Мой Битрикс24 взломали. Что делать? Пошаговое руководство по спасению данных и восстановлению работы

Как только вы обнаружили признаки взлома (несанкционированные действия в логах, странные сообщения от сотрудников, изменения в настройках), действуйте немедленно.

• Смена паролей администратора и пользователей:Зайдите в настройки Битрикс24 через аккаунт администратора (если доступ сохранен) и смените пароли для всех учетных записей, особенно с правами администрирования.
• Отключите активные сессии: В разделе «Настройки» → «Инструменты» → «Активные сессии» завершите все подозрительные подключения.

• Удалите неизвестные учетные записи.
• Отзовите права у сотрудников, которым не нужен расширенный доступ (например, ограничьте доступ к финансовым модулям или CRM).

Если она не была активирована ранее, сделайте это сейчас:«Настройки» → «Безопасность» → «Двухфакторная аутентификация».

Прежде чем восстанавливать систему, нужно понять масштаб проблемы.

В Битрикс24 перейдите в «Отчеты» → «Журнал событий». Фильтруйте записи по дате взлома. Ищите:

• Изменения в настройках.
• Экспорт данных (например, выгрузки контактов).
• Подозрительные действия в CRM или задачах.

Злоумышленники могли подключить вредоносные внешние сервисы. Проверьте: «Маркетплейс» → «Установленные приложения». Удалите неизвестные интеграции.

• Если злоумышленники имели доступ к CRM, оповестите клиентов о возможных фишинговых рассылках.
• Если подключены платежные системы (например, Битрикс24.Касса), заблокируйте транзакции и свяжитесь с банком.

Если вы регулярно создавали бэкапы (через «Настройки» → «Резервное копирование»), восстановите систему из последней «чистой» версии.

Даже если у вас облачная версия, техническая поддержка может помочь:

• Предоставить данные о подозрительных IP-адресах.
• Восстановить удаленные файлы из архивов (если бэкапов нет).

• Убедитесь, что Битрикс24 обновлен до последней версии.
• Внедрите принцип минимальных привилегий: сотрудники получают доступ только к необходимым инструментам.
• Регулярно меняйте пароли и используйте уникальные пароли для разных сервисов.

• Используйте встроенные инструменты: «Аналитика» → «Аудит безопасности».
• Установите внешние системы мониторинга (например, SIEM) для отслеживания аномалий.

90% взломов происходят из-за человеческого фактора: фишинг, простые пароли. Проведите тренинг по:

• Распознаванию подозрительных писем.
• Правилам создания сложных паролей.

Настройте автоматическое резервное копирование не только данных Битрикс24, но и связанных сервисов (почта, телефония).

Если произошла утечка персональных данных клиентов:

• Уведомите регулятора: в РФ это Роскомнадзор. Срок — 72 часа с момента обнаружения.
• Информируйте клиентов: сообщите о случившемся и дайте рекомендации (например, сменить пароли).