Пользователи роутеров Keenetic, главным образом из России, столкнулись с крупной утечкой данных, в результате которой в открытый доступ попали конфиденциальные учетные записи, сетевые настройки, логи активности и другая чувствительная информация. Эти данные могут позволить злоумышленникам получить удаленный доступ к затронутым сетям. Об утечке команде Cybernews рассказал анонимный источник, а 17 марта производитель признал инцидент, уточнив, что изначальный сигнал о несанкционированном доступе к базе мобильного приложения поступил 15 марта 2023 года от независимого исследователя в области кибербезопасности.
Источник передал Cybernews утекшие данные по электронной почте, и издание подтвердило их подлинность. Компрометация затронула миллионы записей: 1 034 920 записей с email-адресами, именами, языковыми настройками (locales), идентификаторами Keycloak, номерами сетевых заказов (Network Order ID) и Telegram Code ID; 929 501 запись с техническими данными об устройствах: SSID и пароли Wi-Fi в открытом виде, модели роутеров, серийные номера, интерфейсы, MAC-адреса, доменные имена для удаленного доступа, ключи шифрования; 558 371 конфигурация устройств, содержащая учетные записи пользователей, пароли (хешированные с использованием уязвимого алгоритма MD5), назначенные IP-адреса, параметры маршрутизации; более 53,8 млн записей логов активности, включающих имена хостов, MAC- и IP-адреса, параметры доступа и даже специальные метки, такие как «owner_is_pirate».
Утечка затронула пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года, подтвердил разработчик Keenetic, подчеркнув: компрометация касалась ограниченного набора данных. В частности, по оценке компании, в открытый доступ могли попасть: идентификаторы Keycloak, email-адреса (логины) и имена учетных записей Keenetic, языковые настройки (locales); конфигурации учетных записей, включая пароли, хешированные по алгоритмам MD5 и NT; настройки сетевых интерфейсов: SSID Wi-Fi и предустановленные ключи (preshared keys); пользовательские доменные имена в системе KeenDNS; параметры Wi-Fi: номера каналов, roaming ID, ключи шифрования; политики IP и правила управления трафиком (traffic shaping); адреса удаленных узлов, логины и пароли VPN-клиентов; назначенные IP-адреса, имена и MAC-адреса зарегистрированных устройств в сети; конфигурации IPsec Site-to-Site и IPsec Virtual-IP Server; настройки DHCP-пула, параметры времени (NTP); списки доступа по IP- и MAC-адресам.
При этом компания заявила, что не хранит и не анализирует данные платежных карт, банковских операций и финансовых паролей, поэтому подобная информация в утечку не попала.
После подтверждения утечки проблема была устранена во второй половине дня 15 марта 2023 года. Производитель уверяет, что исследователь, обнаруживший уязвимость, не распространял данные и уничтожил их. С того момента и вплоть до конца февраля 2025 года не было зафиксировано новых случаев компрометации базы данных или атак, связанных с утекшей информацией.
Анализ данных о локализации пользователей показывает, что основной удар пришелся на российских пользователей. Среди скомпрометированных аккаунтов значатся: 943 927 русскоязычных пользователей; 39 472 англоязычных пользователей; 48 384 турецкоязычных пользователей.
