Хакерська група Everest опублікувала в даркнеті заяву про злам ІТ‑інфраструктури американського автовиробника Chrysler, який входить до концерну Stellantis. За твердженням зловмисників, їм вдалося вивантажити близько 1088 ГБ даних, що, за їх словами, фактично охоплює повну базу операційної діяльності компанії за кілька років.
Масштаб можливого витоку: Salesforce, операційні логи та дилерська мережа
Згідно з повідомленням Everest, компрометовані дані охоплюють період з 2021 по 2025 роки. Найбільш критичним елементом заявленого масиву є понад 105 ГБ даних системи Salesforce — провідної CRM‑платформи, яку використовують великі корпорації для управління продажами та комунікацією з клієнтами.
Хакери стверджують, що серед викрадених записів присутні відомості про клієнтів, дилерські центри та внутрішні агентські команди. Як доказ вони оприлюднили скриншоти зі структурою баз даних, внутрішніми таблицями, деревами каталогів та експортами з CRM‑системи.
Які типи клієнтських даних можуть бути скомпрометовані
На опублікованих зображеннях, за твердженням Everest, видно детальні картки клієнтів Salesforce з історією взаємодій: ПІБ, номери телефонів, email‑адреси, поштові адреси, інформацію про автомобілі, участь у сервісних та відкличних кампаніях, а також статуси контактів — від «голосова пошта» до «запланований зворотний дзвінок».
Окремі скриншоти демонструють робочі журнали операторів кол‑центрів та агентів: спроби дозвону, координацію відкличних кампаній, записи на сервісне обслуговування та статуси автомобілів — «продано», «відремонтовано», «власника не знайдено». Така деталізація робить базу цінним інструментом для таргетованого фішингу та телефонного шахрайства, оскільки зловмисники можуть опиратися на реальні дані про авто та попередні звернення.
HR‑інформація та елементи внутрішньої інфраструктури Stellantis
Частина оприлюднених фрагментів свідчить про можливу компрометацію кадрової (HR) інформації. На скриншотах присутні списки співробітників зі статусами на кшталт «активний» та «звільнений назавжди», часовими мітками змін та корпоративними поштовими доменами, пов’язаними з Stellantis, який володіє брендами Jeep, Chrysler, Dodge, FIAT та іншими.
Також демонструються каталоги, що відображають структуру дилерської мережі, брендів, програм відкликів, FTP‑шляхів та службових утиліт. Це вказує на ймовірний доступ зловмисників не лише до CRM, а й до фрагментів внутрішньої файлової та мережевої інфраструктури, що посилює ризики атак на ланцюг постачання (supply chain).
«Подвійне вимагання»: тиск через погрозу публікації
Група Everest заявила, що готова оприлюднити повний обсяг викрадених даних, якщо компанія не вийде з ними на контакт. Додатково анонсовано можливий витік аудіозаписів дзвінків до клієнтської підтримки, що створює суттєві репутаційні та регуляторні ризики, включно з претензіями регуляторів із захисту персональних даних.
Це відповідає моделі «подвійного вимагання», яка, за даними галузевої аналітики (зокрема звітів IBM про вартість витоків даних), використовується в більшості великих рансомваре‑ та extortion‑атак. Зловмисники не лише викрадають або шифрують дані, а й шантажують компанію загрозою їх публікації чи продажу.
Наслідки для клієнтів, дилерів та співробітників
Якщо заяви Everest підтвердяться, інцидент може мати декілька рівнів впливу:
1. Ризики для клієнтів і власників авто. Комбінація контактних даних, VIN‑кодів, інформації про моделі та історії звернень створює основу для реалістичного соціального інжинірингу. Зловмисники можуть телефонувати або писати від імені дилера Chrysler чи сервісного центру, посилаючись на конкретний автомобіль, останній візит чи відкличну кампанію.
2. Загрози для дилерів і партнерської інфраструктури. Відомості про дилерські центри, службові FTP‑шляхи та утиліти можуть бути використані для спеар‑фішингу по відношенню до співробітників дилерів, впровадження шкідливого ПЗ або компрометації облікових записів. Це збільшує ризик каскадних атак на ланцюг постачання.
3. Конфіденційність співробітників та BEC‑ризики. Утечка HR‑даних відкриває можливості для цілеспрямованих атак на персонал: підбору паролів, атак типу Business Email Compromise (BEC), шахрайських листів від імені керівництва чи партнерів, а також соціального тиску на нинішніх або колишніх працівників.
Станом на момент публікації представники Chrysler та Stellantis не підтвердили факт кібератаки та не надали офіційних коментарів щодо заяв Everest. Тому наявну інформацію слід розглядати як неперевірену, але потенційно серйозну з огляду на масштаб заявлених даних.
Практичні рекомендації: як зменшити ризики подібних витоків
Згідно з міжнародною статистикою, середня вартість великого витоку даних для корпорацій вимірюється мільйонами доларів, а непрямі втрати (репутація, штрафи регуляторів, відтік клієнтів) часто перевищують прямі збитки. Для автовиробників та дилерських мереж критично важливими залишаються такі заходи:
Посилення безпеки CRM та хмарних сервісів. Обов’язкове застосування MFA, принципу мінімальних привілеїв, регулярного перегляду ролей та моніторингу логів у Salesforce та інших CRM. Важливо обмежувати масові експорти даних і застосовувати контекстну автентифікацію (геолокація, пристрій, час доби).
Сегментація мережі та захист FTP/внутрішніх утиліт. Максимальне обмеження прямого доступу з інтернету, використання VPN із сильною аутентифікацією, мережеві сегменти для критичних систем та регулярні penetration‑тести для виявлення вразливостей.
Захист персональних даних клієнтів і співробітників. Шифрування чутливих полів у базах даних, псевдонімізація та маскування інформації у тестових і робочих вибірках, впровадження DLP‑рішень, а також постійне навчання персоналу розпізнаванню фішингу та інших соціотехнік.
Готовність до інцидентів (Incident Response). Наявність формалізованого та регулярно відпрацьованого IR‑плану, включно з процедурами виявлення, ізоляції, нотифікації клієнтів і взаємодії з регуляторами, істотно зменшує масштаб наслідків кібератак.
Автомобільна галузь стрімко переходить до підключених сервісів, телематики та віддаленої взаємодії з клієнтами, тому кожне подібне повідомлення про потенційно масштабний витік — це сигнал переглянути підхід до кібербезпеки. Компаніям варто інвестувати у захист критичних бізнес‑систем, а користувачам — бути пильними до дзвінків і листів нібито від дилерів чи сервісів, перевіряти канали комунікації та не розкривати конфіденційні дані без додаткової верифікації.
