Спецпроекты

Эксперта по ИБ арестовали за демонстрацию фатальной бреши в ПО

8952
Безопасность Новости поставщиков Бизнес Законодательство Кадры Интернет Веб-сервисы ИТ в госсекторе
Болгарский ИБ-специалист выявил уязвимость в ПО для детских садов, которую могут использовать хакеры для кражи данных о сотнях тысяч жителей Болгарии. Вместо благодарности за выполнение своей работы он может получить крупный штраф и лишиться свободы.

Арест за благое дело

Болгарский специалист в области информационной безопасности Петко Петров (Petko Petrov) попал под арест за выполнение своей работы. Он обнародовал в Сети информацию об уязвимости в специализированном ПО, используемом в детских садах Болгарии и разработанном компанией Information Services AD. Сайты, использующие «дырявое» программное обеспечение, позволяют родителям оформить заявку на поступление своего ребенка в детский сад.

По данным ZDNet, Петров не только сообщил о факте существования уязвимости, но и показал процесс ее использования. Как сообщили представители полиции, ИБ-эксперт получил доступ к данным о более 235 тыс. жителей города Стара-Загора (Болгария), в котором проживают приблизительно 330 тыс. человек.

Бездействие разработчиков

Процесс эксплуатации уязвимости Петко Петров записал на видео, а получившийся ролик выложил в социальной сети Facebook 25 июня 2019 г. Петров доказал, что процесс взлома можно полностью автоматизировать, и что доступ ко всем личным данным, оставленным пользователями ресурса, может получить практически любой человек.

По словам эксперта, он неоднократно предпринимал попытки связаться как с разработчиками забагованного приложения, так и напрямую с властями Стара-Загоры, но все они были тщетны.

Петко Петров оказал Болгарии большую услугу, за которую может поплатиться своей свободой

Помимо ролика, компрометирующего ПО Information Services AD больше самого факта наличия в нем столь серьезной уязвимости, Петко Петров опубликовал в сети ссылку на репозиторий в GitHub (принадлежит Microsoft) с хранящимся в нем PoC-кодом. Доступ к нему Петров открыл для всех.

Взлом в масштабах страны

После публикации в Facebook видео со взломом муниципальных сайтов Стара-Загоры и ареста Петко Петрова скомпрометированное ПО за авторством Information Services AD было удалено с городских ресурсов. Скольким людям удалось воспользоваться уязвимостью, полицейские Стара-Загоры не сообщают.

Как отметил сам ИБ-эксперт, программное обеспечение с выявленной им уязвимостью используется и ряде других населенных пунктов Болгарии. Фактически скомпрометированными могут быть данные практически каждого жителя Болгарии. Сведения, которые смог скачать Петров в ходе своего «эксперимента», обычно содержатся в центральной национальной базе данных Болгарии. К ним относятся имена, фамилии, семейный статус, информация о родственниках, номер паспорта и др.

Дальнейшая судьба эксперта

Петко Петров попал под арест 28 июня 2019 г., однако на момент публикации материала был отпущен на свободу. В камере он пробыл не больше суток. В настоящее время власти Стара-Загоры и Болгарии занимаются рассмотрением вопроса о предъявлении ему обвинений в получении личной информации незаконным способом (предусмотрено ст. 319А УК Болгарии).

В том случае, если Петрова признают виновным в совершении означенного преступления, ему будет грозить штраф в размере до 5000 болгарских лев (183,6 тыс. руб. по курсу ЦБ на 1 июля 2019 г.). Также над ним нависла угроза тюремного заключения сроком до трех лет. Дата рассмотрения дела на момент публикации материала назначена не была.

По состоянию на 1 июля 2019 г. не было известно, как Петров поступил со скачанной информацией – он мог удалить ее или передать третьим лицам для использования или дальнейшего распространения.

ИБ-эксперт – опасная профессия

Петко Петров – не первый специалист в сфере информационной безопасности, пострадавший из-за стремления защитить пользовательские данные. В апреле 2018 г. ИБ-эксперт, имя которого источники не называют, обнаружил серьезную уязвимость в системах телекоммуникационной компании Magyar Telekom. Он надлежащим образом уведомил компанию о своей находке, и его пригласили на встречу с руководителями. На ней вскользь прозвучали слова о возможном сотрудничестве, но это ни во что не материализовалось.

Хакер продолжал тестировать системы Magyar Telekom на возможность проникновения и в начале мая 2018 г. нашел еще одну брешь, которая позволяла получить доступ ко всему трафику (и деловому, и гражданскому), а также мониторить серверы компаний, обслуживаемых «дочкой» Magyar Telekom — T-Systems Hungary.

В тот же день представители Magyar Telekom подали в полицию жалобу на вторжение неизвестного хакера, что привело к аресту эксперта.

Маркус Хатчинс, как и Петко Петров, пострадал из-за своей работы

Другой похожий случай произошел в августе 2017 г.. В США был арестован эксперт по безопасности Маркус Хатчинс (Marcus Hutchins), прославившийся тем, что нашел слабое место у первой волны вируса-шифровальщика WannaCry. Согласно судебному ордеру, опубликованному ФБР, на Хатчинса пало подозрение в сговоре с целью рекламы и продажи, а также в создании банковского троянца Kronos.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка