Перевод Darknet Diaries - эпизод 2

Репортер: Во вторник, 15 декабря 2015 г, был арестован подозреваемый в деле о хакинге детких гаджетов VTech. Полиция Великобритании пару часов назад в ходе расследования, задержала 21-летнего мужчину. По предварительным данным, более 6,5 миллионов детских учетных записей и около 5 миллионов аккаунтов их родителей были взломаны в рамках самого вопиющего киберпреступления за последние годы. Утечки платежных данных удалось избежать, однако злоумышленники получили доступ к именам и адресам зарегистрированных детей, что не только бросило тень на VTech, но и само по себе крипово. Имя подозреваемого пока не раскрыто, но что-то нам подсказывает, что его ближайшие дни за решеткой будут не из приятных. Счастливых каникул, мудила.

С вами Дневники Даркнета, непридуманные истории из самых темных уголков интернета и я, Джек Райсайдер.

Сегодня дети, смотря на то, как их родители пользуются планшетами и телефонами, жаждут сами поиграться с гаджетами. Производители игрушек пытаются играть на этом, предлагая умные часы и планшеты для детей. Эти детские девайсы, как и любой обычный планшет, подключаемы к интернету и позволяют быть в онлайне. В них заложены фичи, позволяющие детям отправлять сообщения на телефоны их родителей. Но просто чатами они не ограничены.

Ребенок также может отправлять картинки, видео, голосовые сообщения. Одним из производителей подобных гаджетов является компания VTech. Фирма специализируется на создании планшетов, телефонов и приложений специально для детей. При покупке планшета VTech, он предлагает вам зарегистрировать устройство, спрашивая имена родителей, физический адрес, имя, пол и дату рождения ребенка и просит задать логин с паролем. Игрушка даже предлагает сделать фото для профиля ребенка с помощью камеры в самом планшете. После регистрации можно привязать девайс к телефону родителя с помощью технологии Kid Connect, принадлежащей VTech. У компании даже есть собственный магазин приложений под названием Learning Lodge, из которого с помощью фирменных планшетов можно скачивать приложения, игры и книги. Как думаете, что может случиться, попади такие девайсы в руки хакеров?

Те испытывают технику на прочность. Существует целый форум, посвященный взлому устройств VTech. И чего только люди с ними не делали: один умелец разобрал гаджет с помощью паяльника и влез в его операционку, которой оказался Linux. Оттуда хакеры нашли способ получить root-права на устройстве. Кто-то даже сумел играть на таком планшете в DOOM - тот самый, из 90-х. В хакерском сообществе есть поговорка: “Если ты не можешь это вскрыть, ты этим не владеешь”. Модифицировать собственную электронику так же законно, как копаться в собственной машине. Да, гарантия может слететь, но это не запрещает вам разобрать любой имеющийся у вас прибор и делать с ним, что вздумается. С ростом популярности форума пришли и другого рода хакеры – взламывающие сети, а не железо. Один такой взломщик, покопавшись в девайсе, заметил, что тот часто “общается” с сайтом planetvtech.com. И, зайдя на этот сайт, сразу заметил, что последний уязвим к SQL-инъекциям.

SQL-инъекции – это угроза №1 для вебсайтов. Они позволяют, пользуясь уязвимостями в коде, иметь доступ к базам данных, на которых стоит сайт. У хакеров, промышляющих подобным, зачастую есть готовый набор скриптов и программ, автоматически производящих атаки. Один такой хакер из чистого любопытства запустил скрипт, вскрывающий SQL planetvtech.com. К его удивлению, это сработало. Он получил полный доступ к сайту. Еще несколько кликов и бац – root-права. Хакер сказал, цитата: “Ебать. У меня root. Это было просто. Ну-ка, что ещё тут интересного?” Конец цитаты. Он получил полный доступ к сайту planetvtech.com. 100% контроль над ним. Заглянув на сервер, хакер увидел кучу других серверов сети VTech, включая сервер с базой данных. Зайдя на сервер с данными, он заметил, что база огромна. Взломщик скачал копии всех данных на серваке, прыгнул на другой, скачал копии и оттуда и покинул сеть.

Он знал, что преступил закон и нервозность хлынула волной по всему его телу. Этот взлом произошел 16 ноября 2015 г. Хакер был в равной степени расстроен и взбудоражен. Ему показалось, что влезть в сеть VTech было слишком уж просто. За короткий отрезок времени ему удалось скачать всё содержимое нескольких баз данных. Заполучив копию базы VTech на свой компьютер, хакер принялся, не торопясь, изучать данные. Первым, на что он обратил внимание была таблица под названием «Родитель». Она включала в себя следующие поля: Имя, Фамилия, E-Mail, Пароль, Секретный Вопрос, Секретный Ответ, Домашний Адрес, IP-Адрес. Просмотрев таблицу, хакер не поверил своим глазам – перед ним были данные 4,8 миллионов пользователей, зарегистрированных на сайте.

Список из 4,8 миллионов аккаунтов дорогого бы стоил в даркнете. Такую огромную базу можно загнать за круглую сумму в биткоинах, но хакер не собирался её продавать. Продолжив изучать данные, взломщик нашел еще одну интересную таблицу под названием «Участник». Она содержала имена детей, их даты рождения, пол и соответствующие учетки родителей. Сопоставив эти две таблицы, он мог с точностью определить фамилии и адреса детей, которых в таблице было 200,000. Средний возраст их составлял пять лет. Взломщик выключил компьютер и вышел прогуляться, думая, что с этим делать. Он был уже не столько взбудоражен, сколько зол. Его злило то, что VTech так безалаберно относится к безопасности своего сайта и что личные данные такого количества детей можно заполучить так просто. Он понял, что обязан заставить VTech признать и исправить свои косяки в безопасности. Хакер не приемлил такого беспечного отношения к персональным данным детей и стал думать, как поступить. Можно исправить проблему самому, но тогда это не станет уроком для VTech и те снова допустят такую ошибку в будущем. Можно было связаться с компанией, но взломщик подумал, что слушать его не будут, а признавать наличие проблемы откажутся. Несколько дней ушло на то, чтобы принять решение.

Хакер решил обратиться к СМИ. Так история разлетится по всему миру и VTech придется немедленно исправить ошибку. Он обратился к Лоренцо Франчески-Биккьераи, репортеру Motherboard. Motherboard – это онлайн-издание, специализирующееся на историях о компьютерах и IT-сфере, где Лоренцо опубликовал множество историй, связанных со взломами. Репортеры такого рода зачастую используют способы анонимно связаться с собой: будь то зашифрованные e-mail’ы и чаты, специфические сигналы и т.д. Хакер связался с Лоренцо с помощью безопасного соединения и попросил остаться анонимным. Он передал репортеру все 4,8 миллиона учеток пользователей и данные всех 200,000 детей и попросил составить об этом репортаж, ясно дав понять Лоренцо, что он честный хакер и не собирался использовать этот дамп данных со злым умыслом. Взломщик сказал, цитата: “Я не зарабатываю на сливе данных, тем более если замешаны дети. Я лишь хочу, чтобы ошибки были признаны и исправлены. Было бы несложно слить базу, чтобы кто-то со злыми намерениями мог легко получить доступ к записям. Если честно, мне самому противно оттого, что мне так просто удалось все это заполучить. Кто-то должен кинуть в VTech камень. Безопасность у них дерьмовая.” Конец цитаты.

Теперь ноша принятия решения о том, что делать с полученной информацией, лежала на Лоренцо. Сперва он решил проверить, правду ли говорил хакер и настоящие ли данные он передал. Ведь худшее, что может сделать репортер – это ложно обвинить кого-то в проступке. Клевета могла бы загубить репутацию репортера на корню. Поэтому Лоренцо передал базу Трою Ханту. Трой – исследователь в вопросах безопасности, широко известный работой над сайтом haveibeenpwned.com. Трой работает с огромными дампами e-mail’ов, замеченных в утечках данных и размещает их на своем сайте, чтобы обычный пользователь мог узнать, был ли его e-mail слит в публичный доступ. Вы могли подумать, что этот сайт – типичный фишинг, и множество пользователей придерживается такого мнения. Однако Трой надежно закрепил за собой репутацию честного человека, а за своим сайтом – добросовестного источника. В его базе данных 4 миллиарда e-mail адресов, задействованных во всех известных взломах и сливах данных. Взглянув на дамп, предоставленный Лоренцо, Трой установил, что пароли, содержащиеся в нем, не зашифрованы, как заявляет компания.

Пароли хранились в обычном, незашифрованном MD5 хеше. Если не вдаваться в криптографические подробности, это крайне ненадежный способ хранить данные. Некоторые такие хеши с паролями можно даже найти в Гугле. Существуют суперкомпьютеры, способные в кратчайшие сроки брутфорсить MD5 хеш. Хранение паролей в таком виде – признак совершенной некомпетентности в вопросе безопасности данных. Это привело Троя в замешательство. Он зашел на сайт VTech и заметил, что ни один из разделов сайта даже не использует HTTPS, даже раздел идентификации пользователя. Он также обратил внимание на то, что сайт использовал фреймворк ASP 2.0, который на тот момент уже более четырех лет не поддерживался Microsoft. Не избежало его внимания и то, что некоторые разделы сайта выдавали больше информации, чем должны. Например, сообщение о неудачной попытке логина показывало полный SQL-запрос, используемый при логине. Подобное поведение сайта повергло Троя в шок, а ведь он даже не пытался взломать его.

Трой подтвердил, что дамп, переданный хакером подлинный. Однако, учитывая количество пользователей, данные которых содержались в дампе, он решил попросить помощи в их верификации. Сайт Троя haveibeenpwned.com пользовался большой популярностью и имел ряд функций; можно не только проверить, был ли Ваш e-mail замечен в утечках и взломах, но также и оставить свой e-mail, чтобы получить уведомление, когда подобный инцидент произойдёт в будущем. На тот момент последней функцией сайта Троя воспользовалось более 300,000 подписчиков. Трой стал сопоставлять своих подписчиков с данными пользователей VTech, содержащимися в дампе. Ему удалось найти множество совпадений, и он поспешил связаться с этими людьми. Он спрашивал, есть ли у них аккаунт VTech и просил подтвердить свой адрес и имя их интернет-провайдера. И вот, какие ответы он получал. “Да, всё верно. Я действительно регистрировался на сайте VTech, чтобы скачивать приложения для ребенка.” “Да, так и есть. Это старый адрес. Тогда я пользовался этим провайдером. Я помогал дочке регистрироваться на сайте VTech примерно в то же время.” “Да, в 2014 я пользовался VTech Learning Lodge, когда купил Cora Cub для ребенка. Нужно было зарегистрироваться в Learning Lodge, чтобы настроить его голосовые команды.” Окончательно удостоверившись в правильности данных, Трой рассказал о своих находках Лоренцо.

К этому времени Лоренцо уже не раз пытался связаться с VTech. Из раза в раз он либо не получал ответа, либо был перенаправлен куда-то еще. Несколько дней спустя Лоренцо получил следующий ответ от спикера VTech по имени Грейс Пинг. Цитата: “14 ноября неустановленное лицо получило доступ к базе данных нашего магазина приложений Learning Lodge. До Вашего предупреждения нам об этом не было известно.” Конец цитаты. VTech заявляет, что на следующий день после того, как они получили письмо от Лоренцо, они нашли признаки взлома, затем, три дня спустя, компания выпустила пресс-релиз и оповестила пользователей об утечке через e-mail. Их изначальные заявления были расплывчаты и не указывали, какие именно данные были похищены и каким пользователям они принадлежали. Также компания заявила, что пароли были зашифрованы, хотя MD5-хеширование не является шифрованием. Также не соответствовали временная метка дампа и дата утечки, указанная в пресс-релизе.

Но компания удалила сайты planetvtech.com, vsmilelink.com, и sleepybearlullabytime.com. Это наверняка было непростым решением для VTech. Представьте, если магазин приложений на Вашем телефоне перестал бы работать на месяц. Ни обновлений, ни новых приложений, ни сообщения между гаджетами. Огромная часть функций девайсов VTech перестала работать на время, однако это было правильным решением со стороны компании. В противном случае множество хакеров обратили бы внимание на данную уязвимость, что привело бы к неизбежной катастрофе для VTech. Как только пресса опубликовала заявление компании, а сайты были удалены, Лоренцо разместил статью, в которой рассказал об утечке данных с серверов VTech. Все данные, переданные ему хакером, были опубликованы. Трой Хант также опубликовал пост в своем блоге. Новость о плачевном контроле безопасности со стороны VTech распространилась мгновенно. Родители во всем мире были возмущены тем, что информация об их детях утекла в сеть. VTech базируется в Гонг Конге, но присутствует на рынках США, Испании, Великобритании, Германии и Франции. Акции компании стремительно упали.

Перед Троем стояла диллема. Его сайт, haveibeenpwned.com, позволял пользователям находить e-mail’ы, замеченные в известных утечках данных. И он добавил к той базе данных 4,8 миллиона адресов, но так, чтобы нельзя было искать имена детей. Хакер, взломавший VTech, вновь просмотрел полученные им данные. К своему удивлению, он нашел даже больше, чем заметил впервые. Среди массива данных была директория, содержащая 190 гигабайт данных. Просмотрев её, он нашел более 100,000 фотографий, сделанных детьми с помощью планшетов, умных часов и ноутбуков. Многие из них были задублированными, смазанными или просто пустыми, поэтому сложно сказать, сколько на самом деле было уникальных фото. Более того, хакер нашел истории чатов, тянущиеся на протяжении целого года. Каждое сообщение, посланное ребенком на телефон родителей, а также ответные сообщения последних. Наконец, хакер нашел директорию, полную аудиофайлов и воспроизвел один из них. Вот, что он услышал.

Я клянусь в верности флагу Соединённых Штатов Америки и республике, которую он символизирует: единой неделимой нации и [неразборчиво].

Таких записей были тысячи. Это записи детей, говорящих со своими планшетами. Хакер вновь связался с Лоренцо и передал ему 190 гигабайт фотографий, годы переписок детей и их родителей и множество голосовых записей. Еще пару дней спустя Лоренцо опубликовал вторую статью в Motherborad с указанием новых находок. На суд читателей были представлены некоторые отредактированные фотографии и аудиозаписи детей. Соль на раны VTech. Еще больше родителей, озабоченных безопасностью данных их чад. Хакер поделился с Лоренцо своей радостью от того, что его истории привлекли внимание общественности к проблеме. Цитата: “На большее я и надеяться не мог”. Конец цитаты. Хакер также добавил, что думает над следующей целью. Цитата, “Не знаю, может быть кто-то из конкурентов VTech.” Конец цитаты. 1 декабря, две недели спустя после утечки, VTech опубликовали FAQ, содержащий больше информации о взломе. Согласно VTech, было похищено не 200,000, а 6,3 миллиона аккаунтов детей.
Однако, VTech не признала утечки фотографий. Затем американские сенаторы Эдвард Марки и Джо Бартон отправили письмо VTech со ссылкой на Закон о защите конфиденциальности детей в Интернете (англ. Children's Online Privacy Protection Act, сокращённо COPPA), учрежденный в 1998 г. для защиты детей в сети. Письмо содержало ряд вопросов к VTech, таких как “Какую информацию вы собираете о детях младше 12 лет?”, “Для чего вы используете эту информацию?”, “Продаёте ли вы эту информацию кому-либо?”, “Какое шифрование используется для защиты данных?” VTech не дали ответа сразу, но вскоре обновили FAQ, добавив туда ответы на некоторые из этих вопросов. Спустя неделю после утечки VTech наняли специалистов по кибербезопасности из компании FireEye в ответ на произошедший инцидент. FireEye сумели найти и устранить уязвимости в системе безопасности. Два месяца спустя после отключения серверов, 25 января, они были частично запущены вновь. Пользователи вновь стали получать обновления, регистрация была возобновлена, однако магазин приложений всё еще был недоступен.

Месяц спустя после взлома, спецподразделение по борьбе с киберпреступлениями в Великобритании арестовало 21-летнего мужчину в городке к западу от Лондона по подозрению в нарушении правил использования компьютерной техники, описанном в Законе о Ненадлежащем Использовании Компьютера (англ. Computer Misuse Act) от 1990 г. Подразделение также конфисковало некоторую электронику задержанного. В пресс-релизе было указано, что операция может иметь отношение к делу VTech, не назвав имя подозреваемого. Лоренцо попытался связаться с хакером, но ответа не последовало. Два месяца спустя после взлома Лоренцо посетил выставку электроники, где заметил стенд VTech. Компания представляла новую линейку продуктов. На сей раз не для детей. Среди представленной продукции были умные лампочки, дверные датчики и камеры видеонаблюдения. Когда Лоренцо спросил главного маркетолога VTech, безопасны ли они, последний ответил, цитата: “Мы наняли стороннюю компанию для проверки продукции на защиту от взлома и убеждены, что всё будет весьма безопасно.” Конец цитаты.

Месяц спустя VTech изменила условия обслуживания на своем сайте. Теперь они выглядели следующим образом, заглавными буквами:

ВЫ ПРИЗНАЕТЕ И СОГЛАСНЫ, ЧТО ЛЮБАЯ ИНФОРМАЦИЯ, ОТПРАВЛЕННАЯ ИЛИ ПОЛУЧЕННАЯ ВАМИ ПРИ ИСПОЛЬЗОВАНИИ ДАННОГО САЙТА МОЖЕТ НЕ ЯВЛЯТЬСЯ ЗАЩИЩЕННОЙ И МОЖЕТ БЫТЬ ПЕРЕХВАЧЕНА ИЛИ ПОЛУЧЕНА В ДАЛЬНЕЙШЕМ НЕАВТОРИЗОВАННЫМИ ЛИЦАМИ

Похоже, VTech думают, что могут избавиться от напастей просто давая пользователям знать, что их данные могут быть взломаны и украдены в любой момент. Ряд юристов прокомментировали ситуацию и уверены, ссылаясь на закон COPPA, что подобный дисклеймер не будет служить алиби в США и Великобритании. Множество практикующих адвокатов и политиков связались с VTech с целью предметно поговорить о COPPA. Компания затем обновила свою политику конфиденциальности в соответствии с данным законом. А именно, их политика конфиденциальности теперь гласит, что все изображения и голосовые записи при хранении шифруются. Акции VTech падали и до взлома. После же инцидента - резко обрушились на 13%. В течение следующих трех месяцев акции снова поднялись до уровня, на котором были до утечки данных. Их продукция по сей день продается в больших городах по всему миру.

В течение нескольких недель после утечки, некоторые обескураженные родители подали иск на VTech в Северной Америке. Из них был консолидирован коллективный иск. Среди истцов были восемь взрослых граждан и четырнадцать детей. Полтора года спустя, в июле 2017 г., дело дошло до суда. Суд удовлетворил прошение VTech прекратить дело, так как истцы не смогли показать, какой вред им нанесла утечка данных. Судья сослался на статью Лоренцо, в которой было сказано, что хакер не собирался использовать данные со злым умыслом. Но история получила продолжение. 8 января 2018 г. Федеральная Торговая Комиссия (ФТК) США нашла доказательства нарушения компанией VTech закона COPPA. VTech согласились выплатить штраф в размере $650,000 в пользу ФТК и заявили в пресс-релизе, что не нарушали никаких законов. Компания также была обязана провести работу над улучшением собственных мер безопасности, а также проходить их проверку в течение следующих двадцати лет. [МУЗЫКА] Мы не нашли содержимого дампа ни на одном сайте даркнета. В связи с этим, я верю, что хакер сдержал обещание не наживаться на украденных данных.

В FAQ VTech есть вопрос о том, что стало с арестованным хакером. Более года FAQ просто отсылал к пресс-релизу оперативной группы, задержавшей его. Информации в пресс-релизе было крайне мало, не было указано даже имени. В декабре 2016 г., более года спустя после утечки, VTech обновила FAQ, заявляя, что задержанный был отпущен под подписку о невыезде в ноябре 2016 г. Если верить этому, он был задержан в течение года, прежде чем его отпустили под подписку. Обычно подписку о невыезде дают при мелких преступлениях, чтобы не заполнять полный отчет, но при этом всё же задокументировать нарушение. Возможно в FAQ допущена опечатка в годе. Даже сейчас, два года спустя, до конца не ясно, что стало с хакером. Неизвестно, был ли он арестован или нет. Мы даже не знаем его имени и положения. Если его отпустили под подписку, то всё, история закончена. Но может быть и так, что он сидит сейчас где-то за решеткой. Несмотря на то, что хакер совершил-таки преступление, умысел его был лишь в том, чтобы поднять кипиш, а цель – обеспечить безопасность детей.

Вы слушали Дневники Даркнета. Ссылки и статьи можно найти на сайте darknetdiaries.com.

Перевод был сделан каналом Shadow Analytica