Пользователь Reddit, известный под псевдонимом crankyrecursion, обнаружил, что новейшая версия популярного мода A320-X для Microsoft Flight Simulator X (FSLabs_A320X_P3D_v2.0.1.231.exe) содержит странный файл test.exe. На проверку оказалось, что файл является переименованной версией приложения Chrome Password Dump, разработанного фирмой SecurityXploded. Эта утилита позволяет извлекать учетные данные из недр браузера Chrome.

Когда crankyrecursion опубликовал данную информацию на Reddit, обеспокоенные пользователи предположили, что компанию Flight Sim Labs взломали, и это злоумышленники поместили в состав мода инструмент для сбора паролей. Но, как вскоре выяснилось, никакого взлома не было.

В качестве ответа на зарождающуюся на Reddit панику на официальном сайте Flight Sim Labs появилась интересная запись. В этом послании глава компании пояснил, что утилита для сбора паролей вошла в состав мода вовсе не случайно: Chrome Password Dump был добавлен в A320-X самими разработчиками. При этом файл test.exe запускался лишь в том случае, если пользователь пытался активировать мод конкретным «пиратским» лицензионным ключом. Глава компании подчеркнул, что утилита не использовалась против пользователей, легально приобретших дополнение A320-X.

«Данный конкретный метод применялся только против конкретных серийных номеров, которые ранее уже были идентифицированы нами, как “пиратские” копии [A320-X] и распространялись через ThePirateBay, RuTracker и другие подобные вредоносные сайты. При условии, что конкретный серийный номер использовался “пиратом” (человеком, нелегально доставшим копию нашего ПО), и установщик верифицировал этот серийный номер, обнаружив его в базе “пиратских” серийных номеров, хранящейся на нашем сервере, предпринимались определенные меры, оповещающие нас об этом», — рассказывает глава Flight Sim Labs.

В сущности, использование Chrome Password Dump было названо разработчиками еще одним механизмом DRM-защиты, которая срабатывает только в случае обнаружения «пиратской» копии мода. Представители Flight Sim Labs заявили, что использование инструмента для сбора паролей, уже помогло им «в юридических сражениях с такими преступниками». Впрочем, в компании также признали, что тревога пользователей понятна, а данный метод борьбы с «пиратами», пожалуй, был чересчур жестким.

После первого официального заявления, которое в равной степени шокировало и пользователей и ИБ-специалистов, разработчики Flight Sim Labs поспешили опубликовать второе сообщение, где постарались описать свое видение ситуации чуть подробнее. Как оказалось, Chrome Password Dump действительно использовался для извлечения паролей из браузера нелегального пользователя A320-X, но речь идет именно об одном единственном пользователе. То есть утилиту применяли всего в одном случае, когда пытались поймать «пирата», который создавал и распространял фальшивые регистрационные ключи для мода, созданные посредством оффлайнового генератора.

«Мы зашли так далеко, что даже выяснили, кем именно был этот крякер (нам известны его имя и фамилия, и мы можем предоставить их по запросу властей). Но, к сожалению, мы не могли проникнуть на его сайты, доступные только после регистрации, посредством которых он распространял информацию среди других “пиратов”, — объяснили представители Flight Sim Labs. — С помощью IP-адресов мы проследили этого конкретного крякера, который использовал Chrome для связи с нашими серверами, и приняли решение собрать информацию о нем напрямую, но ТОЛЬКО о нем, так как нам было известно, какие серийные номера он использует в работе! Конечно, теперь мы понимаем, что многих людей огорчило случившееся, поэтому еще раз приносим свои глубочайшие извинения».

В итоге разработчикам мода все же удалось сделать дамп паролей «пирата» и проникнуть на его сайты. По словам представителей компании, там им удалось обнаружить целую поставленную на поток «пиратскую» кампанию, затрагивавшую многие авиасимуляторы.

Но теперь уже самой компании Flight Sim Labs могут грозить юридические проблемы, ведь тайный сбор данных с компьютеров пользователей (без их согласия или ордера) тоже является преступлением. Хотя разработчики уж выпустили версию мода, не содержащую Chrome Password Dump, и многократно извинились перед сообществом, пятна на репутации это так же не отменяет.

3 комментария

  1. Themistocles

    22.02.2018 at 14:01

    нормально так. могли бы к нему домой приехать сразу и паяльник засунуть, чем хуже то.

    • Anty

      26.02.2018 at 20:38

      Интересен не сам факт негласного сбора информации на «плохой» РС, а то, что кто-то может себе позволить роскошь разрешить антивирусу/файрволу запуск «какого-то test.exe» в функционале, который не предполагает доступа к области паролей в хроме. Причем, осознавая, что занимается незаконным делом. Воистину, уксус нахаляву… а может, и антивируса не было никакого у потерпевшего? )

      • john_

        09.03.2018 at 19:37

        Информация об антивирусе оьсутсвтвует, а то что Пароли в браузерах хранить не ок — давно известно. Пора бы гуглу улучшить защиту браузера…

Оставить мнение