підпишіться на бюлетені CISA та FBI, стежте за індикаторами компрометації й регулярно тестуйте готовність до інцидентів — це підвищить стійкість спільноти й зменшить вплив потенційних атак.
