ОБНОВЛЕНИЕ ИНФОРМАЦИИ ОТ ОТДЕЛА КИБЕРБЕЗОПАСНОСТИ: РЕАГИРОВАНИЕ ВАДА НА ИНЦИДЕНТ
Монреаль, 5 октября 2016
Как уже сообщалось в средствах массовой информации, с 13 сентября группа хакеров “Fancy Bear” опубликовывает конфиденциальную информацию спортсменов касательно их разрешений на терапевтическое использование (ТИ) медицинских препаратов на своем веб-сайте. Процесс ТИ является средством, с помощью которого спортсмен может получить разрешение на использование предписанного запрещенного вещества или метода для лечения соответствующему его медицинским показаниям. Программа ТИ является строгой и необходимой частью спорта высших достижений, которая имеет одобрение подавляющего большинства спортсменов, врачей и всех заинтересованных сторон по борьбе с допингом во всем мире. Преступная деятельность, осуществляемая с помощью кибер-шпионажа группы, которая стремится подорвать программу ТИ и работу ВАДА и ее партнеров в области защиты чистого спорта, является грязным приемом в сторону невинных спортсменов, чьи личные данные были выставлены на всеобщее обозрение.
“Fancy Bear” незаконно получил данные с аккаунта Системы антидопингового администрирования и менеджмента (ADAMS), созданный специально для Олимпийских игр в Рио в 2016 году (система ADAMS Рио-2016); и, следовательно, имеет доступ к ТИ данным спортсменов, которые принимали участие в Играх.
Кроме системы ADAMS в Рио-де Жанейро, другие данные системы не были скомпрометированы в атаке.
Узнав о происшествии, ВАДА оперативно сформировали многопрофильную группу для реагирования на данный инцидент. Данная группа состоит из внутренних и внешних ресурсов, в том числе из представителей ИТ ВАДА, а также юридических команд и группы по коммуникациям. Агентство также начало поддерживать контакты с ведущими правоохранительными органами в Канаде и в других местах по всем аспектам этого исследования, в том числе касательно решений об изъятии информации с веб-сайта “Fancy Bear” и других сайтов в социальных медиа.
В интересах информирования всех заинтересованных сторон о своей работе над этим вопросом, ВАДА подготовил следующее заключение, которое включает в себя обзор инцидента, а также приводящихся мер, которые Агентство приняло на сегодняшний день, для решения данной проблемы.
Следует отметить, что расследование ВАДА продолжается; и так, несмотря на то, что Агентство желает постоянно информировать заинтересованные стороны, важно помнить о рисках раскрытия информации, которые могут поставить под угрозу целостность всего расследования.
Заключения:
* В июне 2016 года, ВАДА создало аккаунт «Rio 2016 ADAMS» для того, что бы заполнить информацию по спортсменам, необходимую для выполнения программы допинг-контроля на Олимпийских играх 2016. После его создания, Международный олимпийский комитет (МОК) имел полный административный контроль над этим аккаунтом. Как администратор учетной записи, МОК создал учетные данные для лиц, ответственных за выполнение программы по борьбе с допингом во время Игр, в том числе создание двух аккаунтов для представителей ВАДА, которые входили в состав программы независимых наблюдателей ВАДА
(“IO”) для Олимпийских игр 2016 года.
* До и во время Игр 2016 года, хакеры атаковали несколько учетных записей электронной почты ВАДА и МОК для фишинг атаки электронной почты. Потенциально именно это и привело к компрометации некоторых паролей системы АДАМС. Примечание: фишинговый e-mail стремится обмануть получателя, для того, что бы владелец почты передал хакерам важную информацию, такую как имя пользователя и пароль, для того, чтобы получить доступ к интересующим хакера приложениям.
* Текущая оценка технической и экспертно-криминалистических групп, отражает то, что злоумышленники получали незаконный доступ к системе ADAMS Rio 2016 несколько раз в период с 25 августа 2016 года и 12 сентября 2016, используя учетные данные, незаконно полученные от одного из этих целевых пользователей.
* 13 сентября злоумышленники, называющие себя “Fancy Bear” выпустили первую партию данных, содержащую информацию по ТИ, на своем веб-сайте. Нарушители с тех пор выпустили данные, связанные с текущим и истекшим сроком годности ТИ на пяти других случаях – данные всегда были связаны со спортсменами, которые соревновались на Олимпийских играх в 2016 году. Все опубликованные данные соответствуют о данных, кража которых имела место в период с 25 августа по 12 сентября, как это описано выше.
* Узнав о вторжении в систему ADAMS 13 сентября, ВАДА начало принимать дополнительные меры, которые были приняты в тот же день для обеспечения безопасности системы. Данные меры включают в себя:
o Дезактивацию всех учетных записей Rio 2016 ADAMS;
o Отключение опции “забыли пароль”, для того, что бы у хакеров не было возможности сбросить остальные пароли;
o Усложнение возможности регистрации;
o Увеличение мониторинга посещений и сетевой активности; а также
o Дезактивацию неактивных учетных записей.
* ВАДА также оперативно пригласило к сотрудничеству “FireEye Inc., Mandiant”, самую главную компанию по безопасности и судебному консалтингу, для того, чтобы провести тщательное и всестороннее расследование активов, сетей и систем
ВАДА, включая систему АДАМС. Компания была приглашена для определения масштабов вторжения и доступа к данным, хранящимся на таких системах, а также на исследование любых систем, которые могут содержать постоянную угрозу. По состоянию на 5 октября, анализ Мандиэнта завершен на более чем 90%, и он не нашел никаких доказательств дополнительного ущерба для данных ADAMS, кроме как извлечения данных, с системы АДАМС, с аккаунтов Rio 2016 года по 12 сентября, как описано выше.
* В дополнение к широкому кругу заинтересованных сторон и средств массовой коммуникации после каждой утечки, ВАДА связывается, и будет продолжать обращаться по мере необходимости, ко всем спортсменам, и к их антидопинговым организациям (АДО), а также же с международными федерациями (МСФ) и Национальными антидопинговыми организациями (НАДО) – для того, чтобы они могли обеспечить спортсменам необходимую поддержку.
* Кроме того, ВАДА посоветовала всем пользователям системы АДАМС бдительно следить за их шагами, в использовании системы АДАМС, а также за любыми подозрительными фишинговыми атаками. В связи с этим, ВАДА было проинформировано о том, что на прошлой неделе некоторые пользователи получили подозрительные электронные письма, якобы от заместителя генерального директора ВАДА Роба Колера, в котором говорилось, что президент ВАДА хотел бы поговорить с ними по поводу кибер-атак. Для прояснения ситуации: такого электронного сообщения никогда не существовало и Роб Колер никогда не отправлял данный e-mail. Пожалуйста, будьте бдительны к подобным мошенническим атакам.
* Следует также отметить, что в ходе своего расследования, ВАДА определило, что не все данные, опубликованные “Fancy Bear” (в его PDF-документах) точно отражает данные системы АДАМС. Тем не менее, мы продолжаем рассматривать эту ситуации в качестве приоритетной задачи, и мы хотели бы призвать все затронутые стороны связаться с ВАДА, как только им станет известно о любых неточностей в данных, которые были опубликованы .
* С точки зрения более долгосрочных мер, которые ВАДА предпринимает в целях дальнейшего повышения безопасности системы АДАМС, в дополнение к реализации дополнительных мер контроля аутентификации, Агентство расширяет свою сеть протоколирования безопасности и мониторинга программы; и, завершит полную оценку для усиления контроля уязвимости и безопасности. Агентство также будет предоставлять более подробные рекомендации для пользователей о том, как они могут предотвратить непреднамеренное передачу паролей к третьим лицам, которые используют методы фишинга.
ВАДА благодарит спортсменов и АДО за их понимание и поддержку. Если у вас есть какие-либо вопросы или проблемы; или, вы столкнулись с подозрительной активностью по отношению к системе ADAMS, таких как фишинговые письма, мы рекомендуем связаться с службой поддержки Агентства по adams@wada-ama.org или +1 514 904 8800.
ВАДА очень серьезно относится к данной ситуации, так как были затронуты аспекты личной жизни спортсменов, и будет продолжать предоставлять соответствующие обновления по мере развития обстоятельств.
