Епічний хак і епічний провал: тільки так і можна назвати нещастя, що спіткало цієї весни найбільший (або, згадуючи успіхи китайців, один з найбільших) інтернет-аукціонів, eBay. Він був зламаний і втратив неймовірну кількість записів про своїх клієнтів. Втім, історія ця повчальна навіть не масштабом самого хака (воістину, для зломщиків не існує занадто великих компаній), а його наслідками: eBay, очевидно якраз вважала себе занадто великий, щоб бути вразливою для дрібниць життя, повела себе далеко не кращим чином, ніж багато разів збільшила криза.
В історії цієї, крім зашифрованих паролів, була ще пара обставин, які повинні були пом'якшити потенційно катастрофічні наслідки. З'ясувалося, що eBay зберігає номери клієнтських пластикових карт в окремій базі, вкрасти яку не вдалося - ну або, як висловилася прес-служба, «немає свідчень, що її вкрали» (що, взагалі кажучи, не одне й те саме). Плюс до того, проведений терміновий аудит логів «не виявив будь-якої підозрілої активності» на клієнтських рахунках. Все це дозволило припустити, що зламати вкрадені паролі не вдалося. І це розслабила керівництво компанії - яке повело себе непростимо по відношенню до клієнтів.
Першою помилкою стала затримка з визнанням факту злому. Вважається, що компанія зволікала близько двох тижнів, перш ніж нарешті зізнатися публічно. Але і тоді зробила вона це на сайті Ebayinc.com, де буває мало хто з простого люду. Лише в п'ятницю 23-го, після того як про те, що трапилося дізналася преса, повідомлення з'явилося на головному сайті (ebay.com), а деяким (не всім!) Клієнтам були розіслані листи з пропозицією змінити паролі.
На жаль, навіть тут співробітники eBay примудрилися начудуватися. Листи розіслали тільки частини клієнтів, і ні з листів, ні з повідомлення не було ясно, що ж саме відбулося. Формулювання виявилися неповними і туманними, а на сайті PayPal (ця платіжна система давно вже частина eBay) замість офіційного нотайса зовсім з'явилася якась зроблена наспіх заготовка. PayPal грала тут особливу роль, адже вона фактично зберігає гаманці клієнтів eBay - проте це ніяк не вплинуло на якість пояснень: не було зрозуміло, чи постраждав хтось і як, чи не порушена чи PayPal (лише пізніше було підтверджено, що бази у неї окремі і зломщики до них не дісталися). Це підлило масла у вогонь вже палахкотів до того моменту паніки.
До великих кібервзломам Америці не звикати: ще не вляглися пристрасті навколо хака мережі магазинів Target. де потенційно постраждалими виявилися 40 млн чоловік. Але реакція eBay вразила всіх. Вона явно не замислювалася і не готувалася до можливості злому. У неї не виявилося заздалегідь підготовленого плану евакуації, і діяти довелося по обстановці, імпровізуючи, що погано саме по собі, не рахуючи того, що eBay цього і не вміла. Компанія, яка веде бізнес з таким розмахом, могла і повинна була підготуватися!
Мабуть, єдина користь, яку може отримати суспільство з того, що сталося, полягає в досягнутому розумінні, що компанії всіх розмірів необхідно законодавчо примусити оперативно розкривати повну інформацію про події, що зломи і витоках призначених для користувача даних. Використовувала eBay оборотне шифрування паролів - або ж необоротно хешировать їх (у другому випадку злом складніше)? Дбала чи про захист своїх баз від сторонніх і чи належним чином? Сплатить своїм клієнтам реалтаймовий моніторинг їх пластикових карт строком, скажімо, на рік, на всякий пожежний випадок (піддані зломів західні компанії поки практикують таке з доброї волі)?
Необхідність чути відповіді на ці питання ще до того, як вони будуть задані, назріла: сьогодні компанії, особливо великі, зіткнувшись зі зломом, вважають за краще відмовчуватися або затягувати розкриття інформації, приносячи безпеку клієнтів в жертву власному іміджу. Випадок же eBay для нас особливо актуальний: восени туди планується пустити російські юрособи.
У статті використані ілюстрації Leo Fung. Brian Cantoni. Fastcompany.
Сенс в тому, щоб трохи ускладнити зловмисникам життя. Або ви думаєте від хорошого життя паролі в НАСА змінюються кожні 16 годин?
Будь-який захід безпеки ускладнює життя користувачеві. Просто треба порівнювати ступінь незручності з можливими втратами.
Про НАСА - не пам'ятаю вже. Десь щось траплялося. Часто - щоб скоротити можливість злому, передачі тому, кому не слід і т.п.
Все залежить від цінності інформації, яку ви зберігаєте на сайтах. Якщо вона для вас не має значення - так, можна особливо не турбуватися. Але раптом там щось дійсно важливе?
Загалом, як я вже написав, заходи захисту залежать від розміру можливих збитків. Цим правилом і слід керуватися.
може, хоч 16 діб ??
хоча, скоріше - тижнів (у нас на 12 тижнів паролі).
на 16 годин пароль робити безглуздо.
Тоді порушуються існуючі базові принципи CRM і, відповідно, збільшуються витрати виробників і їх продавців по всьому ланцюжку. Тут варто заслухати євангелістів CRM)
Якщо за неправильне поводження з такими даними штрафувати аж до банкрутства, то це може переважити боязнь витрат ...
Хто буде визначати це правильне поводження. Хто буде за це штрафувати. Держава та її виконавчі органи. Або кілька держав з усіма їх виконавчими органами. Ось бачите, я задав всього чотири питання, а грамотні юристи їх зададуть чотириста ..
Ще 2-3 таких проколу і люди будуть купувати в крамниці за рогом. Ось тоді такі іБеі самі все зроблять, без будь-якого держави.
Та годі вам. Типу, це перший випадок, коли крадуть бази паролів. І що змінилося з точки зору кінцевих користувачів? Да нічого. Кожен думає, що його вже така доля не спіткає і продовжує наступати на ті ж граблі. Розумні люди намагаються бути обережним, заводячи спеціальні рахунки для розплати в Інтернеті і тримаючи на них гроші, необхідні тільки для поточної покупки. Але принципово нічого не змінюється.