Эксперт в области информационной безопасности Крис Викери (Chris Vickery) известен тем, что ранее находил уязвимости в системах компаний Microsoft, MacKeeper, Hello Kitty, OkHello, Slingo, iFit, Vixlet и Hzone. На прошлой неделе Викери обнаружил серьезные проблемы с безопасностью в продукции компании uKnowKids, производящей системы родительского контроля. Однако когда специалист сообщил о своей находке представителям uKnowKids, вместо благодарности он получил только угрозы.

Викери регулярно проверяет сеть на предмет уязвимых и плохо настроенных баз данных. К примеру, в конце прошлого года в результате его изысканий обнаружилась массовая утечка информации об американских избирателях и налогоплательщиках.

На этот раз исследователь нашел незащищенный сервер, принадлежащий компании uKnowKids. На сервере работала уязвимая база MongoDB, которую Викери скачал 16-17 февраля 2016 года, чтобы изучить данные, убедиться в их подлинности и затем связаться с представителями компании. За счет неверно заданных прав, кто угодно мог получить доступ к содержимому базы. И самое неприятное —  хранящиеся в БД данные, в очередной раз, компрометировали детей.

В базе Викери обнаружил более 6,8 млн приватных текстовых сообщений, около 2 млн изображений (в основном фотографии детей)  и более 1700 детских профилей, содержащих имя и фамилию, email-адрес, дату рождения, координаты GPS, учетные данные, необходимые для доступа к социальным сетям и многое другое. По данным эксперта, база была доступна кому угодно более 48 дней.

leak
Точные данные об «утечке» от uKnowKids

Успешно верифицировав скачанные данные, эксперт поспешил связаться с компанией uKnowKids, чтобы сообщить о проблеме. Но представители компании отреагировали на помощь Викери крайне агрессивно. Оказалось, что та же самая база данных, которую скачал Викери, представляет собой коммерческую тайну: в БД содержалась интеллектуальная собственность компании, в том числе секретные алгоритмы работы платформы uKnowKids.

Первой реакцией представителей uKnowKids стал пост в официальном блоге компании. uKnowKids заявили, что их базу данных несколько раз (!) взломал хакер по имени Крис Викери, проживающий в Остине. Он почему-то считает себя «этичным хакером» и  white hat’ом, но это, конечно, не так. Представители компании заверили пользователей, что украденная БД содержала лишь 0,5% от всех пользовательских данных. Также сообщение компании неоднократно указывает на тот факт, что брешь устранили в течение 90 минут после обнаружения. Компания также опубликовала IP-адреса «страшного преступника», всю хронологию «взлома» по минутам и представила эксперта сущим монстром, обвинив Викери в краже личных данных и, практически, корпоративном шпионаже.

Викери ответил на обвинения компании uKnowKids в своем блоге, где указал производителю на то факт, что их дырявая платформа нарушает Закон о защите личных сведений детей в Интернете (COPPA). Также Викери рассказал, что получил телефонный звонок с угрозами лично от главы uKnowKids Стива Воды (Steve Woda), хотя днем ранее из uKnowKids ему прислали очень вежливое письмо с благодарностью. Эксперт пишет, что, по всей видимости, общение с компаниями стоит вести исключительно в письменном виде, потому как «главы компаний не склонны следить за своими манерами во время телефонных переговоров».

В итоге инцидент, похоже, разрешился миром. Викери все же удалил «похищенные» данные uKnowKids, хотя исходно не хотел этого делать: опасаясь последующих обвинений в клевете и желая сохранить на руках улики, доказывающие халатность компании. Ради собственной безопасности эксперт сохранил побольше скриншотов.

uknowkids
База изнутри, скриншот Викери

Компания uKnowKids, в свою очередь, опубликовала еще один пост в официальном блоге, в сообщении представлены результаты внутреннего расследования. Автор поста — Стив Вода снова заверил клиентов, что брешь была устранена за 90 минут, сообщил, что ответственный за проникновение исследователь согласился удалить все полученные в ходе «взлома» данные, и даже поблагодарил Викери за проделанную работу. Впрочем, исследователем Викери все равно называют разве что в кавычках.

Фото: Ralph Barrera



3 комментария

  1. falcon4fun

    01.03.2016 at 06:23

    Который раз, создается впечатление после прочтение о White Hat, что подобные действия нужно производить секьюрно и анонимно. Если в переписке или общении такие идиоты, еще и с угрозами, слать таких в жопу, сливать все в открытый доступ. Иначе же, это подобных даунов не научит.

    • Андрей

      05.03.2016 at 20:18

      Думаю, что сливать данные в открытый доступ Викери не хотел, т.к. это уже криминал и он бы этим испортил себе репутацию. И был бы не лучше каких нибудь анонимусов.

      • McLotos

        07.03.2016 at 18:27

        Интересно чем тебе не угодили анонимусы. Да их методы иногда бывают не очень этичными, но в целом у ребят очень правильные идеи. Я вот активно слежу за ними и частенько возникает желание подключиться к каким-то их акциям.

Оставить мнение