Как всего один системный параметр поставил под угрозу физическую безопасность сотен клиентов компании?
Интересное событие совсем недавно произошло в киберпространстве. Профессор одного из немецких университетов готовил унаследованные им картины на продажу через знаменитый аукционный дом Christie’s. С помощью своего iPhone он сфотографировал работы у себя дома, чтобы позже загрузить эти фото на сайт платформы.
Однако, загружая изображения на площадку, профессор и не подозревал, что туда также подгрузятся и полные данные геолокации со снимков, раскрывая всем желающим физическое местоположение работ.
Причём координаты с фотографий были настолько точны, что выдавали не только домашний адрес профессора, но и позволяли определить с точностью до метра, где конкретно в здании хранились ценные произведения искусства.
Попади эта информация в руки каким-нибудь домушникам, физическая безопасность профессора и сохранность его имущества могли быть поставлены под сомнение. Чего стоит подготовленной банде из нескольких человек ворваться в обычный жилой дом и обчистить его владельца, прихватив как вышеуказанные картины, так и ещё что-нибудь ценное?
Уязвимость в сервисе Christie’s обнаружили исследователи Мартин Чирсич и Андре Цильх из немецкой компании по кибербезопасности Zentrust Partners. Как сообщается, сотни других потенциальных клиентов Christie’s также подверглись влиянию этой бреши в безопасности платформы.
В конце июля Агентство кибербезопасности США (CISA) уже предупреждало общественность о подобном типе уязвимостей. По данным агентства, такие недостатки безопасности уже успели подвергнуть миллионы пользователей компрометации данных.
Представители платформы Christie’s, утверждающей о своей приверженности к бережному обращению с персональными данными, отказались ответить на вопросы или подтвердить выводы исследователей. Однако компания всё же предприняла некоторые шаги к решению проблемы, хоть и только после привлечения крупных СМИ.
Неясно, информировал ли вообще аукционный дом Christie’s своих клиентов о нарушении безопасности. Как сообщил вышеупомянутый немецкий профессор, с ним представители компании точно не связывались, а о факте публикации местоположения своих работ профессор узнал уже постфактум от журналистов.
Чирсич и Цильх также сообщили, что предупреждали Christie’s об этой серьёзной уязвимости ещё до того, как о ней стало известно публично.
Многие технологические компании платят исследователям за раскрытие подобных недостатков безопасности, но Christie’s не из их числа. Исследователи предложили компании свою бесплатную помощь в устранении уязвимости, однако и это предложение было проигнорировано.
По словам Чирсича, на принятие временных мер с помощью специалистов потребовались бы считанные часы, а на полное устранение уязвимости — два дня. Однако в Christie’s от предложенной помощи отказались, провозившись с устранением проблемы гораздо дольше. Этим шагом компания подставила своих клиентов ещё больше.
Исследователи считают, что свойственное некоторым компаниям игнорирование экспертных предупреждений, вызывает множество вопросов о приоритетах таких компаний в сфере кибербезопасности.
Аукционному дому Christie’s явно следует пересмотреть своё отношение к подобным инцидентам, чтобы избежать утечек данных и угрозы физической безопасности своих клиентов в будущем.
От классики до авангарда — наука во всех жанрах