Хакер #305. Многошаговые SQL-инъекции
Издание TorrentFreak рассказало о попавших в сеть документах, которые пролили свет на то, как несколько лет назад компания Nintendo развернула масштабную операцию и преследовала хакера, работавшего над взломом 3DS. Компания пристально следила за его личной жизнью и была в курсе, когда он выходил из дома и куда шел, и даже пыталась заставить его прекратить свою деятельность.
На прошлой неделе сразу несколько пользователей Twitter (1, 2) публиковали части документов, которые утекли у компании Nintendo. Хотя в этих бумагах можно найти много интересного, самые шокирующие открытия связаны с Неймодом (Neimod), хакером, который несколько лет назад разработал эксплоиты для портативной консоли 3DS.
В документах он охарактеризован как «высококвалифицированный инженер по аппаратному обеспечению» с «очень высокой репутацией среди хакеров продуктов Nintendo». Также в бумагах перечислены его личные данные, в том числе то, что повлияло на его квалификацию и детали его карьеры. Также в бумагах фигурируют доказательства повседневной физической слежки за хакером (сколько раз Неймод был дома, кто приходил к нему, когда он посещал банки, рестораны и так далее).
NEW LEAKED STUFF #3
— Eclipse ⚔️ ??????? ????????! (@eclipse_tt) December 22, 2020
✨ Proof that Nintendo is fucking FBI when it comes to hackers.
More: @eclipse_tt pic.twitter.com/DJQxVoFE0m
Операция по слежке за хакером началась 15 апреля 2013 года, когда команда Nintendo встретилась в местном офисе для обсуждения и доработки планов. После анализа перемещений Неймода за предыдущую неделю в компании обсудили, где и когда с хакером будет установлен контакт (например, после работы или дома).
Чтобы определить, когда Неймод уходил с работы, за ним следил нанятый компанией детектив. После работы к нему должна была подойти «контактная группа», которой было приказано приблизиться к цели «в дружеской, безопасной, профессиональной и вежливой манере, а также предоставить визитку».
После вовлечения Неймода в беседу, команде было поручено польстить ему, «признав его инженерные и программистские способности». Также люди компании должны были напомнить хакеру, что он старается «не способствовать пиратству», и указать на обеспокоенность Nintendo, что выпуск его эксплоитов может послужить именно этой цели.
Вне зависимости от того, согласится Неймод или откажется, Nintendo была готова к обеим возможностям. На следующем слайде, опубликованном в Twitter Eclipse-TT, показана целая схема, которой руководствовались в компании. На схеме описан каждый шаг по подготовке к встрече и взаимодействию с Неймодом, а также возможные варианты развития событий.
В бумагах, в зависимости от развития событий, предлагается использовать метод кнута или пряника. Так, на худший случай Nintendo подготовила список преступлений, совершенных Неймодом в соответствии с бельгийским законодательством. Но если договоренность будет достигнута, Nintendo намеревалась воздержаться от подачи исков и даже допускала возможность заключения контракта с хакером, чтобы выплатить ему вознаграждения за документированные уязвимости. При этом планировалось оставить Неймоду некоторую свободу действий, чтобы он имел возможность «публично похвастаться» проделанной работой. В компании считали, что это поможет улучшить имидж Nintendo. Также в качестве «бонуса» Неймоду были готовы предложить поездку в Японию для встречи с инженерами Nintendo.
«В случае успеха публичный имидж Nintendo, как современной технически подкованной компании, может укрепиться, намекая на то, что в будущем хакерам стоит сотрудничать с Nintendo, а не вести себя агрессивно (в отличие от той оплошности, которую Sony допустила с Джорджем GeoHot Хотцем)», — гласят документы.