«Солар»: работники крупнейших компаний используют корпоративные учетки на внешних ресурсах

4 мин
«Солар»: работники крупнейших компаний используют корпоративные учетки на внешних ресурсах

Эксперты центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», ведущего провайдера комплексной кибербезопасности в России, проанализировали утечки корпоративных учетных данных в крупнейших российских компаниях, найденные в открытых и теневых источниках. В среднем на одну крупную организацию в России приходится более 600 утекших уникальных корпоративных учетных записей, из которых больше половины – с паролем в открытом виде. При этом только в 4% случаев имеются признаки прямой компрометации инфраструктур организаций. В основной же массе речь идет об использовании сотрудниками корпоративных email и паролей на внешних интернет-ресурсах.

Исследование проводилось среди крупнейших по выручке компаний из разных отраслей в соответствии с рейтингу РБК500 за 2025 г. Всего в выборку попало 10 организаций: аналитики изучили 19 285 строк, связанных с их корпоративными доменами и учетными данными. В выборке было выявлено 6 194 уникальные корпоративные учетные записи, из них 3 739 сопровождались паролями в открытом виде. Подозрения на прямую компрометацию корпоративной инфраструктуры зафиксированы в 270 случаях.

Исследование показало, что киберриски в компаниях связаны не только с прямыми взломами внутренних систем. Не меньшую опасность представляют повседневные цифровые привычки сотрудников, которые используют корпоративный email для регистрации на внешних интернет-ресурсах (маркетплейсах, форумах, обучающих платформах, SaaS-инструментах и др.). Если на внешнем сервисе сотрудник использует тот же пароль, что и в корпоративном контуре, такая утечка может дать злоумышленникам точку входа в инфраструктуру организации.

Суммарно в отчетах выявлено 5 985 строк, где корпоративные логины встречались вместе с паролями (открытыми и в виде хэш-сумм). Как отмечают эксперты, в части утечек встречаются короткие, цифровые и повторяющиеся пароли, что повышает вероятность успешной автоматизированной проверки пар логин-пароль на других ресурсах. И, хотя формально все эти факты не являются доказательством успешного входа в корпоративные системы, они создают риски повторного использования паролей, таргетированного фишинга, атак на службу ИТ-поддержки организации и попыток восстановления доступа к аккаунтам через корпоративный email. Особенно опасны такие сценарии при отсутствии многофакторной аутентификации, слабом контроле аномальных входов и несвоевременной блокировке неактуальных учетных записей.

В 458 случаях информация выглядели критично, но требовали дополнительной проверки: ручной валидации владельца хоста, принадлежности учетной записи и анализа журналов входа. Это показывает, что работа с утекшими учетными данными не может ограничиваться автоматическим поиском совпадений. ИБ-командам важно быстро отделять реальные признаки компрометации от внешних утечек и определять, какие учетные записи нужно срочно блокировать, для каких в достаточной степени принудительной смены пароля, а где требуется дополнительное расследование.

Отдельный риск связан с персональными данными сотрудников. В исследовании Solar AURA зафиксировано 12 612 строк с ПДн-компонентой. Даже если в таких утечках нет пароля в открытом виде, они повышают эффективность социальной инженерии: злоумышленники могут использовать информация о сотруднике для подготовки фишинговых писем, звонков в поддержку, подбора ответов для восстановления доступа или атак на личные аккаунты, связанные с рабочей почтой.

«Результаты исследования показывают важную вещь: работники используют рабочую почту, а в некоторых случаях и пароли, на внешних сервисах, которые находятся вне контроля компании. По этой причине важную роль играет повышение киберграмотности сотрудников, чтобы они осознавали риски и не использовали корпоративные учётные данные на сторонних ресурсах в личных целях. А для ИБ-команд важно не просто найти такие информация в открытых или теневых источниках, а быстро понять, насколько они валидны для входа в корпоративный контур. Именно следовательно управление доступом должно быть связано с процессами мониторинга утечек: найденная скомпрометированная учетная запись должна оперативно пройти проверку. После этого важно определить, какие действия необходимо выполнить: где-то в достаточной степени принудительно сменить пароль, где-то нужно заблокировать учетную запись, а в отдельных случаях — запустить полноценное расследование. Такой решение даёт возможность снизить вероятность того, что использование рабочей почты на внешнем сервисе перерастет в полноценный инцидент для компании» — прокомментировал Ярослав Жиронкин, руководитель продукта по управлению доступом Solar inRights ГК «Солар».

Эксперты «Солара» рекомендуют компаниям регулярно проверять появление корпоративных учетных данных в открытых и теневых источниках, в том числе с помощью сервисов класса Digital Risk Protection, внедрять многофакторную аутентификацию для критичных систем и контролировать повторное использование паролей. При этом обнаружение утечки должно быть связано с процессами управления доступом: если скомпрометированная связка «логин-пароль» остается актуальной во внутренних системах, учетную запись рекомендуется оперативно заблокировать, перевести на принудительную смену пароля или отправить на дополнительную проверку.

Читают сейчас

Расследование: попавший в смертельное ДТП водитель Tesla нажал на педаль газа до упора

18 минут назад

Расследование: попавший в смертельное ДТП водитель Tesla нажал на педаль газа до упора

Национальный совет по безопасности на транспорте США (NTSB) сообщил, что водитель автомобиля Tesla, врезавшегося в жилой дом в июне, выжал педаль газа до упора (на 100%), тем самым перехватив управлен

SberDevices выпустили телевизоры с матрицей QD-miniLED и голосовым управлением

21 минуту назад

SberDevices выпустили телевизоры с матрицей QD-miniLED и голосовым управлением

В новую линейку интеллектуальных телевизоров Sber серии 8000 входят устройства с диагоналями 50, 55 и 65”. QD в матрице обеспечивает чистые цвета, а miniLED — высокую контрастность изображения: каждый

Пользователям посоветовали использовать генераторы паролей вместо чат-ботов

38 минут назад

Пользователям посоветовали использовать генераторы паролей вместо чат-ботов

Многие пользователи обращаются к чат-ботам, чтобы придумать уникальные пароли для входа на разные сервисы. Однако исследование компании Irregular ранее показало, что популярные ИИ вроде Claude, ChatGP

Энтузиаст сделал систему игровых картриджей для Steam на базе подержанных накопителей

58 минут назад

Энтузиаст сделал систему игровых картриджей для Steam на базе подержанных накопителей

Один из ПК-геймеров создал и продемонстрировал удобную систему игровых картриджей для Steam. Он использовал старые SATA-накопители (SSD) формата 2,5 дюйма на 128 ГБ. Читать далее

Для использования стал доступен российский служба «Мультисканер» для проверки файлов на вредоносносы — аналог VirusTotal

1 час назад

Для использования стал доступен российский служба «Мультисканер» для проверки файлов на вредоносносы — аналог VirusTotal

Российский сервис «Мультисканер» для проверки файлов на вредоносное ПО снова стал доступен для использования. Скачивать файлы можно и без авторизации в системе. История запросов сохраняется, но её мож