Хакер #305. Многошаговые SQL-инъекции
Представители Mozilla заявили, что прекращают сотрудничество с сервисом Onerep, который совсем недавно был включен в комплект поставки Firefox и предлагает услуги по удалению пользовательских данных с множества сайтов. Дело в том, что создатель Onerep, Дмитрий Шелест, оказался связан с десятками сетей, специализирующихся на поиске и продаже личных данных, а также с брокером данных Nuwber.
Решение Mozilla основывается на расследовании известного ИБ-журналиста Брайана Кребса. Ранее в этом месяце Кребс опубликовал в своем блоге KrebsOnSecurity детальный анализ, в котором сообщил, что основатель Onerep, Димитрий Шелест, с 2010 года создает и запускает десятки сервисов по поиску и продаже пользовательских данных, включая до сих пор действующего брокера данных Nuwber, который торгует отчетами с биографической информацией о людях.
Mozilla начала интегрировать Onerep в Firefox в прошлом месяце, когда объявила, что репутационный сервис будет предлагаться в рамках подписки Mozilla Monitor Plus.
Напомним, что изначально запущенный в 2018 году под названием Firefox Monitor (теперь — Monitor Plus) сервис предлагал пользователям защиту от утечек данных. Он был разработан в содружестве с агрегатором утечек Have I Been Pwned (HIPB), созданным известным ИБ-специалистом Троем Хантом (Troy Hunt). Исходно Firefox Monitor позволял проверить свой email-адрес и связанные с ним аккаунты на предмет возможной компрометации.
После интеграции с Onerep пользователям также предложили возможность узнать, на каких сайтах, торгующих данными, присутствует их личная информация (включая имя, текущий и предыдущие домашний адрес и номера телефонов). Также предлагалось найти и утечки более подробной информации, включая имена членов семьи, сведения о криминальном прошлом, увлечениях и так далее. В случае обнаружения данных, пользователи могли отправить автоматический запрос на удаление.
Теперь представители Mozilla сообщили, что организация отказывается от работы с Onerep в качестве поставщика услуг для Monitor Plus.
«Хотя данные клиентов никоим образом не подвергались риску, внешние финансовые интересы и деятельность генерального директора Onerep не соответствуют нашим ценностям, — говорится в заявлении Mozilla. — Сейчас мы работаем над созданием переходного плана, который обеспечит возможность беспрепятственного использования продукта для клиентов и продолжит ставить их интересы на первое место».
Дело в том, что после публикации расследования Кребса глава Onerep опубликовал заявление, в котором признал, что ему действительно принадлежит доля в брокере данных Nuwber, который он основал еще в 2015 году (примерно в то же время был запущен Onerep).
«Я понимаю. Со стороны моя связь с бизнесом по поиску [и сбору данных] людей может выглядеть странно. На самом деле, если бы я не пошел по этому пути, глубоко изучив работу сайтов по поиску [данных] людей, у Onerep не было бы лучших технологий и команды в этой сфере. Тем не менее, сейчас я понимаю, что в прошлом мы не разъясняли это более явно, и я намерен исправиться в будущем», — пишет Шелест.
Стоит сказать, что в своем расследовании Брайн Кребс утверждал, что примерно в 2010 году email-адрес Шелеста использовался партнером Spamit, русскоязычной группировки, которая платила людям за агрессивное продвижение сайтов, рекламирующих непатентованные лекарства и другую «фарму». Кребс подчеркивал, что эта связь была подтверждена исследованиями нескольких аспирантов из Университета Джорджа Мейсона. Шелест отрицает свою связь со Spamit.
«В период с 2010 по 2014 год мы разместили несколько веб-страниц и оптимизировали их (широко распространенная SEO-практика), а затем разместили на них баннеры AdSense, — рассказывает глава Onerep, видимо, подразумевая десятки доменов для поиска информации о людях, которые расследователи связали с его email-адресами (dmitrcox@gmail.com и dmitrcox2@gmail.com). — По мере того как мы развивались и узнавали больше, мы увидели, что многие поступающие к нам запросы связаны с людьми».
Также в своем заявлении Шелест признал, что Onerep платит за размещение рекламы «на нескольких сайтах брокеров данных в очень специфических случаях». Он утверждает, что реклама показывается лишь в том случае, если человек «вручную заполняет форму отказа». Цель такой рекламы, якобы, заключается в том, чтобы люди, пришедшие на такой сайт, знали о том, что «существует более автоматизированный вариант отказа, например, Onerep».
Уже упомянутый выше основатель сервиса Have I Been Pwned, Трой Хант, сообщил Кребсу, что ему было известно о переговорах между Mozilla и Onerep, однако он не подозревал о многочисленных конфликтах интересов, теперь вышедших наружу.
«Я знал, что Mozilla рассматривает эту идею, и мы мельком обсуждали ее, когда говорили о Firefox Monitor. Тогда я объяснил им то же самое, что говорю многочисленным компаниям, которые хотят разместить на HIBP рекламу удаления данных у брокеров: удаление ваших данных с легально работающих сервисов будет иметь минимальный эффект. И вы не сможете удалить их с откровенно нелегальных площадок, которые наносят реальный ущерб», — объясняет Хант.
В конце Кребс подытоживает, что такая работа «на два лагеря» может быть неэтичной и неправильной, однако это абсолютно законно. Дело в том, что брокеры данных и службы по поиску и сбору информации, а также сервисы по «управлению репутацией», такие как Nuwber и Onerep, существуют за счет того, что практически во всех штатах США так называемые «публичные» и «государственные» записи попросту исключены из законов о защите персональных данных потребителей.