Кибератака или инсайдер: почему произошел сбой в работе Wildberries

Татьяна Романова Редакция Forbes

Крупнейший российский маркетплейс Wildberries еще восстанавливается после серьезных проблем с работой сервиса. Эксперты по кибербезопасности полагают, что маркетплейс мог стал жертвой взлома и атаки вирусом-шифровальщиком одной из хакерских группировок. В Wildberries атаку хакеров не подтверждают, но и не опровергают. Официальная версия — технические неполадки, в компании запущено внутреннее расследование инцидента

Утром 14 марта в работе маркетплейса Wildberries случился сбой. Часть пользователей сервиса не смогла войти в мобильное приложение маркетплейса, у других возникли проблемы с отслеживанием заказов, не отображались куаркоды для получения оплаченных посылок, у кого-то не работал сайт. Несколько корреспондентов Forbes не могли пользоваться приложениями маркетплейса, а позже заметили, что из их личных кабинетов пропала информация обо всех предыдущих покупках. Невозможно было также оформить новый заказ.

Сложности были и у продавцов. Например, они жаловались на трудности подключения личного кабинета поставщика, из-за чего было невозможно отправлять товары со складов, отсутствие информации о товарных остатках, наличии товара на складах. По техническим причинам пункты выдачи заказов (ПВЗ) не выдавали товары.

За день, по данным Downdetector, количество сообщений об ошибках составило 12 000.

*Объявление на одном из пунктов выдачи заказов. (Фото Ксении Мельниковой)*

Что случилось

Версий несколько, но все они сводятся к кибератакам. Утром 15 марта служба информационной безопасности сервиса доставки СДЭК, ссылаясь на данные «Киберполигон», разослала своим сотрудникам предупреждение о кибератаке на Wildberries. В письме также упоминалось, что за последние три дня в даркнет были слиты данные более 100 000 карт из России. СДЭК рекомендовал перевести средства на другую карту, а привязанную к маркетплейсу заблокировать.

Представитель СДЭК подтвердили Forbes факт отправки письма. «Письмо было разослано исключительно по закрытой внутренней рассылке для сотрудников компании. Такие письма отсылаются регулярно, если вдруг происходят какие либо кибератаки или что то угрожает безопасности сети. Мы учим сотрудников, как вести себя в таких ситуациях», — пояснил Forbes представитель СДЭК.

17 марта СДЭК объяснил, что письмо было неверно интерпретировано журналистами и блогерами, а в сообщении не утверждалось, что Wildberries имеет отношение к утечке банковских карт в даркнете. СДЭК так же принес извинения покупателям Wildberries.

Материал по теме

«По информации сразу из нескольких наших источников, сайт Wildberries был взломан иностранной группировкой хакеров OldGremlin, которые не только нарушили работу сайта, но и захватили над ним контроль», — сообщил Forbes главный редактор информационного портала SecurityLab.ru (ресурс принадлежит Positive Technologies — международной компании, специализирующейся на разработке решений в сфере информационной безопасности) Александр Антипов. По его информации, хакеры из OldGremlin поместили в данные сайта вирус-шифровальщик, который и стал причиной масштабного сбоя в работе Wildberries.

Другую версию изложил автор Telegram-канала «Запуск завтра» Самат Галимов, бывший технический директор интернет-издания «Медуза» (признана иноагентом), Pure, Bookmate. «Wildberries взломали русские хакеры и уничтожили почти всю инфраструктуру, включая бэкапы (резервные копии). Фронтенд есть, а бэкенда у них больше нет. Данные зашифрованы», — написал он. Галимов предполагает, что во взломе участвовали сотрудники Wildberries: «Потому что, судя по рассказам, в целом про безопасность там думали. Интересно, будут ли хакеры просить выкуп или это политическая акция».

И все же кибератака

16 марта Wildberries сообщила о начале внутреннего расследования сбоя в работе сайта и приложений. Источник Forbes, знакомый с ходом внутреннего расследования Wildberries, подтвердил, что компания подверглась кибератаке средней мощности. По его информации, часть сервисов выведена из строя, но не безвозвратно, кроме того, хакеры не смогли получить доступ к внутренним данным пользователей.

Данный инцидент можно считать одним из крупнейших, считает начальник отдела информационной безопасности «СёрчИнформ» Андрей Дрозд. По его мнению, масштаб происходящего можно оценить лишь по косвенным признакам, и судя по тем проблемам, с которыми столкнулся маркетплейс, серьезно пострадала именно внутренняя система.

Материал по теме

«Хакеры вполне могли воспользоваться услугами инсайдера (сотрудника компании), — говорит Дрозд. — Сейчас стресс-факторов много, у кого то это деньги, у кого то идеологические мотивы. При этом сотрудник мог не принимать активного участия в атаке, а, к примеру, «всего лишь» поделиться информацией об инфраструктуре компании, используемых средствах защиты и т.п. Или была внешняя атака на цепочки программного обеспечения». Дрозд считает, что развитие ситуации может идти по двум сценариям: оптимистичному и пессимистичному. В первом случае компании удастся развернуть бэкапы, пусть и на какую то прошлую дату, и восстановить данные. Во втором случае по некоторым системам/регионам/подразделениям восстановить данные не получится вовсе.

Представитель Wildberries настаивает на версии технических неполадок. «Компания в тот же день восстановила основной функционал. IT-специалисты продолжают работать над устранением ошибок: с 14 по 18 марта их количество снизилось в 100 раз», — сказал он. По данным Downdetector, на 18 марта количество ошибок составляет примерно 120: 67% пользователей жалуются на трудности с отслеживанием заказа, 23% на проблемы с приложением, 10% на веб-сайт.

По данным Wildberries, услугами маркетплейса пользуется 113 млн пользователей в месяц.

Как работает сервис сейчас

Представитель Wildberries подтверждает, что некоторые разделы клиентского сервиса до сих пор могут работать со сбоями, например, могут не отображаться текущие заказы в отдельных странах. В России функционал почти у всех пользователей восстановлен.

Несколько корреспондентов Forbes до сих пор наблюдают проблемы с отслеживание уже оплаченных заказов.

«Все заказы будут доставлены покупателям. В том случае, если код для получения заказа не отображается у покупателя в приложении или на сайте, товар можно получить в пункте выдаче с предъявлением документа, удостоверяющего личность», — говорит представитель маркетплейса. В компании подчеркивают, что персональная и финансовая информация, в том числе данные банковских карт, не пострадали. Компания продлила сроки возврата и хранения товаров в ПВЗ.

ПВЗ функционируют пока не в полную силу. В этом убедился корреспондент Forbes, посетив несколько пунктов. Работа идет медленно, с перерывами на сервисные работы, не всегда есть возможность принять, отсканировать посылки или сделать возвраты, жалуются сотрудники ПВЗ.

В официальных телеграмм-чатах Wildberries для продавцов последние пишут, что продолжают испытывать серьезные проблемы: их товар по прежнему не отображается в личных кабинетах, нет отчетов по остаткам, продажам и возвратам, не работает авторизация в системе «WB Партнеры», поэтому отправка товаров затруднена, кто то не получил выплат за реализованные товары. Многие жалуются на неожиданные снижения рейтинга (снижение может произойти за нарушение сроков поставки).

«Некоторые сервисы для продавцов работают с ошибками, но основной функционал доступен, — уверяет представитель маркетплейса. — К тому же компания, стремясь поддержать продавцов, отменила плату за хранение товаров на всех складах и на весь ассортимент, чтобы партнеры не несли дополнительных расходов. Выплаты за реализованные товары на этой неделе они были раньше графика. Отменен ряд штрафов за недопоставки товаров».