АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Мониторинг утечек корпоративных паролей: проверяем домен компании на слив данных

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-16
Мониторинг утечек корпоративных паролей: проверяем домен компании на слив данных

Три года назад мне позвонил клиент — бухгалтерская фирма на восемнадцать человек — и сказал, что ночью кто-то зашёл в их 1С через RDP и почистил базу контрагентов. Разбирались двое суток. Оказалось, пароль главбуха утёк ещё в 2019 году вместе с базой одного кулинарного форума, где она когда-то зарегистрировалась той же почтой и тем же паролем, что и на работе. С тех пор я проверяю утечки паролей клиентов не раз в год перед аудитом, а постоянно, в фоне, автоматом. Расскажу, как это устроено и почему это стоит копейки по сравнению с тем, что случится, если не проверять.

Почему бухгалтерия и юрфирма — не менее лакомая цель, чем банк

Директора небольших компаний обычно считают, что хакеров интересуют банки, Сбер, крупный ритейл. Логика понятная: там деньги. Но у банка служба безопасности из тридцати человек и SOC, который смотрит логи круглосуточно. А у юрфирмы на пятнадцать человек — админ на аутсорсе, который заходит раз в месяц поставить обновления. Догадайтесь, куда пойдёт злоумышленник, если ему нужен не миллиард, а просто быстрые деньги или доступ к персональным данным клиентов.

У меня был случай с медицинской клиникой в Подмосковье. Через утёкший пароль администратора получили доступ к базе пациентов — почти четыре тысячи карт с диагнозами и телефонами. По 152-ФЗ штраф за утечку персональных данных доходит до 15 миллионов рублей, а ещё есть репутационный удар, от которого маленькая клиника может просто не отойти. Никто туда не ломился специально месяцами. Просто у одного сотрудника пароль от рабочей почты совпадал с паролем от сайта бронирования отелей, который слили в 2021 году.

Что вообще значит «утечка» и откуда берутся эти базы

Утечка — это не обязательно взлом вашей компании. Чаще всего происходит наоборот: слили какой-то третий сервис, а ваш сотрудник там зарегистрировался рабочей почтой. Регистрировался на форуме про рыбалку, в интернет-магазине запчастей, в приложении для доставки еды — где угодно. База этого сервиса утекла, попала на хакерский форум, оттуда — в сборные компиляции вроде Collection #1 (773 миллиона адресов) или RockYou2024, где почти десять миллиардов строк логин-пароль.

Эти компиляции гуляют свободно, их можно скачать на torrent-трекерах, купить на теневых форумах за смешные деньги, найти куски в открытых Telegram-каналах. И вот ваш employee@company.ru лежит там рядом с паролем, который он использует уже семь лет, потому что «так проще запомнить». Проблема не в том, что базу украли у вас. Проблема в повторном использовании пароля — а это делают, по разным оценкам, больше половины пользователей.

Have I Been Pwned: бесплатный вход и что он на самом деле показывает

Первое, с чего я начинаю на любом аудите — haveibeenpwned.com, детище австралийского исследователя Троя Ханта. Вбиваете один email — бесплатно и мгновенно видите, в каких известных утечках он засветился. Для проверки одного ящика бухгалтера этого достаточно. Но если у вас домен company.ru и пятнадцать почтовых ящиков, вбивать их по одному руками — так себе занятие для директора.

У HIBP есть Domain Search — проверка сразу всего домена. Но чтобы его подключить, нужно подтвердить, что домен ваш: добавить в DNS TXT-запись с уникальным кодом, который выдаёт сервис. Это займёт минут десять, если у вас есть доступ к DNS-зоне (у нас, например, это делается через панель регистратора или через Cloudflare, если он уже настроен). После подтверждения открывается дашборд со всеми ящиками домена, которые засветились хоть в одной утечке, и с какой конкретно.

Важная оговорка: HIBP показывает только то, что уже стало публично известно и попало в его базу — а это сотни, но не все утечки в природе. Свежий слив, который ещё гуляет только по закрытым чатам, там появится с задержкой в недели или месяцы. Это не единственный инструмент, но это фундамент, с которого стоит начать, потому что он бесплатный и покрывает основные крупные компиляции.

Как поставить это на автомат — Domain Search, API и телеграм-бот

Вручную заходить на сайт раз в квартал — это уже лучше, чем ничего, но всё равно похоже на проверку пожарной сигнализации раз в год. Утечка может случиться в понедельник, а вы узнаете о ней в марте на плановом аудите. Поэтому у нас в «АйТи-Фреш» это автоматизировано под каждого клиента, у кого проверяли безопасность.

Схема простая. У HIBP есть платный API-ключ, младший тариф стоит около 3,5 доллара в месяц — для домена с десятками ящиков этого хватает с запасом. Пишется небольшой скрипт на Python, который раз в сутки дёргает API по всем ящикам домена, сравнивает результат с тем, что было вчера, и если появилась новая утечка — шлёт сообщение в Telegram. У меня это уходит прямо в бота, тот же, что шлёт мне алерты по серверам, только отдельным каналом на клиента. Заодно скрипт автоматически заводит задачу в Planfix на ответственного айтишника, чтобы дело не потерялось среди прочих писем.

Если совсем не хочется писать код — можно взять готовые сервисы уровня DeHashed или Constella Intelligence, там есть подписка с оповещениями по email на весь домен из коробки, стоит дороже, от 20-30 долларов в месяц, зато без программирования. Для компании с приличным бюджетом на безопасность есть ещё SpyCloud — он смотрит глубже, включая credentials, украденные инфостилерами прямо с компьютеров сотрудников, а не только старые компиляции.

Что я советую проверять кроме HIBP

HIBP — это база известных утечек, а есть ещё живой теневой рынок, где базы продают и обмениваются прямо сейчас, до того как они станут «известными». Часть антивирусов уже встраивает такой мониторинг: у Kaspersky в бизнес-линейке есть Dark Web Monitoring, у Bitdefender GravityZone — похожая функция, у Microsoft 365 в тарифе Defender for Office 365 план 2 есть встроенное оповещение о скомпрометированных учётках. Если у вас уже стоит один из этих продуктов — не обязательно городить отдельный скрипт, включите то, что уже оплачено.

Второй момент, который часто упускают — сам домен и внешний периметр. Мы регулярно прогоняем внешний IP клиентов через Shodan и смотрим, не торчит ли наружу RDP на 3389 порту без VPN — потому что даже без единой утечки пароля перебор по словарю через открытый RDP до сих пор один из самых частых способов попасть в сеть маленькой компании. Утёкший пароль плюс открытый RDP — это уже не вопрос «если», а вопрос «когда».

Письмо пришло — что делать в первые 24 часа

Оповещение о новой утечке — это не повод для паники, но и не повод отложить на пятницу. Первым делом — сброс пароля у конкретного сотрудника, причём в Active Directory это делается одной командой PowerShell (Set-ADAccountPassword) на весь набор затронутых учёток разом, если утечка массовая. Дальше сразу проверяем, не совпадает ли этот пароль с паролями от VPN, от 1С, от почты — люди очень любят использовать один пароль сразу везде.

У одного клиента, юрфирмы на Кутузовском, мы получили оповещение вечером в четверг. Пока сбрасывали пароль, заодно подняли логи RDP-сервера за последнюю неделю — и нашли три неудачные попытки входа именно под этой учёткой, с IP из Вьетнама. Пароль ещё не подобрали, но явно пытались. Если бы не оповещение — узнали бы, скорее всего, уже по факту, когда что-то пропало бы из базы.

И отдельно — без нравоучений сотруднику. Объяснить простыми словами: утекла не ваша вина, утекла база какого-то сайта, где вы регистрировались, просто пароль совпал с рабочим. Это располагает людей сообщать о таких вещах самим, а не прятать, что зарегистрировался где-то не тем адресом.

Что я внедряю клиентам в первую неделю

Первое — политика паролей в AD: минимум 12 символов, обязательна проверка на схожесть со старыми, но без фанатичной смены каждые 30 дней — это уже устаревший подход, от которого отказался даже NIST в своих рекомендациях. Частая принудительная смена пароля просто заставляет людей менять «Пароль1!» на «Пароль2!», толку от такой безопасности ноль.

Второе — двухфакторная аутентификация везде, где технически можно её включить: почта, VPN, RDP-шлюз, критичные веб-сервисы. Для клиентов, у кого есть КриптоПро и работа с госорганами, это уже привычно, а вот обычную почту на два фактора закрывают процентов двадцать компаний, с которыми я начинаю работать. Это одна из первых вещей, которую я поднимаю на переговорах.

И третье — сам мониторинг утечек как постоянный процесс, а не разовая галочка в договоре на аудит. Стоит это условно 300-500 рублей в месяц на скрипт и API-подписку плюс время на настройку один раз. Сравните с тем, что стоит простой 1С на два дня во время расследования инцидента, или со штрафом по 152-ФЗ — и вопрос «а надо ли» отпадает сам собой.

Частые вопросы

Можно ли проверить утечки бесплатно, без подписок?
Да, разовая проверка одного email на haveibeenpwned.com бесплатна и займёт секунды. Для проверки всего домена сразу нужно подтвердить владение через DNS, это тоже бесплатно, но для регулярных автоматических оповещений на весь список ящиков понадобится платный API-ключ — недорогой, около 3,5 доллара в месяц.

Нужно ли предупреждать сотрудников, что их корпоративную почту проверяют на утечки?
Однозначно да, и лучше прописать это в регламенте информационной безопасности компании. Речь не о слежке за личной жизнью, а о проверке публичных баз утечек по рабочему адресу — это стандартная гигиена, и открытость здесь только повышает доверие сотрудников к самой процедуре.

Что делать, если в утечке засветилась не рабочая, а личная почта сотрудника?
Формально это не ваша зона ответственности, но фактический риск для компании остаётся: если человек использует тот же пароль для личных и рабочих сервисов, утечка личного аккаунта угрожает и корпоративному доступу. Я обычно рекомендую клиентам мягко посоветовать сотрудникам менеджер паролей вроде Bitwarden и разные пароли для разных сервисов.

Как часто нужно проверять домен на утечки?
В идеале — ежедневно, и именно для этого имеет смысл автоматизация: разовая проверка раз в год на плановом аудите оставляет компанию без защиты на месяцы между проверками. Автоматический скрипт или платный сервис мониторинга закрывает этот разрыв и присылает оповещение почти сразу, как утечка попадает в базу.

Хотите, чтобы утечки паролей ваших сотрудников ловил бот, а не бухгалтер, обнаруживший пропажу денег со счёта?
Напишите нам в «АйТи-Фреш» — настроим мониторинг доменной почты и автоматические оповещения об утечках за один день.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи