Шведският автомобилен гигант Scania потвърди, че е станал жертва на киберинцидент, при който злонамерени лица са получили неоторизиран достъп до системата ѝ за финансови услуги, използвайки компрометирани идентификационни данни. Вследствие на атаката са откраднати документи, свързани със застрахователни претенции, съдържащи лична и чувствителна информация.

Как се е случил пробивът?

Атаката е осъществена на 28 и 29 май 2025 г., когато нападателят е използвал валидни идентификационни данни на външен ИТ партньор, за да получи достъп до приложението insurance.scania.com, използвано от Scania за обработка на застрахователни документи. Според официално изявление на компанията:

„Настоящото предположение е, че използваните от нападателя идентификационни данни са били източени чрез зловреден софтуер от типа password stealer.“

След компрометирането на акаунта, нападателят е изтеглил застрахователни документи, които вероятно съдържат лични, медицински и финансови данни. Броят на засегнатите лица все още не е уточнен.

Изнудване и изтичане на данни

След пробива, Scania е била обект на директна кампания за изнудване. На 30 май, няколко служители на компанията са получили имейли от адрес в ProtonMail, съдържащи заплахи за публично разкриване на откраднатите данни, ако не бъдат изпълнени исканията на нападателите.

Малко по-късно заплахите са били повторени от компрометиран трети имейл акаунт, а част от данните вече са публикувани в хакерски форуми от лице с псевдонима Hensi. Публикацията предлага достъп до информацията срещу заплащане, като хакерът се обръща към потенциален „ексклузивен купувач“.

Контекст и потенциални последици

Scania е водещ производител на тежкотоварни камиони, автобуси и двигатели, част от групата Volkswagen, с над 59 000 служители и годишни приходи от 20,5 милиарда долара. Само през последната година компанията е продала над 100 000 превозни средства в световен мащаб.

Изтичането на чувствителна информация, като застрахователни искове, може да има тежки последствия за поверителността и сигурността на клиентите, партньорите и служителите на Scania. Данните от подобни документи често съдържат:

• Имена, адреси и ЕГН/идентификатори;

• Медицински диагнози или доклади;

• Банкова и финансова информация;

• Данни, използвани от застрахователи за оценки на риска.

Реакция и текущо състояние

Scania заяви, че:

• Приложението insurance.scania.com вече не е достъпно онлайн;

• Стартирано е вътрешно разследване;

• Служителите и клиентите са информирани за инцидента;

• Работи се в тясно сътрудничество с експерти по киберсигурност и регулаторни органи.

Изводи и препоръки

Случаят със Scania отново демонстрира колко уязвими могат да бъдат външните доставчици и техните системи, когато не са адекватно защитени. Сред основните изводи:

• Компрометирани ИТ партньори = компрометирани вътрешни системи;

• Използване на слабости в supply chain е честа тактика на съвременните заплахи;

• Многофакторна автентикация и сегментация на достъпа са задължителни;

• Активно наблюдение на имейл и външна комуникация може да предотврати изнудване;

• Регулярни тестове и обучение трябва да включват и партньорите на организацията.