Канадский тайпсквоттер Уэсли Кензи (Wesley Kenzie aka Securikai) попал в неприятную ситуацию. Он зарабатывал на жизнь регистрацией доменов с опечатками, то есть тайпсквоттингом, после чего вступал в переписку с владельцами оригинальных доменов и предлагал им купить домен с опечаткой за $295, то есть в 35 раз выше себестоимости. Кензи позиционировал себя как консультанта по безопасности, который обнаружил уязвимость типа black hole и перехватил несколько электронных писем, направленных в адрес компании.

Это известная история, когда отправитель письма совершает опечатку в адресе получателя, а письмо приходит на домен, специально зарегистрированный злоумышленником, который поднял там почтовый сервер и зарегистрировал такие же почтовые адреса.

Кензи шантажировал компании двумя способами. Во-первых, он предлагал им «закрыть уязвимость», просто купив домен с опечаткой. Если они не торопились с покупкой, то Уэсли отправлял им ещё одно письмо с предупреждением о том, что он как независимый исследователь в области информационной безопасности ведёт блог — и может раскрыть там информацию об уязвимости.

Естественно, большинство компаний соглашались заплатить мизерную сумму, лишь бы их название не фигурировало в связи с какими-то уязвимостями. Согласно статистике DomainTools, в общей сложности Кензи зарегистрировал 364 домена, из которых 268 уже нашли нового владельца. Таким образом, за свою карьеру «специалист по безопасности» заработал в районе 268*($295-$8,5) = 76782 долларов.

История Кензи стала достоянием гласности в декабре 2011 года, когда он по незнанию начал шантажировать известного хакера HD Moore. Естественно, тот ему ничего не заплатил за домен с опечаткой.

И вот сейчас канадец попал в совсем уж неприятную историю. Один из объектов его «исследований по безопасности» оказался строптивым: компания Gioconda Law Group подала иск в окружной суд Манхэттена и требует от Кензи возмещения ущерба в сумме более миллиона долларов США, обвиняя его в киберсквоттинге, нарушении торговой марки и несанкционированном перехвате частной электронной переписки.

Хотя сумма ущерба выглядит завышенной, но доказать вину Уэсли Кензи представляется несложным делом, потому что он совершенно очевидно умышленно регистрировал домены с опечатками, чтобы перехватывать чужую электронную почту. Более того, в процессе расследования выяснилось, что Кензи собирал почту и намеревался шантажировать целый ряд крупных компаний, включая MasterCard, McDonald’s, NewsCorp и McAfee.

Месяц назад комиссия по решению споров в области доменных имён признала Кензи виновным в киберсквоттинге и отобрала у него спорный домен в пользу Lockheed Martin. Комиссия также вынесла заключение, что Кензи действовал со злым умыслом ради вымогательства денег — фактически, он сам создавал уязвимости, которые потом исследовал.

Сам Кензи не считает себя виновным. Он говорит, что не создаёт никаких уязвимостей, а «исследует уже существующие уязвимости и создаёт к ним эксплойты», не ради злого умысла, а исключительно для блага своих клиентов.



Оставить мнение