Заметая инфобез под ковер: как крупные сервисы проявляют безразличие к уязвимостям
В том, что вопросы информационной безопасности должны находиться в списке приоритетов бизнеса на самых верхних позициях, казалось бы, в 2024 году убеждать никого не надо. Во всем мире сообщения о кибератаках, ИБ-инцидентах приходят ежедневно в огромном количестве. Тем удивительнее, насколько халатно и с каким безразличием многие компании по-прежнему относятся к сообщениям исследователей, «белых» хакеров, об обнаруженных в инфраструктуре бизнесов «дырах» и уязвимостях, рассуждает основатель некоммерческого просветительского проекта CakesCats, консультант по ИБ и финтеху Антон Шустиков.
Моя страсть — информационная безопасность. Так сложилось, что внутри меня жива идея сделать мир лучше. Верю в доброе и светлое, и головоломки люблю прикладные. Но когда я еще работал ИБ-специалистом, в глаза бросалось то, как неохотно идет бизнес на контакт с представителями сектора ИБ, пока, конечно, что-то непредвиденное не случается. Вот постфактум идет отлично.
Хотелось бы рассказать об острейшей проблеме, весьма характерной для ИБ. Размер проблемы сложно переоценить. Компании почему-то считают, что можно рисковать миллиардами долларов убытков и своей репутацией перед миллионами клиентов по всему миру. Другим словом, как парадокс, я никак сложившуюся ситуацию назвать не могу. Бизнес всегда декларирует открытость, гибкость в решении проблем. Парадокс в том, как сильно такие заявления разнятся с действительностью.
Часть I. Отрицание
Речь идет о сообщениях, которые энтузиасты делают в адрес компаний, находя в их IT-инфраструктуре какие-либо уязвимости. Одна из самых популярных реакций на такие сообщение – отрицание. Если случился инцидент или найдена уязвимость, самое очевидное — все отрицать. Так компании и поступают. Очень часто они просто отмахиваются: мол, действительно, проблема есть, но она незначительная, и «вообще, спасибо вам, конечно, но не лезьте».
Например, совсем недавний и показательный случай с WhatsАpp (принадлежит Meta, которая признана в России экстремисткой организацией и запрещена). Исследователь Саумьяджит Дас уведомил Meta (признана в России экстремисткой организацией и запрещена) об обнаруженной им проблеме через программу Bug Bounty еще 3 июня 2024 года, и 15 июля компания ответила, что об этом уже сообщали другие специалисты, и все уже должно быть исправлено.
Однако уязвимость по-прежнему работала в последней версии WhatsApp для Windows. Еще интереснее то, что разработчики WhatsApp сообщили, что не планируют исправлять ситуацию и добавлять Python-скрипты в список файлов, открытие которых блокируется по умолчанию, так как не видят проблемы, и выпуск исправлений не планируется. Дас заявил, что разочарован, считая, что простое добавление расширений в черный список могло бы предотвратить потенциальную эксплуатацию уязвимости.
Или возьмем мой личный кейс с Telegram. Начиналось все с «пишу с воодушевлением письмо в Telegram», а закончилось тем, что получил: «Спасибо, мы уже все исправили». Нет, не исправили, проблема осталась. Так, сначала до меня дошла информация, что в Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов на Android. После того, как я продемонстрировал ее в письме по программе Bug Bounty в Telegram, мне ответили, что они уже получали сообщение об этом ранее, и проблемы больше нет. Но я увидел, подтвердил уязвимость и сообщил о проблеме уже после даты, которую указали в Telegram. Однако никого это уже не волнует.