Британская некоммерческая организация по борьбе с мошенничеством Cifas недавно опубликовала результаты исследования, которые должны насторожить любого, кто ведет бизнес или делает покупки в компаниях: каждый восьмой сотрудник крупных предприятий либо продавал учетные данные своей компании, либо знает кого-то, кто это делал.
В интернете полно утечек учетных данных, которые сотрудники используют для доступа к корпоративным системам. В 2025 году компания KELA, занимающаяся анализом киберугроз, зафиксировала по всему миру почти 2,9 миллиарда утечек учетных данных. Большинство из них связано с фишинговыми атаками и программами-инфостелерами. Но благодаря сотрудникам, желающим быстро заработать, киберпреступники могут просто сделать им предложение.
Инсайдеры, на которых никто не обращает внимания
Организация Cifas провела опрос среди 2 000 сотрудников компаний со штатом не менее 1 000 человек. Из них 13 % признались, что в течение последних 12 месяцев продавали свои корпоративные учетные данные или знают кого-то, кто это делал. Как отмечается в отчете, удивительно, но продавцы поступали так, «часто полагая, что это безобидно».
Экстренное сообщение: продажа учетных данных вашей учетной записи — это не безобидное занятие. Преступники нуждаются в них, чтобы завладеть учетной записью и совершать с ее помощью противоправные действия. По данным компании Verizon, в прошлом году в США количество случаев взлома учетных записей выросло на 6 % и превысило 78 000.
Многие взломанные учетные записи — это личные аккаунты в различных сервисах, от социальных сетей до сайтов онлайн-стриминга, и, конечно же, банковские счета. Однако немалое количество учетных записей принадлежит бизнес-системам, таким как Microsoft 365, Salesforce и другим платформам, на которых хранятся конфиденциальные данные компаний. Эти секретные данные являются ценным товаром для преступников, которые затем могут продавать их на открытом рынке.
Ваш начальник, скорее всего, сможет продать это лучше, чем вы
В идеале здесь следует применить распространенный подход, известный как «доступ с минимальными привилегиями».
Идея заключается в том, что корпоративная учетная запись в сети должна иметь доступ только к той информации, которая ей необходима. Так, например, Джим из столовой должен иметь доступ к системе заказа еды, но не ко всей базе данных клиентов. Таким образом, даже если учетная запись Джима будет взломана, самое худшее, что смогут сделать злоумышленники, — это лишить вас завтра колбасок.
Проблема заключается в том, что, согласно отчету, руководители высшего звена гораздо охотнее продают учетные данные своих аккаунтов, чем рядовые сотрудники. 32 % руководителей высшего звена считают это оправданным, а также 36 % директоров, 43 % топ-менеджеров и, что поразительно, четыре из пяти владельцев компаний. В силу занимаемых ими должностей даже при доступе с минимальными правами их аккаунты по-прежнему могут открывать доступ к конфиденциальным системным функциям и данным.
Это проблема не только Великобритании
Исследование Cifas посвящено ситуации в Великобритании, но, скорее всего, это не единственный случай. Мы знаем о случаях, когда сотрудники нескольких компаний продавали доступ к корпоративным учетным записям или данным. Например, в прошлом году криптовалютная компания Coinbase сообщила, что сотрудники аутсорсинговой компании из Бангладеш продавали данные клиентов hackers.
Утечки учетных данных являются широко распространенным явлением. Наше собственное исследование показало, что всего за 30 дней у 111 компаний из списка Fortune 500 произошла утечка учетных данных сотрудников. В долгосрочной перспективе 363 из этих компаний (то есть 73 %) утратили контроль над учетными данными хотя бы одного сотрудника.
Продажа сотрудниками своих учетных данных наносит ущерб не только компаниям, в которых они работают. Это также наносит ущерб клиентам.
Когда пароль руководителя попадает в продажу, вскоре может появиться и файл с данными клиентов, хотя, скорее всего, продавать его будет не сам руководитель. Malwarebytes , что у 91 % компаний из списка Fortune 500 произошла утечка учетных данных клиентов, а взломанные учетные записи — отличный способ получить к ним доступ.
Таким образом, риск, связанный с инсайдерами, — это не только проблема для компаний. Это также проблема для потребителей. Поэтому мы все реже готовы предоставлять свои личные данные крупным компаниям, не задаваясь вопросом, зачем им это нужно.
Ваше имя, адрес и номер телефона, скорее всего, уже выставлены на продажу.
Брокеры данных собирают и продают ваши личные данные всем, кто готов за них заплатить. Malwarebytes Personal Data Remover их, удаляет вашу информацию и следит за тем, чтобы она оставалась в безопасности.
