Компанія Zomato поступилася хакерам, які заволоділи її базою даних користувачів, та оголосила про видачу винагороди за майбутні знайдені вразливості. Спеціаліст з безпеки, за його словами, раніше попереджав про слабкий захист даних, однак реакції з боку керівництва Zomato не дочекався. Тому вирішив продемонструвати на практиці, що буває, якщо розробник ігнорує вимоги сучасного інтернету.
Історія однієї бази даних
19 травня, всього через тиждень після того, як комп’ютерний вірус WannaCry паралізував роботу комп’ютерів у близько 150 країнах світу і вплинув на функціонування таких конгломератів, як Renault, британські лікарні та німецькі залізниці, інтернет-агрегатор у галузі ресторанного бізнесу Zomato оголосив про хакерську атаку на свій сайт.
Послугами індійського стартапу, що сьогодні має представництво у 24 країнах світу, включаючи, зокрема, Австралію, Канаду, Сінгапур, Нову Зеландію, США та Південну Африку, користується близько 120 млн відвідувачів щомісяця. З бази даних компанії було викрадено інформацію про 17 млн користувачів. На щастя, за словами Zomato, до рук хакерів потрапили лише імена користувачів, адреси їх електронної пошти та паролі до облікових записів у Zomato. Платіжна інформація та дані банківських карток не були зкомпрометовані.
Вже наступного дня Zomato звернулися до 6,6 млн користувачів, паролі яких «можуть бути теоретично розшифровані», з проханням оновити безпеку їх облікових записів. Майже одночасно на ресурсі Hackread.com, що спеціалізується на обговоренні тем інтернет-безпеки, з’явилася інформація про те, що відповідальним за злом виявився хакер під ім’ям «nclay», який вже виклав базу даних на продаж у даркнеті приблизно за тисячу доларів.
Так виглядав лот із даними Zomato в даркнеті
Відповідь компанії «білим» хакерам
Zomato теж швидко відреагували. У своєму блозі компанія заявила, що хакер погодився не продавати дані в мережі та видалити їх з темного вебу:
«— Хакер пішов на співпрацю з нами. Він/вона хоче, щоб ми визнали уразливості безпеки в нашій системі та співпрацювали з «білими» хакерами з метою їх усунення».
За словами технічного спеціаліста Zomato Гунжи Патідара (Gunja Patidar), вже скоро компанія розмістить на сайті Hackerone програму з винагородами за виявлені хакерами та зовнішніми спеціалістами з безпеки вразливості у захисті, а хакер, що стоїть за цією атакою, погодився (погодилась) знищити всі копії викрадених даних. Більше того, хакер також надав (надала) компанії детальну інформацію про те, як йому/їй вдалося отримати доступ до цієї бази даних. «Ми розмістимо цю інформацію у нашому блозі, як тільки виправимо становище, щоб інші могли вчитися на наших помилках».
В інтернеті почалися жваві обговорення того, чи можна вважати таку домовленість остаточною гарантією безпеки користувацьких даних. Однак nclay позиціонує себе етичним хакером, а тому є підстави довіряти йому і чекати на остаточне видалення користувацьких даних з даркнету. Втім, компаніям не варто розраховувати на стійкі моральні принципи всіх хакерів, а спробувати вивчитися на чужих помилках — не слід економити на безпеці даних.
ТАКОЖ ПРО БЕЗПЕКУ В ІНТЕРНЕТІ:
За матеріалами VentureBeat, індійської преси, переклад підготувала Ірина Гоял, спеціально для «Блог Imena.UA»