Глобальний провайдер платіжних рішень Checkout.com, серед клієнтів якого eBay, Uber Eats, IKEA та Samsung, повідомив про інцидент інформаційної безпеки. За даними компанії, до даних отримала доступ кіберзлочинна група ShinyHunters і вимагала викуп, однак керівництво категорично відмовилось від оплати.
Інцидент безпеки Checkout.com: джерело витоку та масштаб
Розслідування показало, що зловмисники проникли в застарілу сторонню хмарну систему зберігання файлів, якою Checkout.com користувався до 2020 року. Сховище не було коректно виведене з експлуатації та зберігало конфіденційні матеріали, що створило «сліпу зону» поза регулярним моніторингом.
Які дані викрадено та кого це зачепило
Серед викраденого — відомості про мерчантів (торгових партнерів), внутрішні операційні документи та матеріали для онбордингу клієнтів. За оцінкою компанії, інцидент потенційно зачіпає менше 25% поточної клієнтської бази, водночас могли постраждати і колишні клієнти. Офіційні повідомлення не вказують на компрометацію платіжних реквізитів або даних банківських карток.
Хто такі ShinyHunters: тактика та попередні кампанії
ShinyHunters (також фігурують як Scattered Lapsus$ Hunters) — міжнародне угруповання, пов’язане з елементами Scattered Spider та LAPSUS$. Їхній арсенал — фішинг, зловживання OAuth, соціальна інженерія та шантаж із вимогою викупу. Раніше дослідники пов’язували групу з атаками на корпоративні платформи, зокрема CRM і маркетингові сервіси, що зачіпали десятки організацій.
Позиція Checkout.com: відмова від викупу й інвестиції в кіберзахист
Компанія підкреслила, що не платитиме ShinyHunters, а суму, співставну з вимогою, спрямує на благодійність — до Університету Карнегі–Меллон та Оксфордського центру кібербезпеки для підтримки досліджень кіберзлочинності. Паралельно оголошено про масштабне посилення процесів і технологій захисту, щоб мінімізувати ризик повторення подібних інцидентів.
Чому legacy-хмари — критична точка ризику для фінтеху
Цей випадок демонструє системну проблему legacy-активів та незавершеної де-комісії. Застарілі сховища часто зберігають архіви, облікові дані та конфіденційні документи, але випадають з інвентаризації та засобів моніторингу. За даними Verizon DBIR 2024, людський фактор фігурує в більшості порушень, а помилки конфігурації в хмарі залишаються поширеною причиною витоків. ENISA також відзначає зростання інцидентів, пов’язаних з керуванням активами та інтеграціями сторонніх постачальників.
Практичні кроки зі зниження ризиків
Щоб унеможливити повторення подібних інцидентів, організаціям варто впровадити: повний реєстр активів (включно з хмарними акаунтами та сторонніми сервісами); формалізовані процедури де-комісії і мінімізацію строків зберігання даних; регулярну ротацію ключів і OAuth-токенів; принцип найменших привілеїв; безперервний моніторинг (SIEM/SOAR) і DLP-контроль; періодичні CSPM-перевірки конфігурацій та тестування резервних каналів доступу.
Наслідки для мерчантів і ланцюга постачання: як знизити вплив
Операційні та онбордингові документи можуть підвищити ефективність цільового фішингу і атак на ланцюг постачання: зловмисники імітують відомого провайдера, процедури верифікації та службові повідомлення. Партнерам Checkout.com варто: посилити перевірку вихідних/вхідних запитів і переглянути винятки у поштових політиках; провести ротацію інтеграційних токенів і ключів; ввімкнути моніторинг аномалій API; повторно навчити персонал щодо BEC-сценаріїв (діловий компрометації пошти).
Інцидент із Checkout.com показує: кіберстійкість фінтех-організацій залежить не лише від захисту «бойових» систем, а й від дисципліни керування життєвим циклом даних і хмарних сервісів. Проведіть позаплановий аудит архівних сховищ, налаштувань доступу та OAuth-інтеграцій, актуалізуйте плани реагування на інциденти й сценарії взаємодії з постачальниками. Такий підхід допоможе швидше локалізувати наслідки й зменшити ризики для клієнтів і партнерів.
