Компания Zomato уступила хакерам, которые завладели ее базой данных пользователей и объявила о выдаче вознаграждения за будущие найденные уязвимости.
Специалист по безопасности, по его словам, ранее предупреждал о слабой защите данных, однако реакции со стороны руководства Zomato не дождался. Поэтому решил продемонстрировать на практике, что бывает, если разработчик игнорирует требования современного интернета.
История одной базы данных
19 мая, всего через неделю после того, как компьютерный вирус WannaCry парализовал работу компьютеров в около 150 странах мира и повлиял на функционирование таких конгломератов, как Renault, британские больницы и немецкие железные дороги, интернет-агрегатор в области ресторанного бизнеса Zomato объявил о хакерской атаке на свой сайт.
Услугами индийского стартапа, что сегодня имеет представительства в 24 странах мира, включая, в частности, Австралию, Канаду, Сингапур, Новую Зеландию, США и Южную Африку, пользуется около 120 млн посетителей ежемесячно. Из базы данных были похищены сведения про 17 млн пользователей. К счастью, по словам Zomato, в руки хакеров попали имена пользователей, адреса их электронной почты и пароли к аккаунтам в Zomato. Платежная информация и данные банковских карт не были скомпрометированы.
Уже на следующий день Zomato обратились к 6,6 млн пользователей, пароли которых «могут быть теоретически расшифрованы», с просьбой обновить безопасность их учетных записей. Почти одновременно на ресурсе Hackread.com, специализирующейся на обсуждении темы интернет-безопасности, появилась информация о том, что ответственным за взлом оказался хакер под именем «nclay», который уже выложил базу данных на продажу в даркнете примерно за тысячу долларов.
Ответ компании «белым» хакерам
Zomato тоже быстро отреагировали. В своем блоге компания заявила, что хакер согласился не продавать данные в сети и удалить их из темного веба:
«Хакер пошел на сотрудничество с нами. Он/она хочет, чтобы мы признали уязвимости безопасности в системе и сотрудничали с «белыми» хакерами с целью их устранения».
По словам технического специалиста Zomato Гунжи Патидара (Gunja Patidar), уже скоро компания разместит на сайте Hackerone программу с вознаграждениями за обнаруженные хакерами и внешними специалистами по безопасности уязвимости в защите, а хакер, что стоит за этой атакой, согласился (согласилась) уничтожить все копии похищенных данных. Более того, хакер также оказал (оказала) компании подробную информацию о том, как ему/ей удалось получить доступ к этой базе данных. «Мы разместим эту информацию в нашем блоге, как только исправим положение, чтобы другие могли учиться на наших ошибках».
В интернете начались оживленные обсуждения того, можно ли считать такую договоренность окончательной гарантией безопасности пользовательских данных. Однако nclay позиционирует себя этичным хакером, а потому есть основания доверять ему и ждать окончательного удаления пользовательских данных из даркнета. Впрочем, компаниям не стоит рассчитывать на устойчивые моральные принципы всех хакеров, а попробовать выучиться на чужих ошибках — не следует экономить на безопасности данных.