Эпический хак и эпический провал: только так и можно назвать несчастье, постигшее этой весной крупнейший (или, вспоминая успехи китайцев, один из самых крупных) интернет-аукционов, eBay. Он был взломан и потерял невероятное количество записей о своих клиентах. Впрочем, история эта поучительна даже не масштабом самого хака (воистину, для взломщиков не существует слишком крупных компаний), а его последствиями: eBay, очевидно как раз полагавшая себя слишком большой, чтобы быть уязвимой для мелочей жизни, повела себя далеко не лучшим образом, чем многократно усугубила кризис.
Но обо всём по порядку. Как точно известно теперь, в конце зимы в локальную сеть компании (через аккаунты трёх её сотрудников, о том не подозревавших) проникли неизвестные. Орудовали они там около месяца и в конце концов смогли добраться до и вынести наружу базы данных, содержащие пароли и значительную часть личной информации о клиентах (имена, телефоны, физические адреса и адреса электронной почты, даты рождения). Предполагается, что в руках злоумышленников оказались сведения о 145 миллионах человек, но возможно, что цифра и больше: украденные базы хранили информацию обо всех пользователях, которые когда-либо регистрировались на eBay.
К счастью, пароли хранились «в зашифрованном виде» (мы ещё вернёмся к этому позже), поэтому воспользоваться ими немедленно взломщики не могли. Но и времени на брутфорсинг у них оказалось предостаточно: о том, что внутри корпоративного периметра побывали чужаки, сисадмины eBay узнали только в начале мая. И лишь 21-го числа было опубликовано обращение к клиентам с просьбой пароли поменять.
В истории этой, помимо зашифрованных паролей, была ещё пара обстоятельств, которые должны были смягчить потенциально катастрофические последствия. Выяснилось, что eBay хранит номера клиентских пластиковых карт в отдельной базе, украсть которую не удалось — ну или, как выразилась пресс-служба, «нет свидетельств, что её украли» (что, вообще говоря, не одно и то же). Плюс к тому, проведённый срочный аудит логов «не выявил какой-либо подозрительной активности» на клиентских счетах. Всё это позволило предположить, что взломать украденные пароли не удалось. И это расслабило руководство компании — которое повело себя непростительно по отношению к клиентам.
Первой ошибкой стала задержка с признанием факта взлома. Считается, что компания медлила около двух недель, прежде чем наконец сознаться публично. Но и тогда сделала она это на сайте Ebayinc.com, где бывает мало кто из простого люда. Лишь в пятницу 23-го, после того как о случившемся прознала пресса, уведомление появилось на главном сайте (ebay.com), а некоторым (не всем!) клиентам были разосланы письма с предложением сменить пароли.
Увы, даже тут сотрудники eBay ухитрились начудить. Письма разослали только части клиентов, и ни из писем, ни из уведомления не было ясно, что же именно произошло. Формулировки оказались неполными и туманными, а на сайте PayPal (эта платёжная система давно уже часть eBay) вместо официального нотайса вовсе появилась какая-то сделанная наспех заготовка. PayPal играла тут особую роль, ведь она фактически хранит кошельки клиентов eBay — однако это никак не повлияло на качество объяснений: не было понятно, пострадал ли кто-то и как, не затронута ли PayPal (лишь позднее было подтверждено, что базы у неё отдельные и взломщики до них не добрались). Это подлило масла в огонь уже полыхавшей к тому моменту паники.
Однако третьей и последней каплей, переполнившей чашу терпения общественности, стала проявившаяся абсолютная неготовность eBay к той ситуации, в которой она оказалась. Она могла сделать, но не сделала обязательной двухфакторную авторизацию — что сильно снизило бы риски в случае взлома. Она могла, но не уведомила каждого пользователя, зашедшего в личный кабинет, о необходимости сменить пароль. Она могла даже обнулить пароли принудительно и разослать письма («ваш пароль удалён по соображением безопасности; пожалуйста, придумайте новый»), но не сделала и этого. Когда же в пятницу желающим обнулить пароль предложили специальную страничку на сайте, та, как выяснилось, не работала (её банально забыли протестировать).
К крупным кибервзломам Америке не привыкать: ещё не улеглись страсти вокруг хака сети магазинов Target, где потенциально пострадавшими оказались 40 млн человек. Но реакция eBay поразила всех. Она очевидно не задумывалась и не готовилась к возможности взлома. У неё не оказалось заранее подготовленного плана эвакуации, и действовать пришлось по обстановке, импровизируя, что плохо само по себе, не считая того, что eBay этого и не умела. Компания, ведущая бизнес с таким размахом, могла и должна была подготовиться!
В результате власти как минимум трёх американских штатов инициировали свои расследования, а Евросоюз и Великобритания собираются организовать такие же у себя. Вопрос везде один: как велика вина eBay в бедах, которые могут постичь её клиентов? Последние теперь рискуют не только своими деньгами, но и личностью: имейлы вкупе с другой личной информацией дают возможность посторонним организовывать эффективные социально-инженерные атаки как против самих клиентов eBay, так и от их имени (классическая кража личности).
Пожалуй, единственная польза, которую может извлечь общество из случившегося, заключается в достигнутом понимании, что компании всех размеров необходимо законодательно принудить оперативно раскрывать полную информацию о произошедших взломах и утечках пользовательских данных. Использовала eBay обратимое шифрование паролей — или же необратимо хешировала их (во втором случае взлом сложней)? Заботилась ли о защите своих баз от посторонних и надлежащим ли образом? Оплатит ли своим клиентам реалтаймовый мониторинг их пластиковых карт сроком, скажем, на год, на всякий пожарный случай (подвергшиеся взломам западные компании пока практикуют такое по доброй воле)?
Необходимость слышать ответы на эти вопросы ещё до того, как они будут заданы, назрела: сегодня компании, особенно крупные, столкнувшись с взломом, предпочитают отмалчиваться или затягивать раскрытие информации, принося безопасность клиентов в жертву собственному имиджу. Случай же eBay для нас особенно актуален: осенью туда планируется пустить российские юрлица.