Вооруженная группа агентов ФБР вломилась в дом к специалисту по информационной безопасности, обнаружившего данные 22000 пациентов зубной клиники в открытом доступе. Джастин Шафер, тот самый специалист, проснулся от грохота в 8.30 утра. Он, его жена и трое детей мирно спали, когда кто-то начал трезвонить в дверной звонок, а затем сильно стучать в дверь.
«Моей первой мыслью было, что мой отец умер, но когда я подошел к двери, увидел мигающие синие и красные огни», — рассказывает шафер. Когда он открыл дверь, увидел более 10 агентов ФБР. Один из них направлял на Шафера штурмовую винтовку. При этом в его доме, буквально в полуметре, стояла детская кроватка с младенцем. Агенты приказали Шаферу завести руки за спину, и надели на него наручники. Жена пыталась объяснить, что в доме трое маленьких детей, а сам Шафер не преступник. Сам он, будучи в трусах, вообще не понимал, что происходит и почему. В течение последующих нескольких часов агенты изъяли всю компьютерную технику и девайсы Шафера. Были изъяты даже журналы Dentrix (всего ФБР забрало 29 вещей). Дома остался только телефон жены.
Скриншот с ftp-сервера Eaglesoft
И только потом Шафер узнал, из-за чего ФБР нагрянуло к нему в дом. Оказалось, что причина — обнаружение специалистом FTP-сервера компании Eaglesoft, производителя медицинского софта для стоматологов. Как оказалось, на этом сервере хранились данные тысяч пациентов стоматологий, и любой желающий мог получить к ним доступ. Шафер связался с администрацией DataBreaches.net, попросив уведомить производителя софта. Как только уязвимость была ликвидирована, он опубликовал информацию о своей находке. Еще чуть позже специалист обсуждал проблему в своем блоге.
Как оказалось, Patterson Dental, компания, подразделением которой является Eaglesoft, обвинила Шафера в несанкционированном доступе к серверам Eaglesoft и данным пациентов. В итоге специалист по информационной безопасности не получил благодарности от компании, чью проблему он решил, но зато получил целую кучу вооруженных гостей с последующими проблемами в виде разбирательств с ФБР.
Комментарии (86)
densss2
29.05.2016 14:54+18Буду краток: мудаки!
25080205
31.05.2016 20:28Надо продавать нахрен дыру — и вероятность попасться меньше, и если таки натянут, то хоть будет за что.
charypopper
05.06.2016 20:49+1Пожелаем компании, чтобы им не попадались такие добрые люди, не пользующиеся уязвимостями их систем, чтобы следующий, найдя такую базу данных, наносил миллионные ущербы, пока они не научатся думать, прежде чем жаловаться.
gigimon
29.05.2016 15:07+3А как может быть несанкционированный доступ, если это был открытый ftp?
nerdeek
29.05.2016 15:26+4Теоретически, может. Если дверь не закрыта на замок — это (в общем случае) ещё не означает, что в неё разрешено проходить каждому желающему. Особенно если там было предупреждение типа «данная информация только для сотрудников компании такой-то».
Хотя, конечно, по самому своему смыслу эпизод вопиющий. Желание помогать кому-либо, указывая на проблемы с его безопасностью, такие вот ситуации отбивают очень сильно.
DistortNeo
29.05.2016 16:28+2Очевидно же, что подобные исследователи наносят вред бизнесу: приходится оплачивать время сотрудников на исправление проблем, терять убытки вследствие падения репутации от публикаций о найденных уязвимостях. Вот поэтому бизнес и огрызается. Когда вопрос касается денег — мораль отходит на второй план.
А раз нет юридической разницы между исследовательским и злонамеренным поиском уязвимостей, то зачем строить из себя белого и пушистого? Например, анонимно выложить уязвимость в паблик, а затем подать коллективный иск от пострадавших пациентов.
Elmot
29.05.2016 18:47+4А потыренные ПД пациентов не нанесут ущерба бизнесу? Это как сказать водителю грузовика, что у него колесо спущено, а в ответ получить в глаз за то, что работать мешаешь.
MichaelBorisov
30.05.2016 01:36А что, разве так в жизни не бывает?
Elmot
30.05.2016 01:40+1Бывает, но мне почему-то думалось, что в клиниках должны работать люди слегка умнее, чем самые тупые из водителей.
greenhack
06.06.2016 09:32Как-то переходя улицу увидел, что у Газели, стоящей на светофоре, течет радиатор. По доброте душевной сказал об этом водителю. В ответ чуть ли не матом был послан. После таких моментов начинаешь терять веру в человечество.
Alexeyslav
06.06.2016 14:59А теперь представьте что вы уже сотый кто ему это говорит, на каждом светофоре… а он в сервис едет, и в салоне пару бутылок с дистиллированной водой чтобы доливать.
greenhack
06.06.2016 19:11Лично я бы сказал спасибо. Хоть сотый, хоть тысячный раз. Принцип бумеранга никто не отменял и, поверьте — он работает.
25080205
06.06.2016 23:47Примерно то же самое было пару раз — но игнор без мата, типа, «спасибо, я знаю».
Mixim333
30.05.2016 17:52>>… терять убытки вследствие падения репутации от публикаций о найденных уязвимостях
Думаю, каждый из нас прекрасно понимает, что не существует замка\двери, которые нельзя было бы взломать и это вполне логично. Для меня: если компания, которая владеет моими персональными данными, публично сообщает, что закрыла в своем софте огромную дыру, через которую МОГЛИ утечь ПД — это говорит о том, что компания проводит аудит безопасности и для меня автоматически ставит ей пусть и небольшой, но все же плюс в карму. Если же компания заявляет, что у нее супер мощная защита, что ее взломать невозможно, то я делаю о такой компании следующий вывод: «зазнайка» (нет ничего невозможного).
Поэтому глупо устраивать такие маски-шоу для обычного, ничем не примечательного гражданина.
Arastas
30.05.2016 18:56Это для Вас. А вот для сферического обывателя логика, как мне кажется, может быть строго противоположной. Сам факт того, что слова «утечка данных» и имя компании оказались в одном предложении, может оставить неприятный осадок и негативно сказаться на репутации.
Pakos
31.05.2016 09:49Согласен с предыдущим оратором. Когда была первая информация об отзывах машин, то люди полагали что машины при этом забирают и утилизируют, ибо в них обнаружился фатальный недостаток и компания, которая делает отзыв, плохая, ибо бракоделы. Не то что ВАЗ, у которого такого понятия как отзыв или не было или о нём не слышали. Лажают все, но кто-то исправляет недостатки(и они плохие), а кто-то — «у нас нет брака, это слухи»(это не про ВАЗ в данном случае, а про даже 2х других производителей), хотя форумы полны сообщениями о проблемах и иногда о победе над ней, но для не читавшего они хорошие. Люди видят страшное слово в тельавизоре — отзыв, взлом, утечка и паникуют, выход — прикинуться вето^Wfl.ru/jd.com и не отcвечивать.
Urrus
05.06.2016 20:49Так а смысл-то какой огрызаться? Чтобы «неповадно было»? Компания же от этого ничего выиграть не может — мало того, что она будет медленее залатывать такие уязвимости, потому что дополнительные помощники уйдут, так еще эти уязвимости будут втихоря пордаваться заинтересованным людям. Что мешает похорошему договориться, в том числе и о том, чтобы не публиковать информацию в блоге?
Alexeyslav
06.06.2016 13:46Тут вообще имеет место быть такой интересный эффект. Мы ведь не знаем сколько и кто к компании обращается, может у них накоплен богатый опыт шантажистов которые точно так же начинали… Естественно они сразу будут пресекать такую деятельность, дабы и мысли не было.
А может админам/безопасникам пофигу на сайт им бы текущий год продержаться и сдать его преемникам, а высшее руководство как бы не в курсе остроты конфликта.
AllexIn
29.05.2016 16:31+9ИМХО не корректно сравнивать интернет с улицей и частными домами.
Интернет — это офисное здание. И чтобы найти нужный офис — иногда надо открыть дверь и осмотреться. А еще, иногда дверь заперта, но достаточно повернуть ручку вверх, чтобы она отломилсь и дверь открылась.
И нормальная контора скажем спасибо, что вы нашли баг в ручках, который отламываются и открывают дверь от того, что ее вверх повернули, а не вниз. Денег может и не дать, например, потому что нету. Но спасибо скажет.
И только идиоты с кашей вместо мозгов за такое подают в суд. По понятным причинам.
rd_nino
05.06.2016 20:49Интернет ведь зона свободной информации? (по крайней мере он таким задумывался).
И если кто-то выставляет свой ресурс наружу, то он должен быть готов к тому, что вся выставленная в интернет информация будет доступна в полном объёме.
Это похоже на то, что если бы человек шёл по дороге, а на ней лежал кошелёк (без явных указаний о принадлежности к кому-либо). Т.е. прохожий его нашёл (среди прочих других вещей, которые могут просто лежать на дороге). В свете событий, описанных в этой статье, прохожий автоматом подпадает под статью «Кража»?
rPman
29.05.2016 16:31+7Ну, когда-нибудь до специалистов по безопасности дойдет 'мессадж от системы' — не стоит быть честным и правильным, это наказуемо, сразу идите и продавайте свои изыскания на черном рынке.
vmchaz
29.05.2016 20:13Вот будет забавно, когда к каждой такой новости будут в «материалы по теме» добавлять ссылку на анонимные форумы, где идёт торговля уязвимостями.
Возможно, это возымеет положительный эффект — официальные вознаграждения за нахождение уязвимостей пойдут вверх.Pakos
31.05.2016 09:54Или станет «специалист по безопасности» == «террорист». «Накрыта подпольная ячейка специалистов по безопасности (запрещённая организация), ранее именовавшие себя White Hat, организованная при местном компьютерном клубе. Как видите на кадрах оперативной хроники, было изъято множество устройств и агитационной литературы на тему защиты информации. Задержанным грозит срок от 5 до 10 лет, в случае подтверждения их причастности хоть к одному случаю доступа к открытым данным срок может быть увеличен до 20 лет».
vmchaz
03.06.2016 01:08Родителям на заметку: как определить, что ваш сын — специалист по безопасности
igruh
29.05.2016 16:44+2Отлично так к хакерам с винтовками наперевес заявляться.
norlin
29.05.2016 17:14+17Это ещё что, вот буквально на днях было за комментарий во Вконтакте.
grehosh
30.05.2016 16:15+1Какая-то ахинея если честно.
Было бы желание «таких» на днях можно наклепать сколько угодно.norlin
30.05.2016 16:47Вы это о чём сейчас? Считаете, что видео постановочное, или что?
grehosh
30.05.2016 16:52Да, без дополнительной информации склоняюсь к постановке.
Все таки верить любому левому видео на ютубе дело такое…norlin
30.05.2016 16:55Левое видео, ага.
Для себя могу сделать вывод, что либо вы не следите за политической обстановкой в стране, либо живёте не в России и просто не верите в то, что тут творится последнее время.grehosh
30.05.2016 17:00Каюсь не поискал, просто перешел на видео, но если бы была ссылка сразу на новость вопросов было бы меньше.
И дальше с учетом, что там есть постановка суда я не думаю, что дело было только в комментарии, скорей всего комментарий послужил причиной копания.
artemerschow
30.05.2016 17:05Ну, в СК говорят, что только за это:
Следственными органами СКР по Санкт-Петербургу возбуждено уголовное дело по признакам преступления, предусмотренного ч.1, ст. 282 УК РФ (возбуждение ненависти и вражды, унижение человеческого достоинства).
spb.sledcom.ru/Novosti/item/1042638/
В результате проведения следственных действий и оперативно-розыскных мероприятий задержан 36-летний Артем Чеботарев, который подозревается в том, что 7 февраля 2016 года в квартире расположенной в Калининском районе разместил в социальной сети «В Контакте» информацию, направленную на возбуждение ненависти и вражды, а также на унижение достоинства к социальной группе лиц.
Alexey2005
29.05.2016 17:23+7Вот интересно, как ещё никто из журналистов и общественных деятелей не задал спецслужбам вопрос, почему же они до сих пор не поймали ни одного автора криптолокеров?
При том, что ущерба от их деятельности с каждым годом всё больше, а сами они даже особо не скрываются: ведут блоги, щедро публикуют мастер-ключи, когда «поддержка» очередной версии завершается, вовсю торгуют своими наработками и т.д.
Возникает вполне конспирологический вопрос: уж не ФБР ли крышует этих криптолокерописателей?
themtrx
29.05.2016 22:55Потому что человека, который открыто заявляет (ссылка из статьи) о своих находках, не скрывая ни имени с фамилией, ни каких либо иных данных, скажем, несколько легче найти, чем человека, который сознательно идёт на преступление и, видимо, делая это, крайне основательно подходит к вопросу собственного статуса инкогнито. Вспомните, сколько ловили основателя Silkroad (вот Вам кстати пример одного из тех, кого всё таки поймали, хоть он и вряд ли писал криптолокеры).
electronus
05.06.2016 20:49Основатель Силкроад был пойман из-за умышленной дыры в тор-е. Хотя в момент поимки это отрицали, дабы хомячки светились пользуя оный.
themtrx
05.06.2016 22:06Источники? Аргументы? Ссылка на исследование? На версию Тора с этой дырой? Я склонен согласиться, что силовые структуры многих стран достаточно чего умалчивают, но я очень подробно знаком с историей Силкроада и его основателя и точно знаю, как конкретно его поймали — так вот в процессе речи о «дыре в Торе» не шло (хотя да, его отследили через Тор, но только из-за его собственного недостатка паранойи). Но я могу чего-то не знать, и если так, то будьте любезны предоставить ответы на первые вопросы комментария.
electronus
06.06.2016 01:03История с мерзким плейпеном:
http://arstechnica.com/tech-policy/2016/06/fbi-exploit-that-revealed-tor-enabled-child-porn-users-wasnt-malware/
помогла джину выйти наружу, и то совершенно случайно. Если бы сторона защиты не стала ковырять так глубоко, то и придумали бы сказочку с недосказанным, как в случае с силкроадом.
И я категорически уверен в том, что плейпен был не первым и не последним, где парни из интеллиженс применяли на практике свои скиллы по деанону через тор.themtrx
06.06.2016 02:18Использование эксплойта не имело места быть в случае с Силкроадом. Есть опубликованное расследование, есть показания владельцев узлов между целью и exit-нодой, есть чёткий известный алгоритм. Мне сейчас лень искать ссылки, но я найду, если Вы попросите.
В случае ЦП же ФБР, насколько я помню, изначально взломали сервер (не через дыру в Торе), на котором уже разместили свой эксплойт для рыбалки на пользователей сайта.
Поправьте, если я ошибаюсь.electronus
06.06.2016 04:15Да, с ЦП они поимели сайт, кстати онион-сайт. И эксплоитили именно тор браузер, т.е. бандл, не уточняя что из него конкретно. Если бы разбирательство не зашло так глубоко, то в опубликованном расследовании по случаю ЦП не фигурировали бы эти методы деанона. Да, я читал разбор полётов по силкроаду, и там напрямую не указываются «подготовительные методы», а они могли быть схожими.
Т.е. это моя интуиция, не более того.themtrx
06.06.2016 09:38Понял. В принципе Вы можете быть правы, я лишь утверждаю, что эксплоит с сайта, которым управляешь и допрос всех владельцев цепи между целью и exit-нодой — это разные подходы, и да, ФБР (или АНБ, или что там ещё) используют оба их и, возможно и наверняка, ещё какие-то, о которых мы не знаем. К слову, надеяться на только Тор для анонимизации — в принципе глупо, о чём прямо на главной проекта всех и предупреждают. Жаль только, что далеко не все умеют в наше время внимательно читать то, о чём их предупреждают.
pewpew
29.05.2016 17:37+5Интересно, почему в статье так часто и упорно упоминаются дети?
Elmot
29.05.2016 18:49+2Потому что в нормальных странах применение и даже угроза оружием рядом с детьми недопустима.
0xd34df00d
29.05.2016 19:11+14А взрослые люди — второй сорт, и рядом с ними можно?
FoxF
29.05.2016 19:18-2бомбы друг другу на головы не дети сбрасывают
0xd34df00d
29.05.2016 19:34+6Во-первых, конкретно этот мужчина тоже ничего не сбрасывал. Как и подавляющее большинство взрослых.
Во-вторых, сбрасывают.
KyaH
06.06.2016 09:29+1Вероятно тут дело в том, что у взрослых психика, как правило, уже сформирована, а у детей — еще не совсем. Соответственно, на ребенка угроза оружием, тем более, направленным на родителя, окажет более сильное влияние, чем на взрослого.
karon
06.06.2016 09:32Вы, были бы готовы рискнуть своей при задержании, ради ребенка потенциального преступника?
ExplosiveZ
30.05.2016 07:39+5А они всегда упоминаются.
И в случае цензуры, и в случае войны, и в случае терроризма. Унифицированная отговорка для «взрослых» людей и политиков.
yul
29.05.2016 17:52+5Я вот не понимаю, зачем устраивать маски-шоу и бряцание оружием, вламываясь к подозреваемому, который явно не наркобарон с вооруженной охраной и базукой под подушкой. Просто потешить самолюбие?
Oberon812
29.05.2016 18:01+4Отчитаться (перед начальством или налогоплательщиками), запугать подозреваемого, предотвратить схожие правонарушения («вы видели, как Боба скрутили?!») и т.д.
VBKesha
29.05.2016 19:05+5И заодно показать обычным людям какие хакеры опасные, ведь не спроста их так орестовывают.
ankh1989
30.05.2016 02:08Потому что заняться больше нечем. Точно также бывает, когда в каком нибудь богом забытом городке банально переворачивается прицеп на дороге — через 10 минут там будет батальон полицейских и пожарных, хотя хватило бы одного трактора оттащить прицеп с дороги.
Alexeyslav
30.05.2016 11:20Да видимо банально совмещают такие выезды с учениями, чтобы форму не теряли.
Pakos
31.05.2016 10:02Потому что могут. И потому что как раз не наркобарон с базукой (ибо они представляют последствие применения и не хотят ощущать на себе в реальности). А тут и лакомство и игрушка — и задержание и безопасная тренировка, да ещё и по телеку показать могут (пусть только сам себя узнать можешь).
jryj
05.06.2016 20:49Если бы шли брать наркобарона с охраной и базукой — звонить и стучать не стали бы.
В штатах ношение и хранение огнестрельного оружия не возбраняется. Через это задерживают зачастую вот так. Мало ли чего он там выкинет.
AVKinc
30.05.2016 08:43Мир катится в пропасть, безумие шагает по планете.
Такое даже Оруэллу не снилось.
Shiover
30.05.2016 10:10+2Мда. США ну совсем оплот демократии. Там нагрянут, тут закроют. Диву даюсь КАК с их законами можно говорить о свободе человека и личности.: / Там лобби, тут лобби — хоба-на и в тюрьме за то что поковырялся в приставке.
Преступности не так и много (по их словам), да только от законов больше урона. Знакомый поехал работать в какую-то лабораторию в США. Жена сама стирала и ходила за покупками в магазин (300м от дома). Сначала соседи накапали в полицию, что он держет жену в чёрном теле и не даёт машину для покупок, а потом получил судебное разбирательство от прачечной за то, что они не сдают вещи в стирку, как это делают все в городке.: /Arastas
30.05.2016 11:19потом получил судебное разбирательство от прачечной за то, что они не сдают вещи в стирку, как это делают все в городке.
Звучит не очень правдоподобно. Вы штат/город не уточните?
Equin0x
30.05.2016 19:11Судя по всему, это не «знакомый», а «двоюродная сестра моего сводного брата, подруга которой подслушала разговор в кафе».
На носу судебное разбирательство за непросмотр фильма в кинотеатре и не за сьедание обеда в ресторане.
fivehouse
30.05.2016 10:22Описанная история есть частью более общей проблемы — виртуализации фактической работы спецслужб. Вместо поимки реальных преступников гораздо удобнее и безопаснее вламываться в полном вооружении и угрожая оружием в дом с младенцем. А реальных бандитов и терорристов пусть дураки ищут.
Shmulinson
06.06.2016 09:21ну, если верить вот этому товарищу:
10-4.livejournal.com
то подобные случаи происходят все чаще.
Equin0x
30.05.2016 19:06Pen testing в наши дни — это как ходить по парковке, пробуя закрыты ли двери машин, дабы потом найти хозяина в ближайшей бигмачне и сказать ему об этом. В большинстве случаев хозяин будет не рад этому и велик шанс по лицу огрести )
Equin0x
30.05.2016 19:18PS: на самом деле — реакция вполне обьяснимая:
1-медицина
2-кража личных данных
В детали местное ФБР не вникало и воспользовалось случаем получить галочку по теме кражи личных данных
Самая простая причина — убедиться что у него дома нет копии этой базы.
chaloner
31.05.2016 03:35Мне вот что интересно, почему эта контора катит бочку на человека указавшего на косяк, а не на тех, кто этот косяк допустил? Логику убили и изнасиловали.
KonstantinSpb
05.06.2016 19:56Нашел уязвимость — продай, кто сможет купить. Нефиг бесплатно корпорациям помогать.
azsx
05.06.2016 20:49Как считают они. Есть часть умных пользователей, которые могут взламывать любые защиты. Вот пусть ломают, качают, обмениваются между собой. Но молча, без выноса в паблик. А обычным людям хватит обычной защиты (двери без замка).
Конечно, по моему мнению клиника не права и их путь по решению проблем с безопасностью ошибочен. Кто кого — рассудит время.
SagePtr
05.06.2016 20:49По сути, получается, что производители стоматологического ПО шпионят за пациентами клиник, сливая данные о них на какой-то свой головной сервер. На месте клиник я бы отказался от использования такого ПО. Это как если бы корпорация Microsoft имела полный доступ ко всем документам всех пользователей MS Office. Поправьте, если где-то ошибаюсь. (хотя, учитывая телеметрию в Windows 10, не удивлюсь, если в офисное ПО её тоже встроят или уже встроили)
Admiral_Wolf
05.06.2016 20:49Не понял, что значит «несанкционированный доступ»? Зашел под анонимусом и все труба ?!
На месте пациентов клиник подал бы коллективный иск против этой компании, мильенов на
несколько, чтоб неповадно было.
x4uDaK
05.06.2016 20:49Мда, с такими мерками за взлом гос. сайта можно сразу бомбу на дом сбрасывать.
er1
05.06.2016 20:49Если уж они выкатывают задержание за несанкционированный доступ — то пусть заодно выкатывают компании штрафы и сроки за доступ к данным 22К пациентов. За каждого человек N тысяч долларов. Чтоб компания трижды подумала, прежде чем наезжать на человека, который указал им на проблему (если только этот человек не занимается вымогательством).
coolstudent
05.06.2016 20:49помоему всё логично. вынуждая таким образом людей одевать черные шляпы спецслужбы увеличивают кол-во преступности и создают таким образом себе работу. ведь не будет преступности не будет и полиции. да и предлогов не будет для установки камер в туалете и спальне.
Runis
06.06.2016 09:29Вот тебе и демократия со своим равенством и справедливостью на лицо. Гляди не хочу называется.
Страшно подумать, что теперь их мирная жизнь испорчена навсегда. Впряли они теперь смогут спать спокойно, что им прослушку повсюду не установят, что на них досье террористическое не заведут, что на их работе не отразится, что соседи о них не придумают легенд Капоне и тд.
Marsikus
Еще один пример того, что нечего помогать большим корпорациям, если это не открытая bug-bounty программа, а то вместо благодарности только проблемы получишь.
Kamaitachi
Не только большим. Нашел пачку мелких багов, глюков и актов насилия гуи над логикой пользователей в местной поликлинике. Написал им подробно что, где, в каких случаях, как избавиться. Был так доволен собой, что впал в легкий шок от ответа местного админа — всё знаем, ничего делать не будем, а на тебя можем и в суд подать чтоб не лазил где попало.
Потом выяснилось, что ПО писал какой-то школьник на оутсорсе, исходников не дал, после пары доработок пропал и на связь не выходит. Вот написали бы сразу, мол просто нет возможности доделать. Так нет же, начали с угроз. Как говорится ложки нашлись, а осадочек остался.
comtdk
Поэтому я думаю, что лучше не помогать корпорациям, а тихо молчать в тряпочку. Дабы не встретить полицая, который будет тыкать тебе винтовкой в лицо.