“Безопасность данных, это не про двери, замки и предупреждения на входе. Это про людей. И, как оказалось, за небольшие деньги можно получить ключи от любого хранилища, просто позвонив не по тому телефону. Это история не о взломе, а о том, как доверие и забывчивость продаются на открытом рынке”
.
Старые корпоративные учетные записи, ключи и пароли, оставленные в почте после увольнения, логины для резервного копирования в сторонних сервисах — всё это остаётся «живым» и доступным бывшим сотрудникам месяцами и годами. Злоумышленнику не нужны уязвимости нулевого дня или специальные программы. Ему нужно найти человека, который покинул компанию, и купить у него цифровые ключи.
Рынок цифровых артефактов
После увольнения сотрудник формально теряет доступ к корпоративным системам. Но в реальности десятки «цифровых следов» остаются в его личном пространстве. Это не только логины и пароли для тестовых и вспомогательных сервисов, которые часто создаются на корпоративную почту. Гораздо опаснее токены доступа API, SSH-ключи, оставленные на личном компьютере или в облачном хранилище, логи для панелей управления хостингом или резервного копирования данных. Эти артефакты дают неявный, но часто полный доступ к инфраструктуре, который система контроля учётных записей (IAM) может не отслеживать.
В российском сегменте IT-специалистов есть неформальный рынок обмена доступом. Он существует на стыке технической помощи и нарушения договорных обязательств. Бывший сотрудник, особенно системный администратор или IT-директор, может за символическую сумму предоставить «временный» доступ к панели управления или передать файл с ключами «для настройки». Покупателем часто выступает не хакер, а конкурент или агент, желающий получить коммерческую информацию, базу клиентов или просто дестабилизировать работу.
.
Стоимость доступа: от двух тысяч рублей до договорённости
Сумма в заголовке — не вымысел. Она отражает нижнюю границу рынка. За две-три тысячи рублей можно купить логин и пароль от тестовой среды, панели управления сайтом или старой, но работающей, учётной записи в системе резервного копирования. Этот доступ часто рассматривается продавцом как «технический мусор», не имеющий ценности. Однако через тестовую среду можно изучить архитектуру приложения, найти уязвимости, которые потом эксплуатировать в продуктивной системе. Доступ к панели резервного копирования — это, по сути, доступ ко всем данным компании на момент последнего бэкапа.
Более серьёзные доступы — к системам управления базами данных, корпоративным облачным хранилищам, административным панелям CRM — стоят дороже. Цена формируется не только от потенциального ущерба, но и от готовности бывшего сотрудника нарушить NDA (соглашение о неразглашении). Часто сделка маскируется под «консультационные услуги», где оплачивается час работы, а по факту передаются учетные данные.
Почему это работает: пробелы в процедурах offboarding
Ключевая причина уязвимости — формальный подход к процедуре вывода сотрудника из штата (offboarding). В фокусе внимания HR и IT-службы обычно находятся очевидные вещи: отключение корпоративной почты, доступов к 1С, VPN и основным бизнес-системам. Но параллельная IT-инфраструктура остаётся без внимания.
Что обычно упускают:
- Внешние SaaS-сервисы: Учётные записи в сервисах мониторинга, аналитики, управления проектами (например, Jira, Confluence, если они облачные), в CDN, у регистраторов доменов. Сотрудник регистрировался на них с корпоративной почты, доступ к которой теперь закрыт, но пароль мог быть сохранён в его браузере, а восстановление часто происходит через личную почту или SMS.
- API-токены и ключи доступа: Они генерируются для интеграций и имеют длительный или бессрочный срок жизни. Ротация (замена) ключей при уходе сотрудника — редкая практика.
- Инфраструктура разработки и тестирования: Репозитории кода (GitLab, GitHub), контейнерные реестры, среды staging. Права доступа там выставляются разово и забываются.
- Резервные копии и системы аварийного восстановления: Логины для доступа к внешним хранилищам бэкапов или панелям управления виртуальными машинами.
У бывшего IT-директора или сисадмина на личном ноутбуке, в менеджере паролей или даже в блокноте могут годами храниться подобные данные. При этом он юридически уже не связан с компанией, и стандартные средства контроля внутренних угроз здесь бессильны.
Как защититься: не надеяться на честность
Защита строится не на доверии к бывшим сотрудникам, а на технических и организационных барьерах, которые делают использование старых доступов невозможным или сразу заметным.
Обязательные шаги при увольнении ключевых IT-специалистов:
- Полная ротация всех секретов: Необходимо заменить все пароли, API-токены, SSH-ключи, сертификаты клиентов, которые могли быть сгенерированы или известны увольняемому сотруднику. Это болезненная, но необходимая процедура.
- Аудит внешних сервисов: Составить полный реестр всех SaaS, облачных сервисов и внешних подрядчиков, где могла быть зарегистрирована учётная запись. Проверить список пользователей в каждом и отозвать доступ.
- Мониторинг активности от имени уволенного: Настроить алерты в системах логирования и мониторинга на любую активность, связанную с логинами или токенами, принадлежавшими уволенному сотруднику, даже если доступ формально отозван.
- Юридическое сопровождение: Чёткое прописывание в трудовом договоре и NDA обязанности сотрудника сдать все цифровые ключи и артефакты, а также ответственности за их хранение и использование после увольнения. Важно, чтобы это было не просто формальностью, а реальным инструментом давления.
Профилактические меры:
- Использовать корпоративные менеджеры паролей (например, Vault) с привязкой учётных записей к Active Directory. При увольнении доступ ко всему хранилищу отзывается одной операцией.
- Внедрить систему управления привилегированным доступом (PAM), которая выдаёт доступ к критичным системам на сессию, по запросу и с обязательной записью всех действий.
- Регулярно (раз в квартал) проводить инвентаризацию всех учетных записей, токенов и ключей во внешних и внутренних системах, сверяя их с актуальным штатным расписанием.
.
Заключение
Инцидент, начинающийся с покупки доступа за две тысячи рублей, чаще всего приводит к ущербу на порядки большим. Проблема лежит в области управления цифровыми идентификаторами и слепыми зонах в процессах. Безопасность данных, это непрерывный процесс очистки цифрового периметра от старых, ненужных, но всё ещё действующих ключей. Самый опасный ключ — тот, о существовании которого уже забыли все, кроме одного человека, который может продать его за сумму, сравнимую со стоимостью хорошего ужина в ресторане.