На выходных в Рунете разгорелся скандал: в результате купонной акции на российской версии китайской торговой площадки JD.com в последней обнаружилась... некая уязвимость, которая позволила любым желающим получить доступ к данным клиентов: именам, адресам, телефонам и пр. А с помощью простейшего скрипта в несколько строк с перебором номера заказа из ссылки можно было выгрузить базу из сотен тысяч российских клиентов JD.com. Что, собственно, и было сделано, поскольку в JD.com не смогли оперативно отреагировать на ситуацию и «залатать» обнаруженную дыру.

«Взлом» российской версии JD.com: а был ли хакер?

JD.com предоставил официальный комментарий следующего содержания. Дескать, «купонная акция, проходившая 23 октября, оказалась очень популярной среди пользователей, и поэтому она привлекла внимание неизвестных хакеров». Именно последние, согласно позиции JD.com, и нарушили работу площадки, что привело к «неадекватному отображению информации некоторых заказов». Также в заявлении говорится, что сейчас работа сайта восстановлена, а винить во всем, не исключено, стоит конкурентов.

Все бы хорошо, но специалисты по информационной безопасности придерживаются несколько иной версии событий. Вот что рассказали DGL.ru в «Лаборатории Касперского»:

Антон Иванов, антивирусный эксперт «Лаборатории Касперского»:

По имеющийся у нас информации, получить персональные данные пользователей из данного интернет-магазина стало возможно в результате ошибки в реализации программного движка платформы. При формировании URL со специальными параметрами можно было получить список на заказы других пользователей данного ресурса. Помимо списка заказов пользователей можно было получить уникальный номер заказа и, используя его, получить персональные данные покупателя (используя подстановку данного параметра в URL). Такое становится возможным в результате некорректной реализации механизма контроля сессии работы пользователя. Также стоит отметить, что злоумышленникам не составит труда полностью автоматизировать процесс получения персональных данных пользователей.

В ESET Russia солидарны с коллегами из «Лаборатории Касперского»:

Артем Баранов, ведущий вирусный аналитик ESET Russia:

Речь идет об ошибке в коде, которую допустили администраторы этого магазина. Ситуация недопустима с точки зрения конфиденциальности персональных данных пользователей. Что касается использования банковских данных клиентов JD.com злоумышленниками, то такой информации пока нет. Но в теории такая утечка также вполне возможна. Проблема в том, что ряд площадок работает на программных платформах, имеющих уязвимости, причем магазины не могут самостоятельно отслеживать их закрытие. Можно предположить, что репутационные риски крупнейших магазинов выше, чем у малоизвестных игроков. Следовательно, они уделяют больше внимания вопросам безопасности и располагают ресурсами для предотвращения внештатных ситуаций.

Впрочем,  представители индустрии не видят в произошедшем ничего ужасного. В конце концов, JD.com не первый (и наверняка - не последний) онлайн-магазин, допускающий утечку данных пользователей. Достаточно вспомнить историю со взломом одного из крупнейших американских онлайн-магазинов Zappos.com, который привел к  разглашению данных сотен тысяч пользователей.

Александр Иванов, президент Национальной ассоциации дистанционной торговли:

Ничего хорошего в такой утечке, если она имела место быть, нет. Я бы не стал говорить о каком-то репутационном ущербе для индустрии дистанционной торговли или конкретного игрока на рынке, так как к сожалению институт репутации у нас в стране отсутствует. Мы видели куда более захватывающие фокусы, которые устраивали те или иные представители рынка и нельзя сказать, что это как-то им повредило в долгую.

Обращения граждан в Роскомнадзор понять можно, и ведомство на них наверняка отреагирует- в этом его работа и состоит. Но важно понимать, что большинство утечек действительно важной информации идут как раз от государства, а не от частных компаний: достаточно вспомнить все эти базы, продающиеся на «Горбушке». Информацию же о том, что я купил за 100 долларов ботинки 43-го размера я бы не назвал критически важной. Хотя, повторюсь, все равно это неприятно.

Действительно: все это неприятно. Неприятно и то, что гигант китайской интернет-торговли содержит свою площадку в ненадлежащем техническом состоянии. И то, что этот факт вскрылся именно таким образом, то есть путем предоставления публичного доступа к  данным о тысячах пользователей. И то, что сохранность банковских данных пользователей теперь тоже находится под вопросом. Нет-нет, с этими самыми данными пока ничего страшного не случилось. И, надеемся, не случится. Но вот репутационные проблемы JD.com обеспечены. 

Что же до покупателей, то, несмотря на то, что данные пластиковых карт не скомпрометированы, все не так безоблачно. Ведь дело в том, что полученных сведений достаточно для проведения множества различных воздействий. Имея на руках имена, адреса, телефоны можно попробовать получить обманом и другую, более значимую информацию, например доступ к банковскому счету или к вашей учетной записи в социальных сетях. Или использовать имеющиеся данные иным образом. 

P. S. И еще немного о вышеописанной ситуации. По этой ссылке Эльдар Муртазин делится рассказом о том, как его пытались купить некие темные личности, то ли связанные, то ли не связанные с JD.com. 

 

3527