Киберугроза для роутеров Keenetic: утечка данных миллионов россиян поставила под сомнение безопасность сетей

Пользователи маршрутизаторов Keenetic, преимущественно из России, стали жертвами серьезной утечки данных, в результате которой в общественный доступ попали конфиденциальные учетные записи, сетевые параметры, логи активности и другая чувствительная информация. Эти данные могут дать злоумышленникам возможность получить удаленный доступ к затронутым сетям. Информацией об утечке поделился анонимный источник с командой Cybernews, а 17 марта производитель подтвердил данный инцидент, уточнив, что первичный сигнал о несанкционированном доступе к базе мобильного приложения поступил 15 марта 2023 года от независимого кибербезопасного исследователя.

Источник передал данные, попавшие в утечку, по электронной почте в Cybernews, где они были подтверждены. Компрометация затронула миллионы записей: 1 034 920 записей с электронными адресами, именами, языковыми настройками, идентификаторами Keycloak, номером сеткового заказа и Telegram Code ID; 929 501 запись с техническими данными об устройствах: SSID и пароли Wi-Fi, модели роутеров, серийные номера, интерфейсы, MAC-адреса и доменные имена для удаленного доступа; 558 371 конфигурация устройств, содержащая учетные записи пользователей, пароли, закодированные уязвимым методом MD5, назначенные IP-адреса и маршрутизирующие параметры; более 53,8 миллиона записей активности, включая хостовые имена, MAC- и IP-адреса, параметры доступа и специальные метки, такие как «owner_is_pirate».

Утечка затронула пользователей мобильного приложения, зарегистрированных до 16 марта 2023 года, что подтвердил разработчик Keenetic, добавив, что компрометация касалась ограниченного набора данных. Оценка компании предполагает, что в открытый доступ могли попасть идентификаторы Keycloak, электронные адреса (логины), имена учетных записей, языковые настройки; конфигурации аккаунтов, в том числе пароли, закодированные по алгоритмам MD5 и NT; настройки сетевых интерфейсов: SSID Wi-Fi и предустановленные ключи; пользовательские доменные имена в системе KeenDNS; параметры Wi-Fi, включая номера каналов, roaming ID и ключи шифрования; политики IP и правила управления трафиком; адреса удаленных узлов, логины и пароли VPN-клиентов; назначенные IP-адреса, имена и MAC-адреса зарегистрированных устройств; конфигурации IPsec Site-to-Site и IPsec Virtual-IP Server; настройки DHCP и параметры времени (NTP); списки доступа по IP- и MAC-адресам.

При этом компания заверила, что не хранит и не анализирует данные о платежных картах, банковских операциях и финансовых паролях, поэтому такая информация не попала в утечку.

После подтверждения факта утечки проблема была устранена в второй половине дня 15 марта 2023 года. Производитель также отметил, что исследователь, который выявил уязвимость, не распространял данные и уничтожил их. С того времени и по конец февраля 2025 года не было зафиксировано новых случаев компрометации базы данных или атак, связанных с утечкой информации.

Анализ данных о геолокации пользователей показывает, что основной удар пришелся на российских пользователей. Среди скомпрометированных учетных записей числятся: 943 927 русскоязычных, 39 472 англоязычных и 48 384 турецкоязычных пользователей.