Эпический хак и эпический провал: лишь так и возможно назвать несчастье, постигшее данной весной наибольший (либо, вспоминая удачи китайцев, один из самых больших) интернет-аукционов, eBay. Он был взломан и утратил немыслимое количество записей о собственных клиентах. Но, история эта поучительна кроме того не масштабом самого хака (воистину, для взломщиков не существует через чур больших компаний), а его последствиями: eBay, разумеется именно полагавшая себя через чур большой, дабы быть уязвимой для мелочей судьбы, повела себя далеко не лучшим образом, чем многократно усугубила кризис.
Но обо всём по порядку. Как совершенно верно известно сейчас, в феврале в локальную сеть компании (через аккаунты трёх её работников, о том не подозревавших) пробрались малоизвестные. Орудовали они в том месте около месяца и в итоге смогли добраться до и вынести наружу базы данных, которые содержат пароли и большую часть личной информации о клиентах (имена, телефоны, адреса и физические адреса электронной почты, даты рождения). Предполагается, что в руках преступников были сведения о 145 миллионах человек, но быть может, что цифра и больше: похищенные базы хранили данные обо всех пользователях, каковые когда-либо регистрировались на eBay.
К счастью, пароли хранились «в зашифрованном виде» (мы ещё возвратимся к этому позднее), исходя из этого воспользоваться ими срочно взломщики не могли. Но и времени на брутфорсинг у них выяснилось предостаточно: о том, что в корпоративного периметра побывали чужаки, сисадмины eBay определили лишь в первых числах Мая. И только 21-го числа было опубликовано обращение к клиентам прося пароли поменять.
В истории данной, кроме зашифрованных паролей, была ещё пара событий, каковые должны были смягчить возможно катастрофические последствия. Стало известно, что eBay хранит номера клиентских пластиковых карт в отдельной базе, похитить которую не удалось — ну либо, как выразилась пресс-служба, «нет свидетельств, что её похитили» (что, по большому счету говоря, не одно да и то же). Плюс к тому, совершённый срочный аудит логов «не распознал какой-либо странной активности» на клиентских квитанциях. Всё это разрешило высказать предположение, что взломать похищенные пароли не удалось. И это расслабило управление компании — которое повело себя непростительно по отношению к клиентам.
Первой неточностью стала задержка с признанием факта взлома. Считается, что компания медлила примерно половину месяца, перед тем как наконец сознаться публично. Но и тогда сделала она это на сайте Ebayinc.com, где не редкость мало кто из несложного люда. Только в пятницу 23-го, по окончании того как о произошедшем прознала пресса, уведомление показалось на главном сайте (ebay.com), а некоторым (не всем!) клиентам были разосланы письма с предложением поменять пароли.
Увы, кроме того тут сотрудники eBay ухитрились начудить. Письма разослали лишь части клиентов, и ни из писем, ни из уведомления не было очевидным, что же как раз случилось. Формулировки были неполными и туманными, а на сайте PayPal (эта платёжная совокупность в далеком прошлом уже часть eBay) вместо официального нотайса вовсе показалась какая-то сделанная наспех заготовка. PayPal игралась тут особенную роль, поскольку она практически хранит кошельки клиентов eBay — но это никак не оказало влияние на уровень качества объяснений: не было ясно, пострадал ли кто-то и как, не затронута ли PayPal (только позднее было подтверждено, что базы у неё отдельные и взломщики до них не добрались). Это подлило масла в пламя уже полыхавшей к тому моменту паники.
Но третьей и последней каплей, переполнившей чашу терпения общественности, стала проявившаяся полная неготовность eBay к той ситуации, в которой она была. Она имела возможность сделать, но не сделала необходимой двухфакторную авторизацию — что очень сильно снизило бы риски при взлома. Она имела возможность, но не уведомила каждого пользователя, зашедшего в персональный кабинет, о необходимости поменять пароль. Она имела возможность кроме того обнулить пароли принудительно и разослать письма («ваш пароль удалён по мыслью безопасности; прошу вас, придумайте новый»), но не сделала и этого. В то время, когда же в пятницу желающим обнулить пароль внесли предложение особую страничку на сайте, та, как выяснилось, не трудилась (её очевидно забыли протестировать).
К большим кибервзломам Америке не привыкать: ещё не улеглись страсти около хака сети магазинов Target, где возможно пострадавшими были 40 млн человек. Но реакция eBay поразила всех. Она разумеется не вспоминала и не подготавливалась к возможности взлома. У неё не выяснилось заблаговременно подготовленного замысла эвакуации, и функционировать было нужно по обстановке, импровизируя, что не хорошо само по себе, не считая того, что eBay этого и не умела. Компания, ведущая бизнес с таким размахом, имела возможность и должна была готовиться!
В следствии власти как минимум трёх американских штатов инициировали собственные расследования, а Великобритания и Евросоюз планируют организовать такие же у себя. Вопрос везде один: насколько велика вина eBay в бедах, каковые смогут постичь её клиентов? Последние сейчас рискуют не только собственными деньгами, но и личностью: имейлы вкупе с другой личной информацией позволяют посторонним организовывать действенные социально-инженерные атаки как против самих клиентов eBay, так и от их имени (хорошая кража личности).
Пожалуй, единственная польза, которую может извлечь общество из произошедшего, содержится в достигнутом понимании, что компании всех размеров нужно законодательно принудить оперативно раскрывать все данные о случившихся утечках и взломах пользовательских данных. Применяла eBay обратимое шифрование паролей – либо же необратимо хешировала их (во втором случае взлом сложней)? Заботилась ли о защите собственных баз от посторонних и надлежащим ли образом? Оплатит ли своим клиентам реалтаймовый мониторинг их пластиковых карт сроком, скажем, на год, на каждый пожарный случай (подвергшиеся взломам западные компании до тех пор пока практикуют такое по хорошей воле)?
Необходимость слышать ответы на эти вопросы ещё перед тем, как они будут заданы, назрела: сейчас компании, в особенности большие, столкнувшись с взломом, предпочитают отмалчиваться либо затягивать раскрытие информации, принося безопасность клиентов в жертву собственному имиджу. Случай же eBay для нас особенно актуален: в осеннюю пору в том направлении планируется разрешить войти российские юрлица.
В статье использованы иллюстрации Leo Fung, Brian Cantoni, Fastcompany.