Jaguar Land Rover сбросил пароли 30 000 сотрудников после кибератаки

После кибератаки в сентябре 2025 года Jaguar Land Rover (JLR) провёл принудительный сброс паролей для всех 30 тысяч сотрудников. Каждый из них был обязан явиться в офис лично — чтобы исключить риск того, что учётными записями управляют злоумышленники.

Об этом решении на конференции Infosecurity Europe 3 июня 2026 года рассказал экс-групповой директор по информационной безопасности JLR, а ныне глава компании Zyn Global Эшиш Шрестха. По его словам, главной задачей в первые часы после атаки было проверить, не скомпрометирована ли корпоративная среда Microsoft 365. Без этого нельзя было использовать её для внутренней связи во время реагирования на инцидент.

Если бы следы взлома в Microsoft 365 подтвердились, этот канал пришлось бы полностью исключить из работы. Поэтому компания решила убедиться в подлинности каждой учётной записи до того, как продолжить работу в штатном режиме.

Явных признаков компрометации учётных данных не было, однако Шрестха инициировал принудительный сброс паролей и многофакторной аутентификации для всех сотрудников. Смену пароля требовалось провести лично и при сотруднике ИБ-команды. Это исключало риск того, что злоумышленник, сохранивший доступ к чужой учётной записи, мог бы сменить пароль раньше законного владельца.

Атака нанесла JLR значительный ущерб. Производство и продажи были остановлены на несколько недель, что повлекло падение выручки в последующие месяцы. Совокупный ущерб для экономики Великобритании оценивается в £1,9 млрд (около $2,55 млрд). Последствия инцидента затронули 5 тысяч компаний в цепочке поставок, что делает эту атаку самой дорогостоящей в истории страны.

Ответственность за атаку взяла на себя группировка, связанная со Scattered Spider. Ранее она была причастна к атакам с применением программ-вымогателей на британских ритейлеров Marks & Spencer и The Co-op.