В марте 2017 года известный исследователь Крис Викери (Chris Vickery) рассказал об очень крупной утечке данных, которую ему удалось обнаружить. Как оказалась, кто-то из сотрудников компании River City Media (RCM), официально занимающейся сетевым маркетингом, забыл установить пароль на репозиторий, и Викери нашел в сети незащищенные Rsync-бэкапы, содержащие данные почти полутора миллиардов человек. Для большинства пользователей в базе RCM были приведены только почтовые адреса, хотя для некоторых также прилагались настоящие имена, IP-адреса и адреса фактического проживания.

Кроме того, эксперт обнаружил логи чатов и внутреннюю документацию компании, из которых следовало, что сотрудники RCM активно обсуждали использование методики, похожей на Slowloris. Данная техника позволила бы им создать огромную нагрузку на почтовые серверы, заставив те принять миллионы нежелательных сообщений. Именно поэтому расследованием Викери занимался совместно со специалистами Spamhaus и CSO Online, а детальную информацию о техниках, применяемых спамерами, исследователи передали Microsoft, Apple, Salted Hash, Spamhaus и другим заинтересованным сторонам, а также уведомили о происходящем правоохранительные органы.

Как оказалось, деятельность компании River City Media на самом деле представляет собой самый настоящий спамерский бизнес. Так, оба основателя компании, Мэтт Феррис (Matt Ferris) и Элвин Слокомб (Alvin Slocombe), уже давно числятся в черных списках Spamhaus, как известные распространители спама. Ранее Слокомб занимался bulletproof-хостигом для спамеров Cyber World Internet Services, с которого исходили такие известные спам-кампании, как Ad Media Plus, RCM Delivery, eBox, Brand 4 Marketing и Site Traffic Network.

Тем не менее, в марте 2017 года представители RCM отвергли все обвинения исследователя. Согласно официальном пресс-релизу, даже упомянутые Rsync-бэкапы не хранилсь в открытом доступе, а компания, конечно, не занимается рассылкой спама, и сам факт обсуждения Slowloris еще ничего не доказывает.

Но одних только опровержений RCM показалось недостаточно, поэтому 21 марта 2017 года компания подала на Криса Викери в суд, заявляя, что Rsync-бэкапы вовсе не были найдены экспертом в интернете, но были обнаружены в результате «спланированной многомесячной атаки против River City и ее руководителей».

По словам представителей компании, Викери сумел обойти файрвол, проник на сервер компании, используя VPN для сокрытия своей личности, удалил с сервера критические файлы, а затем опубликовал свое исследование «стремясь сделать себе имя как ИБ-исследователь». Но обвинения не закончились даже на этом. Представители RCM утверждают, что Викери использовал учетные данные из «украденной» БД, чтобы проникнуть в другие системы компании, в том числе в почту сотрудников, Dropbox, HipChat и PayPal-аккаунты. Якобы PayPal-аккаунты затем были использованы для покупки доменов у регистратора AlpNames, а с почтовых ящиков руководителей RCM взломщик рассылал письма с темами «Donald Trump’s Transvestite Surprise» и «Try and Stop Me [непечатно]».

При этом никаких доказательств своих обвинений и технических подробностей случившегося RCM не приводит. Единственной «уликой», судя по всему, является то, что Викери имеет почтовый ящик на protonmail.com, равно как и вторгшийся на сервер компании злоумышленник, покупавший домены с чужого аккаунта PayPal.

Судя по описанным в иске событиям, на плохо защищенный сервер RCM действительно мог проникнуть злоумышленник, который затем слил украденную информацию на «хакерский сайт известный как leak forums». Компания утверждает, что из-за этого на охранные системы и камеры личной резиденции Мэтта Ферриса была совершена атака. Все это больше напоминает поведение black hat’а, но никак не специалиста по безопасности.

Без преувеличения можно сказать, что обвинения со стороны компании звучат дико, ведь Крис Викери — настоящий профессионал своего дела и известное лицо на мировой ИБ-сцене. В частности, именно он обнаружил утечку данных 13 млн пользователей MacKeeper, отыскал в сети 35 000 уязвимых баз MongoDB, а также первым заметил утечку информации о 191 млн американских избирателей.

Впрочем, стоит отметить, что Викери не впервые пытаются обвинить во взломах. В частности, в 2016 году компания uKnowKids, производящая системы родительского контроля, допустила утечку данных из базы MongoDB. Тогда Викери обнаружил, что хранящиеся в БД данные, в очередной раз, компрометировали детей. База содержала более 6,8 млн приватных текстовых сообщений, около 2 млн изображений (в основном фотографии детей)  и более 1700 детских профилей, содержащих имя и фамилию, email-адрес, дату рождения, координаты GPS, учетные данные, необходимые для доступа к социальным сетям и многое другое. По данным эксперта, база была доступна кому угодно более 48 дней.

Тогда вместо благодарности Викери получил лишь угрозы и обвинения во взломе, но в итоге инцидент все же разрешился мирным путем, и представители uKnowKids даже поблагодарили эксперта за проделанную работу.

Не похоже, что инцидент с River City Media тоже может закончиться мировой. Дело в том, что после публикации совместного отчета Викери, специалистов Spamhaus и CSO Online у RCM начались серьезные проблемы. К примеру, Викери писал, что еще в январе 2017 года он передал IP-адреса RCM специалистам Spamhaus. Вскоре после добавления этих адресов в черные списки, аналитики компании Spamcop зафиксирвоали значительное снижение доли спама в почтовом трафике.

Согласно иску River City Media, негативное освещение работы компании в СМИ привело к тому, что теперь RCM теряет клиентов, контракты, увольняет сотрудников и несет значительные убытки. К тому же после публикации доклада Викери, директор по маркетингу RCM был вынужден уйти с поста главы другой компании из-за набирающего обороты скандала.

В суде представители River City Media твердо намерены добиваться временного, а затем и перманентного удаления очерняющих их публикаций из сети, а также взыскания с ответчиков пока неопределенной суммы за причинение материального ущерба. В роли ответчиков фигурируют сам Крис Викери; компания Kromtech, в которой на момент разоблачения RCM работал исследователь; журналист Стив Раган (Steve Ragan), рассказавший об этой истории; компания CXO, которой принадлежит сайт CSO Online, а также IDG, «родительская» компания CXO.

Фото: Depositphotos  

2 комментария

  1. Themistocles

    03.05.2017 at 10:24

    Молодцы какие! Ну удачи им, надеюсь разорятся)

  2. Int

    03.05.2017 at 20:52

Оставить мнение