Эпизод 5: Перед вами база данных миллионов маленьких детей — что будете делать?
@BlackMASTpeakerВторник, 15 декабря. Арестован подозреваемый по делу о взломе игрушек VTech Kids. Британская полиция надела наручники на 21-летнего мужчину всего несколько часов назад. По оценкам, почти 6,5 миллионов детских профилей и почти пять миллионов учетных записей взрослых были взломаны. Информация о кредитных картах не была получена, но, как сообщается, был получен доступ к именам и адресам детей, что ещё сильнее нагоняет жути. Имя подозреваемого еще не названо, но что-то подсказывает нам, что его следующие несколько дней за решеткой, вероятно, не будут такими приятными.
Ведущий: Современные дети видят, как их родители пользуются планшетами и телефонами, и они тоже хотят играть. Производители игрушек попытались извлечь из этого выгоду, предлагая планшеты и смарт-часы специально для детей. Эти удобные для детей устройства находятся в сети и подключены к Интернету, как и любой другой планшет. У них есть функции, которые позволяют ребенку отправлять сообщения со своего планшета на телефон родителей. Впрочем, не только текстовые сообщения.
Малыш может отправлять фотографии, видео или голосовые записи. VTech является одним из производителей таких устройств для детей. Когда вы покупаете планшет VTech, он просит вас зарегистрировать устройство. Они запрашивают имя родителя и физический адрес, а также имя пользователя и пароль. Затем игрушечный планшет также спрашивает, как зовут ребенка, его пол и день рождения. Он даже предлагает вам сфотографировать ребенка, использующего планшет, для настройки профиля. Угадайте, что произойдет, когда хакеры завладеют этими игрушечными планшетами...
Есть форум, посвященный взлому планшетов VTech. Чего только не найдёшь в даркнете... Один хакер разобрал эту штуку и с помощью паяльника смог проникнуть в базовую операционную систему Linux. Оттуда хакеры смогли получить к нему root-доступ. По мере того, как популярность этого форума росла, пришли совсем другие хакеры. Вместо аппаратного хакера этот парень был сетевым хакером. Он обнаружил, что планшеты часто соединяются с веб-сайтом под названием planetvtech.com. Он взглянул на этот веб-сайт и почти сразу обнаружил, что он уязвим для внедрения SQL-кода (SQL injection).
Этот код настоящая катастрофа для веб-сайта. Подобные сетевые хакеры часто уже имеют множеством скриптов и программ, которые автоматически выполняют атаку. Из чистого любопытства, с помощью нескольких нажатий клавиш, этот хакер запустил скрипт на planetvtech.com, который попытался использовать SQL. К его удивлению, это сработало. У него был полный доступ к сайту planetvtech.com. 100-процентный контроль над ним. Он обнаружил огромную базу данных и скопировал всё оттуда.
Первое, что он заметил, была таблица "Родители". В нем были следующие поля: Имя, Фамилия, Адрес электронной почты, Зашифрованный пароль, Секретный вопрос, Секретный ответ, Домашний адрес, IP-адрес. Посмотрев, хакер понял, что это база данных всех пользователей. В этой таблице значилось 4,8 миллиона человек. Он не мог поверить своим глазам.
Список из 4,8 миллионов учетных записей пользователей очень пригодился бы в даркнете. Такой большой список мог принести приличное количество биткойнов, но хакер не собирался продавать данные. Хакер еще раз взглянул на базу данных и нашел еще одну интересную таблицу под названием "Пользователи". Она содержал имена детей, дни рождения, пол и удостоверение личности их родителей. Хакер понял, что, объединив две таблицы, он может точно определить фамилию ребенка и место его проживания. Эта таблица содержала информацию о 200 000 детей. Судя по датам рождения, средний возраст ребенка составлял пять лет.
Хакер понял, что должен заставить VTech признать, что у них есть проблема с безопасностью, и исправить ее. Такая слабая защита личных данных детей была неприемлема. Хакер начал думать о способах решения проблемы. Он мог бы починить сайт сам, но это не научило бы VTech тому, как обеспечить его безопасность в будущем. Он думал о том, чтобы обратиться в VTech, но понимал, что они никогда его не послушают или попытаются все исправить и отрицать, что это когда-либо было проблемой. Хакеру потребовалось несколько дней на обдумывание.
Он решил рассказать СМИ. Таким образом, история разлетится по всему миру, и VTech придется быстро решить проблему. Он решил обратиться к Лоренцо Франчески-Биккьераи, репортеру Vice’s Motherboard. Motherboard — это новостное издание, специально освещающее истории, связанные с компьютерами. Многие репортеры по вопросам безопасности предоставляют людям множество способов связаться с ними анонимно. Хакер безопасно вышел на контакт с Лоренцо и передал ему записи о 4,8 миллионах пользователей и о 200 000 детей и попросил его раскрыть эту историю. Он ясно сказал Лоренцо, что является этичным хакером и не собирается использовать эти данные для чего-либо злонамеренного.
Теперь перед Лоренцо стояла задача придумать, что делать. Первое, что он попытался сделать, это определить, говорит ли хакер правду и являются ли эти данные настоящими. Худшее, что может сделать репортер, — это ложно обвинить кого-то в правонарушении. Это было бы клеветой. Это подорвало бы репутацию репортера, поэтому Лоренцо отправил базу данных Трою Ханту. Трой — исследователь безопасности, наиболее известный тем, что запустил веб-сайт haveibeenpwned.com. Трой ради интереса решил проверить базу данных на своих подписчиках, их у него было почти 300 000. Трой попытался среди них найти тех, кто также появился в пользовательском сливе VTech. Он нашел много совпадающих адресов электронной почты, поэтому связался с этими людьми. Он спросил, есть ли у них учетная запись VTech, и спросил, верны ли домашний адрес и интернет-провайдер.
Вот каковы были их ответы: «Да, это точно. Я зарегистрировался в VTech, чтобы загружать приложения для игрушечного ноутбука».
«Да, это мой старый адрес. Примерно в то же время я использовал веб-сайт VTech для своей дочери».
«Да, я получил доступ к VTech Learning Lodge в 2014 году после покупки Cora Cub для своего ребенка».
В этот момент Трой убедился, что найденные хакером таблицы, были настоящими, и рассказал об этом Лоренцо.
К тому времени Лоренцо уже несколько раз обращался в VTech. Несколько дней спустя, Лоренцо получил следующий ответ от представителя VTech по имени Грейс Пинг: «14 ноября неавторизованная сторона получила доступ к данным клиентов VTech в нашей базе данных клиентов магазина приложений Learning Lodge. Мы не знали об этом несанкционированном доступе, пока вы не предупредили нас». VTech утверждает, что они получили электронное письмо от Лоренцо, нашли доказательства взлома на следующий день, а затем через три дня выпустили пресс-релиз и уведомили своих клиентов по электронной почте. Их первоначальное заявление для прессы было расплывчатым и неясным относительно того, что было взято и на кого это повлияло. Также говорится, что пароли были зашифрованы, но технически хеширование MD5 не является методом шифрования.
Однако они заблокировали следующие сайты: planetvtech.com, vsmilelink.com и sleepybearlullabytime.com. Закрытие этих веб-сайтов было сложным решением для VTech. Представьте, что магазин приложений не работает на вашем телефоне больше месяца. Никаких обновлений, никаких загрузок, никакой отправки сообщений между устройствами. За это время их игрушки потеряли большую часть функциональности, но компания поступила правильно, отключив серверы. В противном случае они привлекли бы многих других хакеров и столкнулись бы с гораздо большей катастрофой.
Новости о слабой безопасности VTech быстро распространились. Родители всего мира были возмущены утечкой информации об их детях. VTech — компания, базирующаяся в Гонконге, но у них есть большой рынок в США, Испании, Великобритании, Германии и Франции. Акции VTech начали стремительно падать.
Хакер, взломавший VTech, еще раз взглянул на полученные данные. К своему удивлению, он обнаружил даже больше данных, чем предполагал изначально. Был некий каталог, в котором было 190 гигабайт данных. В нем содержится более 100 000 фотографий, сделанных детьми на планшетах, часах или ноутбуках. Он нашел все переписки. Все сообщения чата, которые были отправлены между планшетом ребенка и телефоном родителя. Изучив данные еще дальше, хакер обнаружил каталог, полный аудиофайлов. Он открыл одну и вот, что он услышал: "Я клянусь в верности флагу Соединенных Штатов Америки и Республике, за которую они стоят, одной нации под Богом и [неразборчиво]." Прослушать запись
Таких записей было тысячи. Хакер связался с Лоренцо и передал ему 190 гигабайт фотографий, многолетние журналы чатов и многочисленные голосовые записи. Несколько дней спустя Лоренцо опубликовал статью на Motherboard. Это добавило соль на раны VTech. Все больше родителей понимают, что личная информация их ребенка не была защищена.
1 декабря, через две недели после взлома, VTech опубликовал FAQ. В нем содержалась дополнительная информация о взломе. VTech утверждает, что было взято не просто 200 000 детских учетных записей, а 6,3 миллиона детских учетных записей. Но VTech не признала, что были сделаны какие-либо фотографии.
Затем сенаторы США Эдвард Марки и Джо Бартон отправили VTech письмо, в котором указывалось на Закон о защите конфиденциальности детей в Интернете, также известный как COPPA, закон, принятый в 1998 году для защиты детей в Интернете. Их письмо также состояло из девяти вопросов, на которые они хотели получить ответ от VTech, например, какую информацию вы собираете о детях младше двенадцати лет? Для чего вы используете эту информацию? Вы продаете что-нибудь из этого кому-нибудь? Какое шифрование используется для защиты данных? VTech не ответила сразу, но в конце концов они обновили свой FAQ, чтобы ответить на некоторые из этих вопросов.
Через месяц после взлома специализированный отдел по борьбе с преступностью в Англии поймал и арестовал 21-летнего мужчину в городке к западу от Лондона. Он был арестован по подозрению в несанкционированном использовании компьютера. Отдел по расследованию преступлений также изъял несколько найденных электронных устройств. Они также упомянули, что это может быть связано с VTech, но в пресс-релизе не было названо имя арестованного. Лоренцо попытался связаться с хакером, но так и не получил ответа. Через два месяца после взлома Лоренцо посетил выставку электроники и обнаружил, что один из стендов был VTech. Они запускали совершенно новую линейку продуктов. Однако они были не для детей. Они продавали умные лампочки, дверные датчики и камеры видеонаблюдения.
В следующем месяце VTech изменил условия обслуживания на своем сайте. Теперь заглавными буквами написано: ВЫ ПРИЗНАЕТЕ И СОГЛАШАЕТЕСЬ С ТЕМ, ЧТО ЛЮБАЯ ИНФОРМАЦИЯ, ОТПРАВЛЯЕМАЯ ИЛИ ПОЛУЧАЕМАЯ ВО ВРЕМЯ ИСПОЛЬЗОВАНИЯ ЭТОГО САЙТА, МОЖЕТ БЫТЬ ПЕРЕХВАЧЕНА НЕУПОЛНОМОЧЕННЫМИ СТОРОНАМИ. Похоже, что VTech думает, что они могут избавить себя от любых нарушений, просто сообщив своим клиентам, что их данные могут быть взломаны в любое время. Их игрушки продолжают продаваться в крупных магазинах игрушек по всему миру.
В последующие недели после взлома несколько расстроенных родителей подали в суд на VTech North America. Однако судья закрыл дело, потому что истцы не смогли показать, как именно они пострадали. Судья не смог найти никаких доказательств того, что истцам была нанесена кража личных данных или какой-либо ущерб. Судья процитировал статью Лоренцо, заявив, что нарушение было совершено кем-то, у кого не было никакого намерения использовать данные злонамеренным образом. В этой истории есть обновление. 8 января 2018 года FTC действительно обнаружила, что VTech нарушила законы COPPA. VTech согласилась выплатить штраф в размере 650 000 долларов США, наложенный FTC, но они также выпустили пресс-релиз, в котором говорится, что они не нарушили никаких законов.
Мы не видели, чтобы содержимое этого взлома отображалось ни на одном сайте даркнета. Это наводит на мысль, что хакер сдержал свое обещание и не пытался извлечь выгоду из украденных данных.
Даже сейчас, много лет спустя, до сих пор неясно, что именно случилось с хакером. Мы не знаем, арестован он или нет. Мы даже не знаем ни его имени, ни его статуса. Если бы он получил только полицейское предупреждение, то история была бы окончена. Но он все еще может сидеть где-нибудь в тюрьме. Хотя хакер действительно совершил преступление, его намерением было просто повысить безопасность данных детей.