ИБ-эксперт Крис Викери на прошлой неделе нашел серьезные уязвимости в продуктах компании uKnowKids, которая занимается производством систем родительского контроля. Однако, когда специалист рассказал представителям uKnowKids о своей находке, вместо благодарности в его адрес прозвучали угрозы.
Викери ведет регулярный мониторинг интернета в поисках уязвимых или неправильно настроенных баз данных. Так, в прошлом году он выявил массовую утечку информации об избирателях и налогоплательщиках из США.
Теперь исследователем был зафиксирован незащищенный сервер, который принадлежит компании uKnowKids. На сервере функционировала уязвимая база MongoDB. 16-17 февраля 2016 года Викери загрузил ее для изучения данных и проверки их подлинности, а после связался с сотрудниками компании. Из-за неверно заданных прав к содержимому базы мог получить доступ любой человек.
При ознакомлении с содержимым базы Викери нашел свыше 6,8 миллионов приватных текстовых сообщений, порядка 2 миллионов изображений и более 1700 детских учетных записей. В каждом аккаунте присутствовали имя и фамилия, адрес электронной почты, дата рождения, координаты GPS, а также учетная информация, необходимая для доступа к социальным сетям. Как утверждает эксперт, база находилась в открытом доступе на протяжении 48 дней.
После успешной верификации загруженных данных Викери поспешил выйти на связь с сотрудниками компании uKnowKids, чтобы проинформировать их о проблеме. Однако эксперт столкнулся с крайне агрессивной реакцией представителей компании. Выяснилось, что база данных, загруженная Викери, являлась коммерческой тайной, поскольку в ней находилась интеллектуальная собственность компании, включая секретные алгоритмы работы платформы uKnowKids.
В официальном блоге uKnowKids представители компании заявили, что их база данных была несколько раз взломана хакером по имени Крис Викери, проживающим в Остине, штат Техас. Сотрудники компании заверили клиентов, что похищенная база данных содержала только 0,5% от всей пользовательской информации. Кроме того, в сообщении от представителей компании неоднократно подчеркивается, что уязвимость была устранена в течение 90 минут после того, как она была обнаружена. Также сотрудники компании опубликовали IP-адреса Викери, всю хронологию «взлома» по минутам и назвали эксперта «опасным преступником», предъявив ему обвинения в хищении персональных данных и промышленном шпионаже.
В свою очередь Викери в своем блоге написал, что их уязвимая платформа uKnowKids нарушает Закон о защите персональных данных детей в Интернете. Помимо этого, эксперт сообщил о том, что глава uKnowKids Стив Воды угрожал ему по телефону несмотря на то, что днем ранее из компании в его адрес пришло очень вежливое письмо с благодарностью. По словам эксперта, общение с компаниями, видимо, следует вести только в письменной форме, поскольку руководители корпораций не имеют склонности следить за своими манерами в ходе переговоров по телефону.
В результате инцидент, по всей видимости, разрешился мирным путем. Викери удалил загруженные им данные uKnowKids при том, что изначально не намеревался делать этого. Он хотел сохранить в своем распоряжении доказательства халатности компании, боясь возможных обвинений в клевете. Для собственной безопасности Викери постарался сохранить как можно больше скриншотов.
Представители uKnowKids опубликовали в официальном блоге результаты внутреннего расследования. Стив Вода вновь заверил пользователей, что уязвимость удалось устранить за 90 минут, и сообщил, что исследователь, несущий ответственность за проникновение, согласился удалить все данные, полученные при «взломе», и даже выразил Викери благодарность за проделанную работу. При этом он, как и раньше, продолжает называть Викери исследователем в кавычках.