Эксперт в области информационной безопасности Крис Викери (Chris Vickery) известен тем, что ранее находил уязвимости в системах компаний Microsoft, MacKeeper, Hello Kitty, OkHello, Slingo, iFit, Vixlet и Hzone. На прошлой неделе Викери обнаружил серьезные проблемы с безопасностью в продукции компании uKnowKids, производящей системы родительского контроля. Однако когда специалист сообщил о своей находке представителям uKnowKids, вместо благодарности он получил только угрозы.
Викери регулярно проверяет сеть на предмет уязвимых и плохо настроенных баз данных. К примеру, в конце прошлого года в результате его изысканий обнаружилась массовая утечка информации об американских избирателях и налогоплательщиках.
На этот раз исследователь нашел незащищенный сервер, принадлежащий компании uKnowKids. На сервере работала уязвимая база MongoDB, которую Викери скачал 16-17 февраля 2016 года, чтобы изучить данные, убедиться в их подлинности и затем связаться с представителями компании. За счет неверно заданных прав, кто угодно мог получить доступ к содержимому базы. И самое неприятное — хранящиеся в БД данные, в очередной раз, компрометировали детей.
В базе Викери обнаружил более 6,8 млн приватных текстовых сообщений, около 2 млн изображений (в основном фотографии детей) и более 1700 детских профилей, содержащих имя и фамилию, email-адрес, дату рождения, координаты GPS, учетные данные, необходимые для доступа к социальным сетям и многое другое. По данным эксперта, база была доступна кому угодно более 48 дней.
Успешно верифицировав скачанные данные, эксперт поспешил связаться с компанией uKnowKids, чтобы сообщить о проблеме. Но представители компании отреагировали на помощь Викери крайне агрессивно. Оказалось, что та же самая база данных, которую скачал Викери, представляет собой коммерческую тайну: в БД содержалась интеллектуальная собственность компании, в том числе секретные алгоритмы работы платформы uKnowKids.
Первой реакцией представителей uKnowKids стал пост в официальном блоге компании. uKnowKids заявили, что их базу данных несколько раз (!) взломал хакер по имени Крис Викери, проживающий в Остине. Он почему-то считает себя «этичным хакером» и white hat’ом, но это, конечно, не так. Представители компании заверили пользователей, что украденная БД содержала лишь 0,5% от всех пользовательских данных. Также сообщение компании неоднократно указывает на тот факт, что брешь устранили в течение 90 минут после обнаружения. Компания также опубликовала IP-адреса «страшного преступника», всю хронологию «взлома» по минутам и представила эксперта сущим монстром, обвинив Викери в краже личных данных и, практически, корпоративном шпионаже.
Викери ответил на обвинения компании uKnowKids в своем блоге, где указал производителю на то факт, что их дырявая платформа нарушает Закон о защите личных сведений детей в Интернете (COPPA). Также Викери рассказал, что получил телефонный звонок с угрозами лично от главы uKnowKids Стива Воды (Steve Woda), хотя днем ранее из uKnowKids ему прислали очень вежливое письмо с благодарностью. Эксперт пишет, что, по всей видимости, общение с компаниями стоит вести исключительно в письменном виде, потому как «главы компаний не склонны следить за своими манерами во время телефонных переговоров».
В итоге инцидент, похоже, разрешился миром. Викери все же удалил «похищенные» данные uKnowKids, хотя исходно не хотел этого делать: опасаясь последующих обвинений в клевете и желая сохранить на руках улики, доказывающие халатность компании. Ради собственной безопасности эксперт сохранил побольше скриншотов.
Компания uKnowKids, в свою очередь, опубликовала еще один пост в официальном блоге, в сообщении представлены результаты внутреннего расследования. Автор поста — Стив Вода снова заверил клиентов, что брешь была устранена за 90 минут, сообщил, что ответственный за проникновение исследователь согласился удалить все полученные в ходе «взлома» данные, и даже поблагодарил Викери за проделанную работу. Впрочем, исследователем Викери все равно называют разве что в кавычках.
Фото: Ralph Barrera
