Спецпроекты

Эксперта по ИБ арестовали за демонстрацию фатальной бреши в ПО

9018
Безопасность Новости поставщиков Бизнес Законодательство Кадры Интернет Веб-сервисы ИТ в госсекторе
Болгарский ИБ-специалист выявил уязвимость в ПО для детских садов, которую могут использовать хакеры для кражи данных о сотнях тысяч жителей Болгарии. Вместо благодарности за выполнение своей работы он может получить крупный штраф и лишиться свободы.

Арест за благое дело

Болгарский специалист в области информационной безопасности Петко Петров (Petko Petrov) попал под арест за выполнение своей работы. Он обнародовал в Сети информацию об уязвимости в специализированном ПО, используемом в детских садах Болгарии и разработанном компанией Information Services AD. Сайты, использующие «дырявое» программное обеспечение, позволяют родителям оформить заявку на поступление своего ребенка в детский сад.

По данным ZDNet, Петров не только сообщил о факте существования уязвимости, но и показал процесс ее использования. Как сообщили представители полиции, ИБ-эксперт получил доступ к данным о более 235 тыс. жителей города Стара-Загора (Болгария), в котором проживают приблизительно 330 тыс. человек.

Бездействие разработчиков

Процесс эксплуатации уязвимости Петко Петров записал на видео, а получившийся ролик выложил в социальной сети Facebook 25 июня 2019 г. Петров доказал, что процесс взлома можно полностью автоматизировать, и что доступ ко всем личным данным, оставленным пользователями ресурса, может получить практически любой человек.

По словам эксперта, он неоднократно предпринимал попытки связаться как с разработчиками забагованного приложения, так и напрямую с властями Стара-Загоры, но все они были тщетны.

Петко Петров оказал Болгарии большую услугу, за которую может поплатиться своей свободой

Помимо ролика, компрометирующего ПО Information Services AD больше самого факта наличия в нем столь серьезной уязвимости, Петко Петров опубликовал в сети ссылку на репозиторий в GitHub (принадлежит Microsoft) с хранящимся в нем PoC-кодом. Доступ к нему Петров открыл для всех.

Взлом в масштабах страны

После публикации в Facebook видео со взломом муниципальных сайтов Стара-Загоры и ареста Петко Петрова скомпрометированное ПО за авторством Information Services AD было удалено с городских ресурсов. Скольким людям удалось воспользоваться уязвимостью, полицейские Стара-Загоры не сообщают.

Как отметил сам ИБ-эксперт, программное обеспечение с выявленной им уязвимостью используется и ряде других населенных пунктов Болгарии. Фактически скомпрометированными могут быть данные практически каждого жителя Болгарии. Сведения, которые смог скачать Петров в ходе своего «эксперимента», обычно содержатся в центральной национальной базе данных Болгарии. К ним относятся имена, фамилии, семейный статус, информация о родственниках, номер паспорта и др.

Дальнейшая судьба эксперта

Петко Петров попал под арест 28 июня 2019 г., однако на момент публикации материала был отпущен на свободу. В камере он пробыл не больше суток. В настоящее время власти Стара-Загоры и Болгарии занимаются рассмотрением вопроса о предъявлении ему обвинений в получении личной информации незаконным способом (предусмотрено ст. 319А УК Болгарии).

В том случае, если Петрова признают виновным в совершении означенного преступления, ему будет грозить штраф в размере до 5000 болгарских лев (183,6 тыс. руб. по курсу ЦБ на 1 июля 2019 г.). Также над ним нависла угроза тюремного заключения сроком до трех лет. Дата рассмотрения дела на момент публикации материала назначена не была.

По состоянию на 1 июля 2019 г. не было известно, как Петров поступил со скачанной информацией – он мог удалить ее или передать третьим лицам для использования или дальнейшего распространения.

ИБ-эксперт – опасная профессия

Петко Петров – не первый специалист в сфере информационной безопасности, пострадавший из-за стремления защитить пользовательские данные. В апреле 2018 г. ИБ-эксперт, имя которого источники не называют, обнаружил серьезную уязвимость в системах телекоммуникационной компании Magyar Telekom. Он надлежащим образом уведомил компанию о своей находке, и его пригласили на встречу с руководителями. На ней вскользь прозвучали слова о возможном сотрудничестве, но это ни во что не материализовалось.

Хакер продолжал тестировать системы Magyar Telekom на возможность проникновения и в начале мая 2018 г. нашел еще одну брешь, которая позволяла получить доступ ко всему трафику (и деловому, и гражданскому), а также мониторить серверы компаний, обслуживаемых «дочкой» Magyar Telekom — T-Systems Hungary.

В тот же день представители Magyar Telekom подали в полицию жалобу на вторжение неизвестного хакера, что привело к аресту эксперта.

Маркус Хатчинс, как и Петко Петров, пострадал из-за своей работы

Другой похожий случай произошел в августе 2017 г.. В США был арестован эксперт по безопасности Маркус Хатчинс (Marcus Hutchins), прославившийся тем, что нашел слабое место у первой волны вируса-шифровальщика WannaCry. Согласно судебному ордеру, опубликованному ФБР, на Хатчинса пало подозрение в сговоре с целью рекламы и продажи, а также в создании банковского троянца Kronos.



Тема месяца

Обзор: ИКТ в госсекторе

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов

Взгляд месяца

Почему идея внутренней разработки себя не оправдала

Александр Глазков

председатель совета директоров, «Диасофт»