Пароли на блюдечке. 600 причин пересмотреть корпоративную безопасность

В основной массе речь идет об использовании сотрудниками рабочей почты и паролей на внешних интернет-ресурсах - маркетплейсах, форумах, обучающих платформах и SaaS-инструментах.
Эксперты центра мониторинга внешних цифровых угроз Solar Aura ГК "Солар" (АО "Солар Секьюрити") проанализировали утечки корпоративных учетных данных в крупнейших российских компаниях. В выборку попали 10 организаций из разных отраслей согласно рейтингу РБК500 за 2025 г. Аналитики изучили 19,3 тыс. строк, связанных с корпоративными доменами и учетными данными, и выявили 6,2 тыс. уникальных корпоративных учетных записей. Из них 3,7 тыс. сопровождались паролями в открытом виде. Подозрения на прямую компрометацию корпоративной инфраструктуры зафиксированы в 270 случаях.
Исследование показало, что киберриски в компаниях связаны не только с прямыми взломами внутренних систем. Не меньшую опасность представляют повседневные цифровые привычки сотрудников. Если на внешнем сервисе сотрудник использует тот же пароль, что и в корпоративном контуре, такая утечка может дать злоумышленникам точку входа в инфраструктуру организации.
Суммарно в отчетах выявлено 6 тыс. строк, где корпоративные логины встречались вместе с паролями (открытыми и в виде хэш-сумм). В части утечек встречаются короткие, цифровые и повторяющиеся пароли, что повышает вероятность успешной автоматизированной проверки пар "логин-пароль" на других ресурсах.
Представитель пресс-службы ГК "Солар" пояснил, что в утечке содержится только корпоративный URL, логин и пароль - как правило, это данные с троянов-стиллеров, что говорит о краже данных из корпоративного контура (вероятнее всего, с помощью фишинга). "Признаков прямого взлома инфраструктуры организаций и полной выгрузки их баз данных в этой выборке зафиксировано не было. Подавляющее же большинство утекших корпоративных учетных данных было обнаружено в утечках с внешних интернет-ресурсов", - подчеркнул он.
Менеджер продукта ALD Pro ПАО "Группа Астра" Анатолий Лысов отметил, что исследование коллег из "Солара" справедливо обращает внимание на недооцененный, но крайне важный аспект корпоративной информационной безопасности - использование сотрудниками рабочих адресов электронной почты для регистрации на внешних сервисах.
На первый взгляд, по мнению Анатолия Лысова, в использовании корпоративных адресов нет ничего предосудительного: "Электронная почта изначально создавалась именно для того, чтобы люди могли получать сообщения, в том числе уведомления от сторонних платформ. Однако с точки зрения информационной безопасности здесь возникает вполне конкретная угроза. Если сторонний сервис будет скомпрометирован и пароли его пользователей попадут в руки атакующих в открытом виде, то корпоративный адрес фактически укажет им, какую именно учетную запись компании можно попытаться взломать методом перебора, используя утекшие данные".
Руководитель департамента информационных технологий ООО "Корус Консалтинг ВМ" (компания Mons входит в ГК "Корус Консалтинг") Евгений Пивоваров рассказал, какие отрасли, по его опыту, наиболее уязвимы к угрозам: "Отдельные сферы промышленности, медицина, сельское хозяйство - все отрасли, где цифровизация либо началась относительно недавно, либо полноценная цифровизация не является стратегической производственной задачей. В некоторых случаях причиной является недостаточно гибкое нормативное регулирование, в некоторых – корпоративная культура применения решений информационной безопасности и использования цифровых сервисов".
Эксперт по кибербезопасности ООО "Айдеко" (Ideco) Виктор Гуров рассказал, что утечки проходят процесс валидации на ложные срабатывания и уровень угрозы, после чего принимается решение о блокировке или сбросе пароля пользователя, а в ряде случаев может быть инициирован процесс расследования инцидента.
Технический директор компании Haspbox (ООО "Хаспбокс") Александр Гусев сообщил, что компания регулярно проводит мониторинг в открытых источниках и на проектах, а также следит за ситуацией, связанной с утечками учетных записей. "Наш опыт работы с заказчиками и партнерами по теме управления секретами, к сожалению, подсвечивает главный негативный тренд - слабая культура информационной безопасности у сотрудников и непонимание ценности учетных записей. Отчасти это вызвано непониманием пользователями того, как пароль, оставленный во внешнем сервисе, может быть угрозой для компании и как его получит злоумышленник, если все так "сильно пекутся о нашей безопасности", - отметил он.
Александр Гусев добавил, что отчасти людям просто лень запоминать новые уникальные учетные записи: "Компаниям критически не хватает повышения уровня ИБ-культуры среди сотрудников и внедрения простых решений, которые бы переломили ситуацию преобладания лени над безопасностью, например, решений, связанных с управлением и хранением секретов организации, вкупе с аналитикой утечек в компании".
Аналитик угроз центра мониторинга и реагирования ООО "Газинформсервис" Владислав Шелепов считает, что полностью автоматическая блокировка учетной записи по одному совпадению в утечке - слишком грубый инструмент: "Данные могут оказаться пятилетней давности, они могли использоваться только на внешнем форуме, и часто в утечках вообще нет пароля. Но имеет смысл автоматизировать рутинную часть, то есть, например, сделать поиск совпадений, удаление дублей, сбор контекста и уведомление ответственных. В таком уведомлении должны быть источник, предполагаемая дата утечки, название сервиса и понятная рекомендация сотруднику. Дальше решение должно приниматься по уровню риска: если пароль актуален или есть подозрительная активность, тогда уже нужны принудительная смена, закрытие активных сессий или блокировка учетной записи".
Руководитель отдела технического пресейла ООО "АйТи Таск" (It Task) Михаил Тимаев отметил, что утечка логина и пароля с форума, маркетплейса или SaaS-платформы сама по себе еще не означает компрометацию корпоративной инфраструктуры: "Но если сотрудник использует одинаковый или похожий пароль для внешнего сервиса и корпоративных систем, злоумышленник получает возможность провести атаку с использованием легитимных учетных данных. На практике такие данные чаще всего проверяются на предмет доступности через почтовые сервисы, VPN и другие внешние точки входа. Поэтому подобные утечки стоит рассматривать не как отдельный инцидент, а как сигнал о необходимости проверить учетную запись, сменить пароль и убедиться, что эти данные не могут быть использованы для доступа к корпоративным ресурсам".
https://www.comnews.ru/content/246384/2026-07-14/2026-w29/1008/vredonosy-zamaskirovalis-pod-proksi
Ранее специалисты BI.ZONE Digital Risk Protection (предыдущее название - BI.ZONE Brand Protection) провели аудит примерно 700 тысяч корпоративных учетных записей в российских компаниях. Выяснилось, что 9% сотрудников периодически регистрируются с помощью корпоративной электронной почты на сторонних ресурсах, часто не имеющих отношения к рабочим задачам. При этом каждый пятый из тех, кто регистрируется на внешних площадках, использует один и тот же пароль для разных аккаунтов.
Руководитель управления привилегированным доступом (PAM) ООО "Бизон" (Bi.Zone) Артем Назаретян отметил, что это значительно облегчает злоумышленникам компрометацию корпоративных учетных записей для атаки на компанию: "Использование украденных доступов - один из самых частых способов проникновения в ИТ-инфраструктуру российских организаций: именно так начинаются 33% кибератак. Год назад этот показатель был ниже и составлял 27%".
По оценке специалистов BI.ZONE PAM, в средних и крупных компаниях на одного ИТ-специалиста приходится от трех до семи привилегированных учетных записей, а за каждый элемент инфраструктуры отвечает от двух до четырех администраторов. "Около 30–40% привилегированных учетных записей используют одинаковые пароли в различных системах, что повышает риск компрометации при утечке даже одного пароля. В некоторых организациях привилегированные доступы не отзываются после увольнения сотрудников, а в половине случаев они никогда не истекают и не деактивируются автоматически. Все это делает корпоративные учетные записи особенно уязвимыми", — заключил Артем Назаретян.
14 октября в Москве состоится практический форум "", посвященный анализу защищенности инфраструктуры.
