Як хакер переконав Zomato оплатити захист даних 120 млн користувачів

Компанія Zomato поступилася хакерам, які заволоділи її базою даних користувачів і оголосила про видачу винагороди за майбутні знайдені вразливості.
Фахівець з безпеки, за його словами, раніше попереджав про слабкий захист даних, однак реакції з боку керівництва Zomato не дочекався. Тому вирішив продемонструвати на практиці, що буває, якщо розробник ігнорує вимоги сучасного інтернету.
Історія однієї бази даних
19 травня, всього через тиждень після того, як комп’ютерний вірус WannaCry паралізував роботу комп’ютерів у близько 150 країнах світу і вплинув на функціонування таких конгломератів, як Renault, британські лікарні і німецькі залізниці, інтернет-агрегатор в області ресторанного бізнесу Zomato оголосив про хакерську атаку на свій сайт.
Послугами індійського стартапу, що сьогодні має представництва у 24 країнах світу, включаючи Австралію, Канаду, Сингапур, Нову Зеландію, США і Південну Африку, користується близько 120 млн відвідувачів щомісяця. З бази даних були викрадені відомості про 17 млн користувачів. На щастя, за словами Zomato, в руки хакерів потрапили імена користувачів, їх адреси електронної пошти і паролі до акаунтів в Zomato. Платіжна інформація і дані банківських карт не були скомпрометовані.
Вже на наступний день Zomato звернулися до 6,6 млн користувачів, паролі яких «можуть бути теоретично розшифровані», з проханням оновити безпеку їх облікових записів. Майже одночасно на ресурсі Hackread.com, що спеціалізується на обговоренні теми інтернет-безпеки, з’явилася інформація про те, що відповідальним за злом виявився хакер під ім’ям «nclay», який вже виклав базу даних на продаж в даркнете приблизно за тисячу доларів.
Відповідь компанії «білим» хакерам
Zomato теж швидко відреагували. У своєму блозі компанія заявила, що хакер не погодився продавати дані в мережі і видалити їх з темного вебу:
«Хакер пішов на співпрацю з нами. Він/вона хоче, щоб ми визнали уразливості безпеки в системі і співпрацювали з «білими» хакерами з метою їх усунення».
За словами технічного спеціаліста Zomato Гунжи Патидара (Gunja Patidar), вже скоро компанія розмістить на сайті Hackerone програму з винагородами за виявлені хакерами і зовнішніми фахівцями з безпеки уразливості в захисті, а хакер, що стоїть за цією атакою, погодився (погодилася) знищити всі копії викрадених даних. Більш того, хакер також надав (надала) компанії детальну інформацію про те, як йому/їй вдалося отримати доступ до цієї бази даних. «Ми розмістимо цю інформацію на нашому блозі, як тільки виправимо становище, щоб інші могли вчитися на наших помилках».
В інтернеті почалися жваві обговорення того, чи можна вважати таку домовленість остаточною гарантією безпеки для користувача даних. Однак nclay позиціонує себе етичним хакером, а тому є підстави довіряти йому і чекати остаточного видалення користувальницьких даних з даркнета. Втім, компаніям не варто розраховувати на стійкі моральні принципи всіх хакерів, а спробувати навчитися на чужих помилках — не слід економити на безпеці даних.