Xakep #305. Многошаговые SQL-инъекции
Инцидент с утечкой 1,5 Тб данных у крупной кабельной и спутниковой телесети HBO продолжает обрастать новыми подробностями. Напомню, что в первых числах августа 2017 года неизвестные преступники опубликовали в сети еще не вышедшие в эфир эпизоды сериалов Ballers и Room 104, а также текстовый материал, который оказался сценарием четвертого эпизода седьмого сезона «Игры престолов» (Game of Thrones). Позже злоумышленники также обнародовали и сам четвертый эпизод седьмого сезона «Игры престолов» раньше его выхода в эфир, а затем слили в сеть сценарий пятого эпизода седьмого сезона сериала.
Помимо новых серий популярного шоу и сценариев в руках неизвестной группы также оказались и другие закрытые документы, связанные с «Игрой престолов», включая бриф, озаглавленный Game of Ideas, конфиденциальный список актеров нового сезона, а также бумаги, проливающие свет на маркетинговую стратегию канала и планы съемок. Впрочем, по данным СМИ, ничего сенсационного и нового эти документы не содержали.
Несколько дней назад злоумышленники предоставили в распоряжение прессы видеописьмо, написанное от лица некоего мистера Смита и адресованное Ричарду Плеплеру (Richard Plepler), главному исполнительному директору HBO. В послании хакеры предлагают прекратить слив информации в обмен на «скромное вознаграждение». Хотя шантажисты не указали точную сумму выкупа, из текста письма ясно, что группа рассчитывает получить за похищенную информацию порядка 6,5-7 млн долларов.
Теперь журналисты Variety и The Hollywood Reporter сообщили, что злоумышленники снова вышли с ними на связь. На этот раз хакеры показали СМИ свою переписку с официальными представителями HBO, датированную концом июля 2017 года, то есть диалог имел место еще до того, как об утечке стало известно широкой публике.
В тексте письма, которое можно увидеть ниже, представители HBO предлагают хакерам $250 000 в рамках программы вознаграждений за найденные уязвимости. При этом компания подчеркивает, что bug bounty обычно выплачивают white hat специалистам, и в данном случае HBO пытается проявить честность и добропорядочность в ведении переговоров.
Неизвестно, как именно хакеры отреагировали на это предложение, и была ли в итоге совершена выплата. Также остается только догадываться, на самом деле руководство телеканала было готово пойти на сделку, или данное письмо являлось лишь какой-то уловкой. Впрочем, представители СМИ пишут, что сам факт предложения шантажистам денег удивителен в любом случае. При этом злоумышленники сообщили прессе, что вели переговоры с HBO несколько недель, но телеканал не выполнил некие "обещания", что и повлекло за собой публикацию украденных данных.