Пентестер взломал крупного оператора связи Канады

8 июля в системе канадского оператора связи Rogers с 10 млн. абонентов произошел сбой. По словам президента и главного исполнительного директора Rogers Тони Стаффьери , канадцы не могли связаться со своими семьями, а предприятия не могли проводить транзакции. Также нельзя было совершать экстренные и основные вызовы.

По словам Стаффьери, 19-часовой сбой был вызван техническим обновлением в основной сети. Министр промышленности Канады Франсуа-Филипп Шампань объявил о расследовании сбоя в работе сети.

Пользователь под ником Rektengle, который занимается поиском ошибок в течение 17 лет, пытался предупредить компанию о недостатке 7 июля, за день до сбоя. Хакер сообщил об ошибке, которую он предположительно нашел в системах Rogers и использовал её.

Rektengle заявил, что взломал систему Rogers, чтобы проверить защиту, и не причинил вреда. Специалисту удалось получить доступ к Active Directory и внутренним данным компании.

По словам хакера, ошибка связана с Log4j. Также он описал способ взлома Rogers, но попросил не разглашать информацию. По заявлению Rektengle, он несколько дней связывался со службой поддержки Rogers, чтобы помочь компании исправить уязвимость. В ответ менеджер Rogers подтвердил, что компания была взломана.

Представитель компании Rogers отрицает факт взлома. По его словам, сбой системы вызван техническим обновлением основной сети. Также представитель отказался комментировать сообщения Rektengle.

«Мы отключили конкретное оборудование и перенаправили трафик, что позволило нашей сети и службам вернуться к работе», - заявил представитель Rogers.

По заявлениям Rektengle, он охотится за ошибками, чтобы сделать мир безопаснее. «Пожалуйста, приведите своих ИБ-специалистов, я помогу им это исправить», — написал Rektengle в сообщении компании.

Однако, даже с самыми лучшими намерениями тестировать баг путем взлома компании — не самый правильный поступок. Rektengle утверждает, что фирма Rogers должна ему вознаграждение за обнаружение уязвимости. На самом деле действия хакера можно приравнять к вымогательству и побудить конкретную организацию выдвинуть обвинения.

По словам старшего исследователя Cybernews Мантаса Саснаускаса, компании обычно отмахиваются от найденных уязвимостей и публикуют заявления о проведении технического обслуживания. Однако, наличие этого обслуживания вызывает сомнения.

«С другой стороны, пользователь, который пытался сообщить об ошибке, не должен был угрожать. Кроме того, его профиль в Twitter не похож на профиль пентестера. Существуют политики и законы, которым нужно следовать. Нельзя сообщать об уязвимостях в соцсетях, создающих угрозы», - добавил исследователь.

Отношение к хакерам в белой шляпе изменилось уже довольно давно. На данный момент пентестерам, которые исследуют системы в поисках уязвимостей и помогают организациям исправить их, больше не предъявляют обвинения. Однако, даже этичные хакеры должны следовать определенным протоколам. Им следует сообщать об ошибках через платформы или программы Bug Bounty, а не писать сообщения компании в соцсетях, не говоря уже о взломе систем организации с целью доказательства наличия уязвимости.