3 года за Wingdings: как один шрифт стал угрозой жизни посетителей Диснейленда
Увольнение сотрудника превратилось в хакерскую вендетту.
Майкл Шойер получил 3 года лишения свободы и штраф почти на $688 000 за вмешательство в работу приложения Menu Creator, с помощью которого Disney формировала ресторанные меню в своих заведениях. Его действия нарушили положения американского закона о компьютерных преступлениях (CFAA) и повлекли за собой обвинения в краже личных данных.
Шойер работал менеджером по производству меню до 13 июня 2024 года, когда был уволен за служебные нарушения. По данным компании, увольнение прошло на крайне напряжённой ноте. Уже в июле, согласно подписанному им признанию вины, он начал целенаправленно портить работу приложения Menu Creator, размещённого на серверах неназванного подрядчика из Миннесоты.
Вместо оригинальных шрифтов для оформления меню Шойер подменил шрифты на Wingdings , что привело к некорректному отображению всех ресторанных меню и парализовало систему. Кроме того, он заменил фоновые изображения, что сделало страницы абсолютно белыми. В результате приложение оказалось недоступным в течение 1-2 недель, а компания отказалась от его дальнейшего использования.
Образец шрифта Wingdings (Microsoft)
Чтобы прекратить вмешательство, Disney ограничила доступ к системе и провела массовую смену паролей. Однако Шойер нашёл несколько способов вновь атаковать инфраструктуру: через административный аккаунт, используя коммерческий VPN, а также через уязвимости в URL-доступе, предоставленном подрядчикам.
Расследование показало, что IP-адреса атак совпадали с диапазоном, через который ранее происходила авторизация в почтовом аккаунте Disney, также через VPN, что позволило связать действия с Шойером. Кроме того, он получил административный доступ к серверам передачи файлов (SFTP), где хранились версии меню для печати и демонстрации.
Под его влиянием в меню были внесены крайне опасные изменения — например, ложные указания о безопасности блюд для аллергиков, что могло привести к фатальным последствиям. Он также заменил регионы происхождения вин на территории, ассоциирующиеся с массовыми расстрелами, и добавил графические элементы, включая свастику.
Позднее Шойер осуществил ещё одну волну атак, изменяя QR-коды на меню, чтобы перенаправлять посетителей на сайт, призывающий к бойкоту Израиля. По данным следствия, большинство испорченных меню было выявлено до их физического распространения.
Кроме саботажа меню, Шойер организовал серию атак типа отказ в обслуживании (DoS), направленных на блокировку корпоративных аккаунтов сотрудников. Он использовал автоматизированный скрипт для многократных неправильных попыток входа, что привело к блокировке учётных записей 14 работников.
Обыскав дом Шойера 23 сентября 2024 года, агенты ФБР обнаружили виртуальные машины, применявшиеся для атак, и файл с персональными данными пяти сотрудников Disney и матери одного из них. После изъятия оборудования атаки прекратились.
После отбытия наказания Шойеру предстоит 3 года под надзором, в течение которых ему будет запрещено связываться с Disney и пострадавшими лицами.