ShinyHunters викрадають 297 ГБ даних із HR-систем Ради Європи

ShinyHunters викрадають 297 ГБ даних із HR-систем Ради Європи

Рада Європи, провідна інституція континенту з прав людини, демократії та верховенства права, стала останньою гучною жертвою хакерського угруповання ShinyHunters, що спеціалізується на програмах-вимагачах. Унаслідок зламу було викрито 297 ГБ конфіденційних кадрових і платіжних даних, зокрема понад 409 000 платіжних відомостей і понад 14 000 резюме співробітників, що зачепило персонал Секретаріату та Директорату з питань людських ресурсів. Витік даних Ради Європи спричинений ShinyHunters — це не просто інцидент у сфері кібербезпеки; це промовисте нагадування про те, що навіть органи, відповідальні за захист прав громадян, можуть не зуміти захистити персональні дані власних працівників.

Що викрали: усередині 297 ГБ витоку кадрових і платіжних даних

Згідно із заявами ShinyHunters, масштаб викраденого внаслідок цього зламу є значним. Понад 429 000 файлів було скомпрометовано, серед них — платіжні відомості, резюме, трудові договори та внутрішні кадрові записи. Самі лише платіжні відомості становлять понад 409 000 документів, а це означає, що витік, імовірно, охоплює значну частину нинішнього та колишнього персоналу Ради.

Чутливість цих даних важко переоцінити. Платіжні відомості, як правило, містять повні юридичні імена, домашні адреси, національні ідентифікаційні номери, банківські реквізити, відомості про заробітну плату та податкові дані. Резюме додають іще один рівень викриття, включаючи відомості про освіту, особисті рекомендації та дані про попередні місця роботи. Разом ця інформація дає кіберзлочинцям усе необхідне для проведення цілеспрямованих фішингових кампаній, скоєння крадіжок персональних даних або продажу окремих профілів на тіньових онлайн-майданчиках.

Такі атаки, націлені на HR-системи, стають дедалі поширенішими. Злам HR-системи Статистичного управління Південної Африки мав напрочуд схожий характер: зловмисники атакували внутрішню кадрову інфраструктуру, щоб викрасти записи працівників, замість того щоб націлюватися на клієнтські системи.

Чому Рада Європи є високоцінною мішенню для угруповань, що використовують програми-вимагачі

На перший погляд, міжурядова організація, зосереджена на правах людини, може здатися незвичною мішенню для програм-вимагачів. Насправді ж вона є надзвичайно привабливою. Рада Європи має тисячі співробітників у своїй штаб-квартирі в Страсбурзі та численних польових офісах, а отже, її HR-бази даних насичені персональними записами. Інституційний престиж також підвищує важелі тиску для угруповань, що використовують програми-вимагачі: репутаційна вартість витоку є вищою для органу, чий мандат охоплює права громадян і захист даних.

ShinyHunters мають добре задокументовану практику атак на великі, помітні організації, щоб максимізувати тиск для отримання викупу. Раніше цього року угруповання висунуло публічний ультиматум нідерландському телекомунікаційному провайдеру Odido. Як детально висвітлювалося у матеріалі про витік даних Odido, що зачепив 8 мільйонів клієнтів, ShinyHunters погрожували оприлюднити викрадені дані клієнтів, якщо не буде сплачено викуп, демонструючи готовність використовувати публічне розголошення як інструмент тиску. Схоже, що тут використовується той самий сценарій.

Витік даних Ради Європи також слідує за раніше заявленою ShinyHunters атакою на хмарну інфраструктуру Європейської комісії, яка, за повідомленнями, охопила понад 350 ГБ даних із платформи Europa.eu. Разом ці інциденти свідчать про те, що угруповання зробило європейські інституції свідомим фокусом своїх операцій у 2025 та 2026 роках.

Іронія того, що наглядачі за конфіденційністю не змогли захистити персональні дані

Рада Європи є органом, відповідальним за Європейську конвенцію з прав людини, і наглядає за рамковими механізмами, які держави-члени використовують для регулювання захисту даних і цифрової конфіденційності. Іншими словами, це інституція, яка встановлює стандарт того, як слід обробляти та захищати персональні дані. Іронію того, що ця інституція зазнала витоку такого масштабу, важко ігнорувати.

Це не поодинока суперечність. Великі установи часто мають складну, застарілу ІТ-інфраструктуру, розгалужені відносини з постачальниками та дані про працівників, розпорошені по десятках взаємопов'язаних систем. Ці структурні реалії створюють поверхні атаки, якими справді важко управляти, незалежно від того, наскільки сильними є задекларовані зобов'язання організації щодо конфіденційності. Витік ілюструє, що добрі політичні наміри не перетворюються автоматично на добру операційну безпеку.

Для постраждалих співробітників наслідки є негайними й особистими. Будь-хто, чия платіжна відомість або резюме опинилися серед понад 429 000 файлів, тепер стикається з потенційним викриттям своїх фінансових даних та ідентифікаційних документів. Продажі інституційних HR-даних на тіньових майданчиках, подібні до тих, що спостерігалися у випадку розміщення клієнтських даних Iliad Italia на продаж у даркнеті, зазвичай швидко слідують за витоками, надаючи злочинцям готовий ринок для викрадених записів.

Як окремим особам захистити себе, коли інституції не справляються

Коли відбувається злам роботодавця або установи, постраждалі особи мають обмежений контроль над тим, що було викрадено. Але є конкретні кроки, які ви можете зробити, щоб обмежити подальше викриття.

Уважно стежте за своїми фінансовими рахунками. Банківські реквізити, викриті у платіжних відомостях, можуть бути використані для прямого шахрайства. Налаштуйте сповіщення про незвичні транзакції та розгляньте доцільність тимчасового блокування кредитних запитів у вашій юрисдикції.

Будьте пильними щодо спроб цільового фішингу. Зловмисники, які мають ваше резюме та платіжну відомість, знають вашого роботодавця, діапазон зарплати та посаду. Використовуючи цей контекст, вони можуть створювати надзвичайно переконливі імітаційні електронні листи. Ставтеся до неочікуваних повідомлень із вимогою дій або облікових даних із підвищеною скептичністю, навіть якщо вони нібито надходять від колег або відділу кадрів.

Використовуйте VPN у публічних і спільних мережах. Хоча VPN не запобігає зламу на стороні сервера, він захищає ваш трафік від перехоплення, коли ви віддалено отримуєте доступ до порталів роботодавця або конфіденційних облікових записів, зменшуючи один із векторів крадіжки облікових даних.

Перевірте, чи є ваші дані в базах даних витоків. Сервіси, які відстежують відомі набори даних витоків, можуть сповістити вас, якщо ваша електронна пошта або інші ідентифікатори з'являться у щойно опублікованих наборах даних.

Вимагайте чіткої інформації від свого роботодавця. Якщо ви є працівником або підрядником Ради Європи, наполягайте на конкретній комунікації щодо того, які саме записи постраждали та які заходи з усунення наслідків пропонуються.

Інституційні витоки, такі як цей, є нагадуванням, що гігієна персональних даних має найбільше значення саме тоді, коли організації, які зберігають ваші записи, не справляються з їхнім захистом. Перегляд вашого рівня викриття, убезпечення ваших облікових записів і збереження пильності щодо соціальної інженерії — це не додаткові опції; це базова відповідь, коли дані, які ви не передавали злочинцям, усе одно опиняються в їхніх руках.

Ескалація атак ShinyHunters на європейські інституції свідчить про те, що це угруповання не сповільнюється. Бути поінформованим і вживати проактивних заходів щодо власної цифрової безпеки — це найефективніша відповідь, доступна окремим особам, які опинилися під перехресним вогнем.